Fehlende oder unzureichende Maßnahmen im Datenschutz, zum Schutz vor Cyber-Kriminalität und bei IT-Notfällen können unverhofft zu existenzbedrohenden Schäden durch Einnahmenausfall, Schadenersatz und Bußgelder führen. Angemessener Schutz ist für alle Unternehmensgrößen und in allen Branchen notwendig und möglich. Im Interview mit Herrn Doktor Frank H. Thiele, Geschäftsführer des Systemhauses GSG mit Sitz in Reinheim und Inhaber der Consultingfirma Dr. Thiele IT-Beratung sprechen wir heute über die zunehmenden Angriffe auf Unternehmen und intelligente Lösungen zur Abwehr von Cyber-Bedrohungen.

 

IT&MEDIA: Herr Dr. Thiele, als zertifizierter Datenschützer und Cyber-Security-Experte sind Sie seit vielen Jahren in der Branche tätig. Können Sie nach den jüngsten Ereignissen bei der Deutschen Telekom eine Bewusstseinsänderung im Markt feststellen?

 

Dr. Thiele: Die Berichterstattung über Sicherheitsvorfälle ist in den vergangenen Monaten quantitativ und qualitativ gestiegen. Dies ist sehr erfreulich, da die Kultur des Verschweigens – zum Teil sogar vor den eigenen Mitarbeitern – damit aufgebrochen wird. Wir müssen noch stärker zu einem Mentalitätswechsel kommen, in dem Sicherheitsvorfälle nicht als Versagen wahrgenommen werden, sondern der kompetente und rasche Umgang mit der Situation die Stärke des betroffenen Unternehmens zeigt. Denn es ist wichtig und richtig, Präventionsmaßnahmen zu ergreifen, also im übertragenen Sinne nicht die Haustür sperrangelweit offen stehen zu lassen. Einen motivierten Einbrecher wird aber auch ein ausgeklügeltes Sicherheitskonzept letztlich nur auf- nicht aber abhalten können. Deshalb gilt es hier, die richtige Mischung aus Vorsorge, Reaktionsmaßnahmen im Schadensfall und Analyse im Nachgang zu finden. Damit ist Sicherheit ein stetiger Prozess, der sich mit der wachsenden und verändernden Bedrohungslage entwickeln muss.

 

IT&MEDIA: Als Experte für IT-Security sind Sie gerade im Bereich Kriminalität und Notfallmanagement seit vielen Jahren ein sehr gefragter Gesprächspartner. Wie hat sich das Thema in den vergangenen Jahren verändert oder sagen wir besser verschärft?

 

Dr. Thiele: Wir haben es inzwischen auf der Hacker-Seite mit einer hochspezialisierten und kriminellen Schattenwirtschaft zu tun. Stand vor wenigen Jahren noch ein gewisser Spieltrieb und der Reiz am Verbotenen und technisch Möglichen im Focus, haben wir nun IT-Kriminalität als Dienstleistung, die professionell und anonym angeboten wird. Das sieht dann wirklich so aus, dass ein Auftrag zur Spionage oder Sabotage an ein Hacker-Unternehmen, oft mit Sitz im Ausland, vergeben wird. Dieses führt dann diesen Auftrag ohne eigene Interessensmotivation gegen entsprechende Bezahlung aus. Damit steigt die potenzielle Zahl der Schadensfälle massiv an, da der Auftraggeber selbst nicht über das notwendige IT-Wissen verfügen bzw. der Hacker kein Eigeninteresse am potenziellen Opfer haben muss. Hier hat sich ein illegaler, aber hochprofitabler Wirtschaftszweig entwickelt.

 

IT&MEDIA: Herr Dr. Thiele, als zertifizierter Datenschützer und Cyber-Security-Berater analysieren Sie das individuelle Risiko und erarbeiten gemeinsam mit dem betreffenden Unternehmen ein passgenaues Sicherheitskonzept. Wie sieht das konkret aus?

 

Dr. Thiele: Die Sicherheit im Unternehmen ist eine der wichtigsten Managementaufgaben. Im ersten Schritt setzen wir uns daher mit der Geschäftsleitung und den leitenden IT-Kollegen des Unternehmens zusammen und analysieren die aktuellen Sicherheits- und Datenschutzmaßnahmen. Dann verschaffen wir uns einen Überblick über das individuelle Risikopotenzial, das sich beispielweise aus der Branche, der Marktsituation, der Art des Produkts oder der Dienstleistung und dem Grad der Digitalisierung sowie der Vernetzung innerhalb einer Produktionskette zusammensetzt. Schließlich muss mit Augenmaß ein Maßnahmenbündel erstellt werden, das zum einen ein angemessenes Sicherheitsniveau garantiert, zum anderen das betreffende Unternehmen aber nicht personell, organisatorisch und finanziell überstrapaziert. Es ist nicht notwendig, jedes Unternehmen wie Fort Knox zu sichern. Für uns als Berater stehen hier Angemessenheit und Wirtschaftlichkeit der Maßnahmen im Zentrum. Ist dies gegeben, spart das Unternehmen im Schadensfall massiv Geld und sichert wahrscheinlich damit seine Existenz.

 

IT&MEDIA: Das ist sicher richtig und ein ganz wichtiger Aspekt. Die Wirtschaftlichkeit wird oft nicht betrachtet, sondern nur erst einmal die vermeintlichen Kosten. Wie findet man als Unternehmen hier ein geeignetes Konzept, das zu einem passt?

 

Dr. Thiele: Die Konzentration auf den Kostenaspekt ist bei den Unternehmen im Moment tatsächlich leider noch vorherrschend. Dies wird sich aber aus meiner Sicht in nächster Zeit ändern. Beim Auto wird auch nicht an den Sicherheitsgurten, dem Airbag oder dem Seitenaufprallschutz gespart, weil sie in einer Unfallsituation über Leben und Tod entscheiden können. Das lässt sich 1:1 auf IT-Sicherheit im Unternehmen übertragen. Es gibt keine Information und kein Unternehmen, das für kriminelle Hacker uninteressant wäre. Gefährdet ist demnach wirklich jeder. Über die notwendigen Informationen und Instrumente zur Steigerung des Sicherheitslevels verfügen wir als Berater und legen sie der Unternehmensleitung mit entsprechender Empfehlung zur Entscheidung vor und unterstützen auch bei der Umsetzung.

 

IT&MEDIA: Glauben Sie der Mittelstand ist an dieser Stelle gut aufgestellt? Was sind ihrer Meinung nach die wichtigsten Handlungsempfehlungen aufgrund ihrer Erfahrung?

 

Dr. Thiele: Auch im Mittelstand steigt die Zahl der Schadensfälle gerade massiv an. Oft wird aber die eigene individuelle Gefährdung noch nicht erkannt oder die Bedeutung eines Angriffs mit seinen möglichen Ausmaßen nicht richtig eingeschätzt. Ein Beispiel: Fragen wir danach, ob es in der Unternehmensgeschichte bereits Sicherheitsvorfälle gab, wird dies oft spontan verneint. Fragen wir gezielt nach Viren und Trojaner, heißt es dagegen: „Ja, klar hatten wir so einen Befall schon“.

 

Auch fürchten insbesondere Mittelständler eine Störung des Alltagsgeschäfts und haben Angst vor zusätzlichen Projekten, insbesondere, wenn sie das mögliche Ausmaß nicht abschätzen können. Aus diesen Gründen verfolge ich einen modularen Sicherheitsansatz. Die optimal auf die Interessen des Mittelstands ausgerichtete VdS-Richtlinie bietet hier beispielsweise einen schnellen und einfachen Einstieg in das Sicherheitsthema, mit dem deutlich gemacht werden kann, wo das Unternehmen bereits geschützt ist und wo Verbesserungsbedarf besteht. Und da setzen wir dann ganz pragmatisch mit einzelnen Maßnahmen an.

 

IT&MEDIA: Sprechen wir einmal ganz konkret über Notfallpläne. Wieso sollte ein Unternehmen so etwas haben, wenn der Notfall vielleicht doch nie eingetreten ist?

 

Dr. Thiele: (lacht) Man weiß es halt im Vorfeld nicht. Jeder hat privat und auch geschäftlich Versicherungen abgeschlossen, für den Fall, dass bestimmte Ereignisse eintreffen. Dies ist übrigens auch in der IT sinnvoll, um Restrisiken über spezielle Cyber-Versicherungen abzudecken. Was aber genauso wichtig ist, ist eine Struktur für die Bewältigung des Schadensfalls, um bei entstehender Panik und unter Stress die richtigen Entscheidungen treffen zu können und schnellen Zugriff auf alle wichtigen Informationen zu haben. Dies kann man im Vorfeld in aller Ruhe durchdenken und üben. In anderen Bereichen wie dem Arbeitsschutz und Brandschutz ist so etwas bereits gang und gäbe. In der IT ist es genauso sinnvoll und notwendig. Auch wenn man natürlich hofft, dass man es nie im Ernstfall anwenden muss.

 

IT&MEDIA: Auf dem 5. IT&MEDIA FUTUREcongress sind Sie mit einem Vortrag auf der Konferenz dabei. Anschließend können die Besucher auch auf Ihrem Messestand persönliche Fragen zur IT-Sicherheitslage im Unternehmen stellen. Welche Highlights werden Sie im Vortrag präsentieren?

 

Dr. Thiele: Ich begreife Sicherheit als Thema mit mehreren Handlungsfeldern. Technische Maßnahmen wie Firewalls oder Zugangsbeschränkungen helfen nichts gegen Social Engineering, bei dem Mitarbeiter ganz gezielt und psychologisch äußerst geschickt ausgehorcht und manipuliert werden und umgekehrt. Daher werde ich darstellen, auf welchen Wegen Kriminelle versuchen, das Unternehmen zu schädigen und mit welchen konkreten Maßnahmen dies vereitelt werden kann.

 

IT&MEDIA: Ganz herzlichen Dank für das Gespräch. Wir freuen uns auf ihren Vortrag!