Ein neuer Arbeitsmarkt tut sich auf für IT-Sicherheitsspezialisten wie Markus Geier aus Gröbenzell 

Angriffsziel IT: Mittelstand muss Kronjuwelen schützen 

+
Markus Geier, IT-Spezialist, berät Mittelständische Unternehmen. 

Gröbenzell – Die Säulen des deutschen Exports sind erfolgreiche Mittelstandsunternehmen. Ihr technisches Know-how und Erfindergeist sind im Fokus der Cyber-Kriminellen. „Schützen Sie Ihre Kronjuwelen“, rät Sicherheitsspezialist Markus Geier. Er hat sich nach jahrelanger Berufserfahrung in NRW mit einem Startup-Unternehmen in Gröbenzell selbständig gemacht  – spezialisiert auf die Beratung und Unterstützung von Mittelstandsunternehmen auf dem Gebiet der Cyber-Sicherheit.

Herr Geier, in Ihrem Whitepaper, das eine spezielle Sicherheitsanalyse Ihrer neuen Firma ComCode vorstellt, warnen Sie vor der unautorisierten Nutzung von Clouds und anderen Internet-Diensten durch Mitarbeiter eines Unternehmens und der sog. „Schatten-IT“, die nicht von der IT-Abteilung kontrolliert wird. Können Sie dies erläutern?

Markus Geier: Als "Kronjuwelen" bezeichnet man die sensibelsten und wertvollsten Daten eines Unternehmens. Das sind z. B. Daten zu strategischen Vorhaben, Einkaufsdaten, Kalkulationen und Kreditkarten- und Kundendaten. Bei produzierenden Betrieben gehören unbedingt die Daten der Forschungs- und Entwicklungsabteilung und die der Produktion dazu. Auf diese ca. 5-10% des gesamten Datenbestandes muss man aufpassen, wie auf einen wertvollen Schmuck. Den legt man ja auch besser in ein Bank-Schließfach als in ein simples Schließfach am Hauptbahnhof. Dies lässt sich 1:1 auf die Nutzung Cloud-Diensten übertragen: Die Kronjuwelen gehören, wenn überhaupt in die Cloud, dann in hochsichere Daten-Schließfächer. Zum gefürchteten Know-How-Diebstahl: Das bedeutet, dass Kronjuwelen, z. B. in Form von Dokumenten, Listen-E-Mails oder Datenbank-Auszügen, an unautorisierte Dritte weitergegeben werden. Dies kann durch eigene Mitarbeiter oder durch externe Angriffe auf die Computersysteme erfolgen. Es ist für die Unternehmensführung dringlich eine engmaschige Kontrolle des Zugriffs auf die hochsensiblen Daten zu etablieren.

Ungewollte Datenabflüsse können insbesondere auch über die sog. „Schatten-IT“ erfolgen. Als „Schatten-IT“ bezeichnet man IT-Anwendungen und Datenverbindungen welche an der IT-Abteilung vorbei von Fachabteilungen betrieben werden. Das können z. B. umfangreiche Excel-Datenbestände oder kleine aber wichtige Datenbanken sein. Häufig ist damit die unautorisierte Nutzung von Cloud-Diensten wie Dropbox oder Google Drive zur Datenkommunikation verbunden. Diese werden zur Synchronisation von Dateien zwischen Personen und Computern – auch unternehmensfremden - verwendet. Dabei geht schnell die gewünschte Kontrolle der Daten verloren.

Haben Sie Zahlen zur aktuellen Cyber-Sicherheit präsent?

Markus Geier: Bereits 24% aller Hackerangriffe betrafen 2012 Fertigungsbetriebe. Über 60% der Vorfälle werden von Mitarbeitern selbst verursacht, beabsichtigt oder versehentlich. Die Schwachstelle ist der Mensch. Aus mehr als 50% aller Unternehmen fließen Daten ab, dies es eigentlich nicht verlassen dürften. Und: Kein Unternehmen ist unwichtig genug, als dass es nicht gehackt werden könnte. Die Zahlen zeigen zweierlei: Es besteht Handlungsnotwendigkeit und Sicherheitskonzepte müssen den Faktor Mensch mit einbeziehen.

Sie wenden modernste Analysetechniken an. Ihre Firma prüft im Rahmen von Sicherheitsanalysen Datenabflüsse und Unregelmäßigkeiten im Datenverkehr. Mit welcher Methode arbeiten Sie?

Markus Geier: Unser CyberSpy ist ein Service, das den Datenfluss des Unternehmens transparent macht. Mit modernsten, einfach zu installierenden Analysetechniken wird die Kommunikation des Netzwerks überprüft. Nach einer ca. vierwöchigen automatischen Analyse werden Unregelmäßigkeiten im Datenverkehr sowie auch unautorisierte Verbindungen ermittelt. Diese Auswertung dient zur Erarbeitung von Präventions-Empfehlungen zur Risikovermeidung. Die betriebseigene IT erhält zusätzlich Informationen zur Optimierung ihrer Netzwerk-Strukturen. 

Herr Geier, Sie haben eine 25-jährige Erfahrung als Spezialist für Informationstechnik, Softwareentwicklung und IT-Architektur weltweiter Plattformen vorzuweisen. Welche Sicherheitsanforderungen stellt das zu beratende Unternehmen umgekehrt an einen externen Berater?

Markus Geier: Kunden fordern, neben Sicherheits-Expertise und umfangreicher Erfahrung, besonders eine verständliche und konstruktive Kommunikation der mitunter sehr sensiblen Themenkomplexe. Die nachhaltige Schaffung von Sicherheit bedeutet alle Unternehmensbereiche abzuholen und in ein unternehmensweites Sicherheitskonzept zu integrieren. Das steckt auch im Namen „Com - Code“: Der Kommunikationsschlüssel zum nachhaltigen Erfolg. In unseren Analysen spielt der Datenschutz natürlich auch eine große Rolle. Die Erhebung von personenbezogenen Daten wird wenn möglich vermieden. Falls dies doch notwendig wird, involvieren wir immer den Datenschutzbeauftragten und den Betriebsrat des Unternehmens.

Bei Ihrer Tätigkeit geht es im Schwerpunkt um die Sicherung vertraulicher Unternehmens-Daten. Raten Sie zur Verschlüsselung von E-Mails?

Markus Geier: Es wird derzeit viel über Verschlüsselung gesprochen. Cyber-Sicherheit ist jedoch ein Gesamtkonzept,  das Technik, Prozesse und Menschen integrieren muss. Verschlüsselung ist dabei ein Baustein. Es beginnt schon bei der Beschaffung von neuen Hard- und Softwarelösungen. Diese sollten definierten Unternehmensstandards und Sicherheitsvorhaben entsprechen. Bevor ein Betrieb das Geld für neue IT-Lösungen investiert, müssen ausgewogene Konzepte zum Schutz der Kronjuwelen erarbeitet sein. Diese umfassen Zugangs- und Zugriffskontrolle, Systemüberwachung, Notfall-Vorsorge, Verträge mit Externen, sichere Software-Entwicklung und ein ISO27001 orientiertes Sicherheits-Management-System, um einige Top-Themen anzusprechen. Verschlüsselung kommt immer dann ins Spiel wenn es um die Speicherung und den Transport der "Kronjuwelen" geht. Bei der Verschlüsselung ist wichtig, dass das Unternehmen entweder die Hoheit über die Schlüssel hat oder einen zertifizierten Partner mit der Schlüsselverwaltung beauftragt.

Stichwort „Cloud“. In der August-Ausgabe warnte „Stiftung Warentest“, vor dem unbekümmerten Umgang mit Daten in der Cloud, sei es am Computer oder über das Smartphone. Fast alle Internetnutzer schwebten in den „Datenwolken“, in denen größtenteils ihre Mails, Kontakte, Termine, Musik, Videos und Fotos gespeichert seien. Bei den Anbietern stellte „Stiftung Warentest“ in punkto Datensicherheit und Datenschutz noch „Nachholbedarf“ fest. Wobei betont wird, dass der Datenschutz in Europa „deutlich besser ist als in den Vereinigten Staaten“.

Markus Geier: Ein Fakt bei der „Cloud“ ist, dass die Daten auch in Indien, in Russland oder in einem US-Rechenzentrum liegen können. Zu unterscheiden ist die private Nutzung von Cloud-Diensten und die berufliche Nutzung in Verbindung mit Unternehmensdaten. Dies sollte strikt voneinander getrennt werden und bedeutet z.B. keine oder eine  streng reglementierte Nutzung von privaten Geräten, z. B. Smartphones. Ein deutsches Unternehmen sollte einen Vertrag mit einem deutschen bzw. europäischen Anbieter schließen und – ganz wichtig – dabei auch vertraglich festlegen, wo konkret die Daten liegen und wer darauf Zugriff hat. Weiterhin sollte definiert sein wie Daten bei Vertragskündigung wieder aus der Cloud heraus transferiert werden können. Ich will jedoch deutlich machen, dass neben der sicheren Nutzung von Cloud-Diensten, die Absicherung der betriebs-internen IT-Systeme und Internet-Zugänge die große Aufgabe ist. Hier besteht ein deutlicher, auch in neutralen, staatlichen Studien dargestellter, Nachholbedarf. Was man nicht genug betonen kann: Für den zukünftigen Erfolg des Wirtschaftsstandortes Deutschland und seiner Unternehmen sind exzellent abgesicherte Informationssysteme und die Vertraulichkeit der Daten existenziell. Deshalb sollten deutsche Unternehmen unter allen Umständen die Hoheit über ihre vertraulichsten Daten, deren Speicherung und Kommunikation behalten.

Interview:  Hedwig Spies 

Auch interessant

Meistgelesen

Mit Picknickkorb zum Kloster
Mit Picknickkorb zum Kloster
Ballenpresse fängt Feuer
Ballenpresse fängt Feuer
Grundschüler ernten und kochen gemeinsam
Grundschüler ernten und kochen gemeinsam
"Summer Splash" mit Radio Fantasy im Allgäu Skyline Park
"Summer Splash" mit Radio Fantasy im Allgäu Skyline Park

Kommentare