Direkt zum Inhalt

On- und offline Sicher

05.11.2019

Wozu brauchen wir das? Das fragen sich viele KMU, wenn es um Sicherheitsmaßnahmen geht, die ihre physische und IT-Infrastruktur schützen. Besser wäre es, Kosten und Aufwand dem Risiko diverser Bedrohungen gegenüberzustellen und sich eine ordentliche Sicherheitsstrategie zuzulegen. Denn die Angreifer werden immer intelligenter.

Wer sein Unternehmen bestmöglich schützen will, muss mittlerweile viel Aufwand betreiben. Früher hat es oft gereicht, eine ordentliche Sicherheitstür und eine Alarmanlage bei seinem Laden oder den Büroräumen anzubringen und dem Personal gewisse Verhaltensregeln aufzuerlegen. So konnte man den größten Gefahren vorbeugen und weitgehend verhindern, dass Waren, wertvolle Gegenstände oder Papiere mit heiklen Inhalten in falsche Hände gerieten oder sich Mitarbeiter bei der Arbeit verletzten. In Zeiten von Digitalisierung, Industrie 4.0 und Internet der Dinge ist die Sache weitaus komplizierter. Der physische Schutz von Unterlagen wie etwa Kundendaten, wichtigen Forschungs- und Entwicklungsergebnissen oder Servern ist ebenso notwendig wie der Schutz der Daten auf diesen Servern bzw. in der Cloud. Die Risikoquellen haben rapide zugenommen, und selbst kleine und mittlere Unternehmen sind gut beraten, zahlreiche Maßnahmen zu setzen – sowohl off- als auch online.

Das Geschäft mit der Sicherheit nimmt entsprechend zu. So ist dem VSÖ, dem Verband der Sicherheitsunternehmen Österreichs, zufolge etwa die elektronische Zutrittssteuerung im gewerblichen Bereich ein Wachstumsmarkt. Diese ersetzt klassische mechanische Schlüsselsysteme zum Beispiel durch Chipkarten oder eine Zutrittsmöglichkeit via Handy. Der Vorteil und einer der Hauptgründe, warum die Nachfrage hier steigt, ist, dass der Verlust einer Chipkarte nicht bedeutet, dass das ganze Schließsystem ausgetauscht werden muss. Es müssen nur Karten neu programmiert werden, was meist Kosten spart – der Austausch eines Schlüsselsystems ist in der Regel sehr kostspielig. Eine etwas verstärkte Nachfrage gibt es bei Video-Überwachungssystemen. Das liegt vor allem daran, dass die Systeme sich technisch sehr weiterentwickeln und intelligent werden. Thomas Forstner, Generalsekretär des VSÖ, sagt: „Im Videobereich gibt es technisch neue Produkte mit Eigenintelligenz auf dem Markt, deren Software erkennt, ob hier ein Fuchs oder Reh an der Kamera vorbeigeht oder es sich um einen Mensch handelt, der am Boden robbt.“ Die Kameras werden zudem leistungsfähiger, was bedeuten kann, dass man heute mit zwei Kameras denselben Effekt erreicht wie vorher mit vier. Forstner: „Unterm Strich wird Videoüberwachung so kostengünstiger.“

KMU HABEN AUFHOLBEDARF

Ein Bereich, der eher stabil ist, sind Alarmanlagen. Laut VSÖ sollten besonders KMU hier aber mehr tun. Forstner: „Viele KMU sagen: Wozu brauchen wir das – selbst wenn es um den Schutz von Werten in Millionenhöhe geht, wie zum Beispiel bei einer Trafik, die Anfang des Jahres viele Autobahn-Vignetten lagernd hat.“ Die Industrie sei ausgerüstet, entweder durch Wachdienste oder eben Alarmanlagen, doch im KMU-Bereich sieht Forstner Aufholbedarf. Die, die allerdings schon eine Alarmanlage haben, rüsten oft nach. Wachsende Nachfrage gibt es seit einiger Zeit bei Tresoren. Dafür gibt es laut Thomas Forstner zwei Hauptgründe: Einerseits müssen die Unternehmen ihre Kundendaten datenschutzkonform aufbewahren. Andererseits seien Mietsafes in Banken mittlerweile oft keine ernsthafte Option mehr, weil dort die Deckungssummen der Versicherungen oft nur einen Wert bis zu ein paar tausend Euro abdecken. Forstner: „Da lässt man sich lieber gleich einen eigenen Tresor einbauen, sowohl im privaten Heim als auch im Unternehmen.“ Ein Renner im privaten Bereich ist die Steuerung von Alarmanlage, Heizung und Co mit dem Handy. „Das Smart-Home-Thema ist der Renner“, sagt Forstner, der aber auch auf hohe Risiken verweist: „Das schafft eine Unmenge von Einfallsportalen. Aber Sie verkaufen heute keine Alarmanlage mehr ohne eine App – die Kunden wollen das haben.“ Interessanterweise gibt es diesen Trend im gewerblichen Bereich nicht: „Es ist wirklich ein Smart-Home-Trend und kein Smart-Office- Trend.“ Drohnen- oder Roboterüberwachung ist dagegen noch nicht wirklich am Markt angekommen. Deren Einsatz ist rechtlich eingeschränkt. Außerdem haben sie einen anderen Nachteil: „Wenn sie etwas Verdächtiges wahrnehmen, muss man erst recht wieder Leute hinschicken. Man braucht also einen Menschen, der auf Abruf bereit ist.“ Beim Überwachungspersonal gibt es eine Verschiebung des Schwerpunkts vom reinen Wächter hin zu Revierstreifen und Kontrollfahrten.

„VIELE KMU HABEN ÜBERHAUPT KEIN SICHERHEITSKONZEPT.“ Thomas Forstner, Generalsekretär des VSÖ

KEIN SICHERHEITSKONZEPT

Generell beobachtet Thomas Forstner eine gewisse Leichtsinnigkeit bei kleineren Unternehmen, was die Sicherheits-Infrastruktur betrifft: „Viele KMU haben überhaupt kein Sicherheitskonzept und sagen sich: Es wird schon nichts passieren. Und wenn doch, zahlt eh die Versicherung.“ Tatsächlich würden Versicherungen wirklich relativ oft für Schäden durch Einbruch oder Diebstahl aufkommen, selbst wenn sie nicht müssten – mit der Auflage an die Firmen, eine Alarmanlage einzubauen. Doch auch dann bleibt die Problematik bestehen, dass vielleicht die Firmendaten weg sind und aufgrund der Datenschutzgrundverordnung Kunden und andere Stakeholder Ärger machen, hohe Kosten anfallen und ein großer Imageschaden oder gar eine existenzielle Bedrohung die Folge ist. All das gilt insbesondere für kleine Unternehmen: „Ab der mittleren Stufe wird es besser.“ Doch mittlerweile haben sich die potenziellen Risiken stark verschoben. Die Wahrscheinlichkeit eines physischen Einbruchs nimmt ab, während das Risiko von Attacken auf die IT drastisch angestiegen ist. Norbert Pohlmann, auf Informationssicherheit spezialisierter Informatikprofessor an der Westfälischen Hochschule, Direktor des Forschungsinstituts für Internet-Sicherheit if(is) und Vorstandsvorsitzender des Bundesverbands IT-Sicherheit TeleTrusT, beschäftigt sich seit 1984 mit IT-Sicherheit. Die Bedrohung der IT werde für Unternehmen immer größer, sagt Pohlmann, der gerade das 600-seitige Werk „Cyber-Sicherheit“ veröffentlicht hat. „Durch die Digitalisierung wird die Angriffsfläche größer.“ Während man früher Türen einschlagen musste, könne man heute jeden angreifen. Früher haben im Grunde Angreifer aus China chinesischen und solche aus Österreich österreichischen Unternehmen geschadet. Heute kann man übers Internet Unternehmen von der ganzen Welt aus hacken, erpressen oder mit anderen IT-Angriffen bedrohen.

VON RANSOM- BIS ADWARE

Die möglichen Arten von IT-Bedrohungen werden immer vielfältiger und trickreicher, wie sich auch in Pohlmanns Buch eindrucksvoll zeigt. Für spürbar am bedrohlichsten hält der Experte Ransomware, die Computersysteme lahmlegt und nur gegen Bezahlung eines Erpressungsgeldes in Form von Kryptowährungen wieder freischaltet. Ransomware ist auch ein Paradebeispiel für automatisierte Angriffe, denn hierfür braucht es keinen Hacker, sondern die Ransomware findet Schwachstellen selbstständig. Immer mehr im Kommen sei heute auch Adware, also Malware, die Werbung auf Seiten einblendet, wo sie nicht hingehört, zum Beispiel Werbung für einen anderen Online- Shop auf der Website von Amazon. Pohlmann: „So etwas würde Amazon gar nicht zulassen.“ Aber eine Software auf dem Computer blendet die Werbung der Konkurrenz dennoch ein und kann so einem Unternehmen erheblich schaden, wenn Kunden von dessen Website zum Mitbewerb gelenkt werden. Aktuell kursieren auch wieder besonders viele Phishing-Versuche, um an die Daten von Bankkunden heranzukommen. Speziell ausgenutzt wird, dass die neue Zahlungsdiensterichtlinie PSD2 jetzt eine Zwei-Faktor-Authentifizierung verlangt. In Phishing-E-Mails wurden Bankkunden aufgefordert, ihre Kundendaten im Zusammenhang mit dieser Neuerung zu bestätigen. Wenn sie darauf hereinfallen, gelangen sie durch Klick eines Links auf ein gefälschtes Banking-Portal, wo sie ihre Daten unwissentlich Betrügern preisgeben.

GEFAHR AUS ASIEN

Im Bereich Cyber-Sicherheit sind KMU besonders gefragte Opfer, denn sie können den steigenden Gefahren durch die zunehmende Vernetzung praktisch nicht gerecht werden. Während etwa DAX- bzw. andere große Unternehmen riesige IT-Sicherheitsabteilungen haben, die optimale Rahmenbedingungen schaffen, um die Risiken durch IT-Angriffe minimal zu halten, sind die meisten KMU hier auf Partner angewiesen, die ihre Verfahren und Technologien zur Verfügung stellen. Pohlmann: „KMU sind hoffnungslos darauf angewiesen, dass sie von den Herstellern sichere und vertrauenswürdige Produkte bekommen.“ Und das sei nicht immer der Fall. Insbesondere den Technologien, die aus Asien kommen, sei diesbezüglich oft nicht zu trauen – und immer mehr IT-Produkte kommen aus Asien. „Die Produkte sind zu schlecht“, sagt der Cyber-Sicherheits-Experte Pohlmann. Die komplette Verantwortung für die Sicherheit an den Nutzer abzugeben findet er nicht sinnvoll und zieht einen Vergleich: Der Benutzer eines Autos muss ja auch nicht erst einmal Airbags und Sicherheitsgurte einbauen, bevor er losfahren kann. Die Hersteller sind für diese Sicherheitstools zuständig. Pohlmann: „Der Hersteller muss zunehmend in Haftung genommen werden können. Da geht der Trend auch hin.“ So gibt es immer mehr Regulierung bei IT-Produkten. Wie auch in anderen Konsumentenbereichen setzen sich auch dort langsam Zertifikate durch, die den Stand der Technik und Sicherheit bewerten. Dass es auch eine Kompetenz braucht, wie man sich im Internet bewegt, ist natürlich klar – und hier brauchen etwa Mitarbeiter von KMU Regeln wie zum Beispiel eine Passwort-Policy oder das Verbot, private E-Mails zu öffnen. Zum Pflichtprogramm in den IT-Abteilungen gehört es laut Pohlmann zudem, Anti-Malware- Produkte und eine Firewall zu installieren. Beim Surfen im Internet sollte man immer nur Websites anklicken, die mit https beginnen. Regelmäßig anständige Backups durchzuführen ist entscheidend, um bei einem Angriff möglichst wenige Daten zu verlieren. Weiters sollten die Benutzer wissen, „dass sie nicht überall hinklicken müssen und auch mal mutig E-Mails löschen können“. Die Gefahren durch die permanente Vernetzung sind jedenfalls nicht zu unterschätzen. Pohlmann: „Die Industrialisierung von Angriffen spielt eine große Rolle.“ Die Angreifer werden immer intelligenter und versuchen, ihre Prozesse zunehmend zu automatisieren und dadurch effektiver zu werden. Immerhin werden nicht nur die Angreifer intelligenter, sondern es wird auch immer mehr Künstliche Intelligenz eingesetzt, um Angriffe zu erkennen und abzuwehren. Pohlmann: „So werden IT-Sicherheitsexperten entlastet, weil sie sich nur noch um die Dinge kümmern müssen, die wichtig sind.“

Autor/in:
Alexandra Rotter
Werbung

Weiterführende Themen

SICHER
05.11.2019

Bei der Wahl des besten Cloud-Anbieters sind vor allem maßgeschneiderte Lösungen sowie Sicherheitsaspekte entscheidend. Zertifizierungen erleichtern hier das Auswahlverfahren.

Florian Goldenstein
SICHER
05.11.2019

Wir sprachen mit Florian Goldenstein, Head of IT Security bei Konica Minolta, über die größten Bedrohungen, die Unternehmen treffen können, und welche Bereiche in einer Sicherheitsstrategie ...

SICHER
05.11.2019

Unternehmer sollten die IT-Sicherheit nicht auf die leichte Schulter nehmen. Denn laut Oberstleutnant Wilhelm Seper, Leiter des Referates C4 Ermittlungen im Bundeskriminalamt, gibt es einen ...

Interviews
09.10.2019

Österreichs Weltmarktführer nützen einen bunten Strauß an Maßnahmen, setzen aber weniger finanzielle Mittel als KMU ein – eine Analyse von den Hidden- Champions- und Pricing-Experten Othmar ...

Stories
09.10.2019

Ohne Innovation ist wirtschaftlicher Erfolg kaum noch vorstellbar. Doch dafür brauchen Unternehmen mehr denn je die entsprechenden Fachkräfte. Vor allem um IT-Fachkräfte herrscht ein ...

Werbung