Sicherheit als Herausforderung in der digitalen Transformation

Mit der digitalen Transformation Ihres Unternehmens steht IT-Sicherheit immer stärker in der Verantwortung. Denn Digitalisierung, die nachhaltig effizient und produktiv sein soll, kommt nicht ohne eine umfassende Sicherheitsstrategie aus. Wie aktuelle Studien und Befragungen zeigen, nehmen viele Unternehmen das Thema Sicherheit immer noch zu sehr auf die leichte Schulter – oder zögern mit der Einführung digitaler Prozesse, weil sie Angst vor fatalen Sicherheitslücken haben.

Der Fall „Hillary“ zeigt, woran es hakt

Bei der US-Präsidentschaftswahl im November 2016 hatte die demokratische Kandidatin Hillary Clinton mit einem schwerwiegenden Fehler zu kämpfen: Als US-Außenministerin hatte sie für ihren privaten und beruflichen Mail-Verkehr „aus Bequemlichkeit“ auch einen privaten E-Mail-Server  genutzt – ein eklatantes Sicherheitsrisiko, das für den Datenmissbrauch durch Unbefugte Tür und Tor öffnete. Was hier geschehen ist, gehört auch in Unternehmen zu den größten Schwachstellen für die Sicherheit: E-Mails inklusive hereinflutender Maleware, unkontrollierte Internetanbindung und die „Fehlerquelle“ Mensch bilden nach wie vor die größten Sicherheitsrisiken in der digitalen Welt. Zudem nutzen immer mehr Menschen für ihre Arbeit Tablets und Smartphones – doch nach wie vor sind 17 Prozent der in KMU eingesetzten Smartphones nicht abgesichert (DsIN SicherheitsMonitor 2016 Mittelstand. IT-Sicherheitslage in Deutschland. 2016, S. 13).

Mit der Digitalisierung erreicht die Vernetzung und Interaktion von Anlagen, Maschinen, Unternehmensbereichen, Back Office, Dienstleistern, Lieferanten, Crowd Services und nicht zuletzt den Kunden eine neue Dimension. Dass diese Komplexität auch mit neuen Sicherheitsrisiken einhergeht, liegt auf der Hand. Viele Unternehmen sehen die Chancen, die die Digitalisierung für die Steigerung von Produktivität, Effizienz und Kundenbindung mit sich bringt. Oft fehlt ihnen jedoch noch der Blick für das gestiegene Bedrohungspotenzial durch digitale Angreifer und Sicherheitslücken.

IT-Spezialisten treten hier als wichtige Berater von Management und Belegschaft in Aktion. Und als versierte Strategen, die über den großen Überblick verfügen, um eine umfassende und unternehmensweite Sicherheitsstrategie zu entwickeln.

Gefahr erkannt – und beiseite geschoben

Laut der Studie „Digitalisierung und IT-Sicherheit“ der Bundesdruckerei in Zusammenarbeit mit KANTAR EMNID erkennen 43 Prozent der Unternehmen den Verbesserungsbedarf bei technischen IT-Sicherheitsmaßnahmen, 39 Prozent bei organisatorischen und 32 Prozent bei personellen IT-Sicherheitsmaßnahmen“. (Bundesdruckerei GmbH in Zusammenarbeit mit KANTAR EMNID, Studie Digitalisierung und IT-Sicherheit in deutschen Unternehmen, 2017, S. 5)

Trotzdem steckt die Industrie hier in einem Dilemma: Die digitale Transformation schreitet mit atemberaubendem Tempo voran, und da will man den Anschluss in der Welt nicht verpassen. Drum zieht man gern einmal mit den neuen Technologien mit, ohne für den Ernstfall – etwa eines Cyber-Angriffs – eine adäquate Lösungsstrategie parat zu haben.

Sicherheits-GAU wird mit Verlust von Kundenvertrauen bezahlt

Das Thema Sicherheit wird demnach zugunsten einer schnelleren Digitalisierung gerne in den Hintergrund gedrängt – unter Umständen mit fatalen Folgen. Sollten beispielsweise Kundendaten in unbefugte Hände gelangen – wie dies etwa in großem Umfang bereits bei T-Online, dem Gamer-Portal Valve oder Facebook geschehen ist – führt dies in den Kundenbeziehungen zu irreparablen Schäden, die gerade für kleine und mittelständische Betriebe existenzbedrohend sein können.

Über 50 Prozent der Unternehmen betroffen

Aber die Gefahren durch ungesicherte Prozesse und IT-Schwachstellen sind noch weitaus vielfältiger:

  • Manipulation von Daten aller Art
  • Sabotage und Manipulation betrieblicher Prozesse oder von IT-Systemen
  • Diebstahl von Entwicklungs-Know-how
  • Diebstahl von Finanzdaten
  • Ausspähen der elektronischen Kommunikation
  • Erpressung

Laut Digitalverband BITKOM waren in den Jahren 2014/2015 51 Prozent der Unternehmen von Wirtschaftsspionage, Sabotage und Datendiebstahl betroffen – am stärksten mittelständische Betriebe mit 100 bis 499 Mitarbeitern. (BITKOM-Studienbericht Spionage, Sabotage und Datendiebstahl– Wirtschaftsschutz im digitalen Zeitalter, Berlin 2015)

Treffen kann es jedes Unternehmen, jede Behörde und kommunale Einrichtungen wie Energieversorger oder Verkehrsbetriebe. Die Sicherheitsfirma Sophos demonstrierte die Gefahr auf der CeBIT 2015 mit einem Versuchsaufbau: Bereits 15 Minuten nach dem Start wurden mehr als 700 Angriffe auf die Steuerungsanlage registriert. Auf der DEF CON 2016 identifizierten Hacker 47 sicherheitskritische Schwachstellen in 23 IoT-Geräten. Den jährlichen Schaden durch Cyber-Attacken schätzte der deutsche Cyber-Sicherheitsrat bereits 2015 auf etwa 50 Milliarden Euro – genaue Zahlen gibt es hier nicht, da viele Unternehmen ihre Vorfälle nicht melden.

Je komplexer die Infrastruktur, desto vielfältiger die Gefahren

Attacken von außen werden vor allem durch interne Schwachstellen begünstigt. Dazu zählen:

  • Gewinnstreben wichtiger als Sicherheit, Investitionen in moderne Software und Services bleiben aus
  • Unterbesetzte IT-Abteilungen mit immer komplexeren Aufgaben
  • Mangel an kompetentem Personal im Bereich IT-Sicherheit
  • Mangelndes Gefahrenbewusstsein bei Management und Belegschaft
  • Althergebrachte, schlecht abzusichernde Kommunikationsabläufe mit Behörden, Lieferanten und Kunden werden aus Bequemlichkeit beibehalten
  • Gigantische Anzahl der zu überwachenden Ereignisse, bei denen ein Angreifer unbemerkt durchschlüpfen kann

Was können IT-Leiter tun?
  • Generell empfiehlt es sich zu versuchen, die Perspektive eines Angreifers zu übernehmen, um Erkenntnisse über dessen Intentionen und Vorgehensweisen zu gewinnen. Dies erleichtert die Identifizierung der entscheidenden Schwachstellen und das gezielte Stopfen von Sicherheitslöchern.
  • Wichtig ist, eine unternehmensweite, effiziente Gesamtstrategie für die IT-Sicherheit zu entwickeln. Diese muss wirkungsvoll Gefahren abwehren, darf aber die Performance der IT-Infrastruktur nicht spürbar belasten. Mit einem Wort: IT-Sicherheit darf kein „Flaschenhals“ werden.
  • Als IT-Spezialist sind Sie dafür prädestiniert, die Geschäftsführung und Mitarbeiter für das Thema Sicherheit zu sensibilisieren.
  • IT-Strukturen schlanker und die Datenflut überschaubarer machen. Das geht oft wirkungsvoll und einfach mit professionellen, zertifizierten Cloud-Lösungen.
  • Schnittstellen zwischen Maschinen und Anlagen, zu externen Stellen (Cloud, Filialen, Niederlassungen, Lager, Lieferanten, Kunden ...) laufend überwachen und besonders absichern. Oder einen Anbieter wählen, bei dem das zum Servicepaket gehört.
  • Differenzierte Vergabe von Zugriffsrechten. Darauf achten, dass extern eingekaufte Lösungen, etwa Cloud-Dienste zur Datenablage und zum Austausch, über entsprechende Möglichkeiten verfügen.
  • Compliance-Regularien für den Bereich Sicherheit entwickeln und deren Einhaltung kontrollieren.
  • Grundschutz durch regelmäßige Software-Updates, Virenscanner, Firewall, laufende Überwachung des gesamten IT-Systems (Schwachstellen, Cyber-Attacken), und wirksame Verschlüsselungsverfahren.

Wollen Sie mehr Informationen zur Digitalisierung Ihres Unternehmens?

Dann laden Sie sich unsere unverbindlichen und kostenlosen Whitepaper herunter. Diese versorgen Sie mit noch mehr Expertenwissen und vielen wissenswerten Informationen rund um das Thema Digitalisierung.

Damit wir Ihnen unser Whitepaper zusenden können, benötigen wir von Ihnen einige Angaben zu Ihrer Person und Ihrem Unternehmen.

Für Ihre nachfolgende Einwilligung stellen wir Ihnen gerne unser Whitepaper kostenlos zur Verfügung: