Viele Mittelständler vernachlässigen IT-Sicherheit
Kleine und mittlere Unternehmen legen zu wenig Wert auf IT-Sicherheit. Nur jedes vierte Unternehmen hat einen Notfallplan, sollten die Computersysteme ausfallen. Ähnliche wenige besitzen Sicherheitsrichtlinien und verbindliche Organisationsanweisungen zu Datenschutz und IT-Sicherheit. Drei Viertel der Mittelständler verzichten auf regelmäßige Schulungen und Informationen ihrer Mitarbeiter. Ein knappes Drittel (32 Prozent) hat überhaupt keine organisatorischen Maßnahmen zu Datenschutz und IT-Sicherheit getroffen. Das ergab eine Befragung der Unternehmen Datev, Sophos und SAP mit dem Hightech-Verband BITKOM im Rahmen ihrer Arbeit für den Verein „Deutschland sicher im Netz“ (DsiN). Über tausend kleine und mittlere Unternehmen in Deutschland wurden befragt, welche IT-Sicherheitsmaßnahmen sie einsetzen. „Technische Lösungen wie Virenscanner, Firewall und Spamfilter gehören mittlerweile bei KMUs zur Standardausstattung, bei der Umsetzung von IT-Sicherheit in der Unternehmensorganisation gibt es aber noch große Defizite“, sagte BITKOM-Präsident Prof. Dr. August-Wilhelm Scheer heute während einer IT-Sicherheitskonferenz. DsiN-Vorstandsmitglied Robert Zehder hatte dort erste Studienergebnisse präsentiert.
Scheer begrüßte die Einrichtung einer „Taskforce IT-Sicherheit“ durch das Bundeswirtschaftsministerium. Zwar leisteten präventive Web-Informationsangebote zu IT-Sicherheit gute Arbeit, im konkreten Schadensfall fehle betroffenen Unternehmen jedoch eine zentrale Plattform mit Tipps und Vorgehensweisen. „Wir unterstützen das Ziel der Sicherheits-Taskforce, die verschiedenen Informations- und Hilfsangebote in Deutschland zu bündeln und so ein verbessertes Angebot zu schaffen“, sagte Scheer.
Studien zeigen, wie stark die Wirtschaft bereits heute von ITK-Kriminalität betroffen ist: Mehr als die Hälfte aller Unternehmen, die 2010 Opfer von Wirtschaftskriminalität wurden, verzeichneten Schäden durch ITK-Kriminalität. 2006 lag der Wert noch bei 23 Prozent. Der durchschnittliche Schaden lag bei 300.000 Euro. Das ergab eine Studie von KPMG. Die Dunkelziffer ist jedoch hoch. Viele betroffene Unternehmen scheuen den Gang in die Öffentlichkeit, oft aus Angst vor Imageverlust. „Viel zu wenige Unternehmen sind bereit, über Schadensfälle wie Erpressung oder Spionage mit ITK zu berichten und Anzeige zu erstatten“, sagte Scheer. Das erschwere den Kampf gegen die ITK-Kriminalität.
Die Taskforce „IT-Sicherheit in der Wirtschaft“ ist ein wichtiger Baustein in der nationalen Cybersicherheitsstrategie, die am 23. Februar 2011 vom damaligen Innenminister de Maizière und Wirtschaftsminister Brüderle vorgestellt wurde. Die Bundesregierung will mit ihrer Strategie IT-Systeme und kritische Infrastrukturen sowie die Sicherheit von KMU künftig besser schützen. Dafür wird sie unter anderem ein Nationales Cyber-Abwehrzentrum aufbauen und einen Nationalen Cyber-Sicherheitsrat einrichten. Das Cyber-Abwehrzentrum ist in erster Linie als Informationsdrehscheibe zwischen den Behörden konzipiert. „Wir begrüßen sehr, dass sich die Bundesregierung dem Kampf gegen Cyberkriminalität so stark annimmt“, sagte Scheer. Begrüßenswert sei insbesondere die enge Zusammenarbeit der betroffenen Ministerien. Wichtig sei allerdings auch, dass der Informationsaustausch die Wirtschaft einbezieht.
Die Problematik um den Trojaner StuxNet hat gezeigt, wie sicherheitskritisch IT-Infrastrukturen für Wirtschaft und Staat sind. StuxNet war vermutlich zum Angriff auf Industrieanlagen entwickelt worden und hatte Steuersysteme ausgewählter Maschinen zum Ziel. Moderne Maschinen und Anlagen kommen ohne vernetzte Sensoren und Steuerkomponenten nicht mehr aus. Es entstehen neue Angriffspunkte bei den Produzenten und Betreibern großer Maschinen und Anlagen. Mit dem neuen Internet-Protokoll IPv6 kann jedes Auto, jedes Elektrogerät im Haushalt und jede Maschine eine eigene, feste Internet-Adresse haben.
Ins Zentrum der Cyber-Sicherheitsstrategie gehört aus BITKOM-Sicht auch die Förderung einer leistungsfähigen IT-Sicherheitsindustrie in Deutschland. Die Anbieter von IT-Sicherheitstechnologien hätten für die künftige Sicherheit Deutschlands eine ebenso hohe Bedeutung wie die Hersteller traditioneller Militärtechnik und Sicherheitssysteme.
Hintergrund zum Sicherheitscheck von „Deutschland sicher im Netz“ (DsiN): Der Online-Fragenkatalog dient der einfachen und schnellen Ermittlung der individuellen IT-Sicherheitslage in kleinen und mittelständischen Unternehmen. Zwischen Mitte Oktober und Anfang März haben bereits 1018 Unternehmen den Check durchgeführt. Der Check ist ein Handlungsversprechen der DsiN-Mitglieder BITKOM, Datev, SAP sowie Sophos und utimaco. Näheres unter https://www.sicher-im-netz.de/unternehmen/DsiN-Sicherheitscheck.aspx.
Scheer begrüßte die Einrichtung einer „Taskforce IT-Sicherheit“ durch das Bundeswirtschaftsministerium. Zwar leisteten präventive Web-Informationsangebote zu IT-Sicherheit gute Arbeit, im konkreten Schadensfall fehle betroffenen Unternehmen jedoch eine zentrale Plattform mit Tipps und Vorgehensweisen. „Wir unterstützen das Ziel der Sicherheits-Taskforce, die verschiedenen Informations- und Hilfsangebote in Deutschland zu bündeln und so ein verbessertes Angebot zu schaffen“, sagte Scheer.
Studien zeigen, wie stark die Wirtschaft bereits heute von ITK-Kriminalität betroffen ist: Mehr als die Hälfte aller Unternehmen, die 2010 Opfer von Wirtschaftskriminalität wurden, verzeichneten Schäden durch ITK-Kriminalität. 2006 lag der Wert noch bei 23 Prozent. Der durchschnittliche Schaden lag bei 300.000 Euro. Das ergab eine Studie von KPMG. Die Dunkelziffer ist jedoch hoch. Viele betroffene Unternehmen scheuen den Gang in die Öffentlichkeit, oft aus Angst vor Imageverlust. „Viel zu wenige Unternehmen sind bereit, über Schadensfälle wie Erpressung oder Spionage mit ITK zu berichten und Anzeige zu erstatten“, sagte Scheer. Das erschwere den Kampf gegen die ITK-Kriminalität.
Die Taskforce „IT-Sicherheit in der Wirtschaft“ ist ein wichtiger Baustein in der nationalen Cybersicherheitsstrategie, die am 23. Februar 2011 vom damaligen Innenminister de Maizière und Wirtschaftsminister Brüderle vorgestellt wurde. Die Bundesregierung will mit ihrer Strategie IT-Systeme und kritische Infrastrukturen sowie die Sicherheit von KMU künftig besser schützen. Dafür wird sie unter anderem ein Nationales Cyber-Abwehrzentrum aufbauen und einen Nationalen Cyber-Sicherheitsrat einrichten. Das Cyber-Abwehrzentrum ist in erster Linie als Informationsdrehscheibe zwischen den Behörden konzipiert. „Wir begrüßen sehr, dass sich die Bundesregierung dem Kampf gegen Cyberkriminalität so stark annimmt“, sagte Scheer. Begrüßenswert sei insbesondere die enge Zusammenarbeit der betroffenen Ministerien. Wichtig sei allerdings auch, dass der Informationsaustausch die Wirtschaft einbezieht.
Die Problematik um den Trojaner StuxNet hat gezeigt, wie sicherheitskritisch IT-Infrastrukturen für Wirtschaft und Staat sind. StuxNet war vermutlich zum Angriff auf Industrieanlagen entwickelt worden und hatte Steuersysteme ausgewählter Maschinen zum Ziel. Moderne Maschinen und Anlagen kommen ohne vernetzte Sensoren und Steuerkomponenten nicht mehr aus. Es entstehen neue Angriffspunkte bei den Produzenten und Betreibern großer Maschinen und Anlagen. Mit dem neuen Internet-Protokoll IPv6 kann jedes Auto, jedes Elektrogerät im Haushalt und jede Maschine eine eigene, feste Internet-Adresse haben.
Ins Zentrum der Cyber-Sicherheitsstrategie gehört aus BITKOM-Sicht auch die Förderung einer leistungsfähigen IT-Sicherheitsindustrie in Deutschland. Die Anbieter von IT-Sicherheitstechnologien hätten für die künftige Sicherheit Deutschlands eine ebenso hohe Bedeutung wie die Hersteller traditioneller Militärtechnik und Sicherheitssysteme.
Hintergrund zum Sicherheitscheck von „Deutschland sicher im Netz“ (DsiN): Der Online-Fragenkatalog dient der einfachen und schnellen Ermittlung der individuellen IT-Sicherheitslage in kleinen und mittelständischen Unternehmen. Zwischen Mitte Oktober und Anfang März haben bereits 1018 Unternehmen den Check durchgeführt. Der Check ist ein Handlungsversprechen der DsiN-Mitglieder BITKOM, Datev, SAP sowie Sophos und utimaco. Näheres unter https://www.sicher-im-netz.de/unternehmen/DsiN-Sicherheitscheck.aspx.