Sicherheit im Unternehmen

Schutz vor IT-Angriffen und Wirtschaftsspionage

10.06.2011

„Oh Sony!“ – Der Stoßseufzer von „ZaphodX“ fasst in zwei Worten zusammen, was 77 Millionen Nutzer des Sony-Playstation-Netzwerks oder des Video- und Musikservices „Qriocity“ Ende April gedacht haben. „Das ist ein unglaublicher Vertrauensbruch! Ich dachte meine Daten wären bei so einem renommierten Unternehmen sicher. Wem kann man in dem Punkt dann überhaupt trauen“, schreibt „ZaphodX“, einer der 77 Millionen Nutzer, am 26. April um 23:54 Uhr im deutschsprachigen Playstation-Blog. Vorausgegangen ist etwas, das Experten einen der größten Datendiebstähle der Geschichte nennen: Computer-Hacker haben bei einem Angriff private Informationen aus bis zu 77 Millionen Nutzerkonten des japanischen Elektronikriesen Sony gestohlen. Genauer: Name, Adresse (Stadt, Bundesland, Postleitzahl), Land, E-Mail-Adresse, Geburtsdatum, Passwort und Login. „Es kann darüber hinaus möglich sein, dass auch Ihre Profilangaben inklusive ihrer Kaufhistorie und Ihrer Rechnungsanschrift sowie die Sicherheitsfragen zu Ihrem Passwort widerrechtlich abgerufen wurden“, teilt Sony seinen Kunden im Internet mit. Anfang Mai musste der Konzern eine zusätzliche Sicherheitslücke einräumen – Hacker hatten sich Zugang zu weiteren 25 Millionen Nutzerkonten verschafft, inklusive Kreditkarten- und Bankkontoinformationen.

Nach Expertenschätzungen könnten die Hackerangriffe das Unternehmen mehrere Milliarden Dollar kosten. So weit der materielle Schaden. Aber es ist noch schlimmer. Sony hat sich „das wichtigste Gut seiner Kunden rauben lassen“, schrieb die „Süddeutsche Zeitung“ in einem Kommentar. „Das Unternehmen hat geschlampt – und somit das Vertrauen von Millionen Konsumenten eingebüßt.“ Der Imageschaden ist immens. „Bin nur noch enttäuscht“, schreibt Nutzer „ZaphodX“. Wer weiß, wie viele Nutzer aus ihrer Enttäuschung und Wut die Konsequenzen ziehen und dem Konzern den Rücken kehren. Der Vertrauensverlust könnte Sony weitere Milliarden kosten.

Das Bewusstsein hinkt hinterher

„Sony, Playstation – was hat das mit uns zu tun?“, könnten sich jetzt die Leserinnen und Leser dieses Magazins fragen. Wer interessiert sich schon für die Daten der kleinen Werbeagentur in Bonn, der Troisdorfer Apotheke oder des Gewerbebetriebs mit 20 Mitarbeitern in Siegburg? Nun: Fast jedes zehnte Unternehmen wurde bereits Opfer eines erfolgreichen Angriffs auf die eigene Internetpräsenz. So lautet das alarmierende Ergebnis der Studie „Netz- und Informationssicherheit in Unternehmen 2010“ des Netzwerks Elektronischer Geschäftsverkehr. Immer häufiger werden auch kleine und mittlere Unternehmen und das Handwerk Opfer von Computerkriminalität. 61,1 Prozent der Befragten gaben an, dass externe Faktoren, etwa Sicherheitslücken in der Website-Software, zu dem Angriff geführt haben. Das mit Abstand höchste Risiko sehen die befragten Unternehmen in der Manipulation oder dem Diebstahl von Kundendaten. Hier sei das Schadenspotenzial enorm hoch.

Zwischen Schadenspotenzial und Bewusstsein klafft allerdings eine Lücke. „Bei vielen mittelständischen Unternehmen ist das Problembewusstsein für Datensicherheit noch nicht so ausgeprägt wie in Großunternehmen“, sagte Professor Dr. Peter Martini, Leiter des Fraunhofer-Instituts für Kommunikation, Informationsverarbeitung und Ergonomie (FKIE) in Wachtberg, bei einer Veranstaltung des Mittelstandsnetzwerks „BonnSoir“ zum Thema Datendiebstahl und -spionage in Unternehmen im Februar. Nach Ansicht von Stefan Becker vom Bund Deutscher Kriminalbeamter, der ebenfalls bei dem Netzwerkabend referierte, sind die wichtigsten Gefahrenquellen nachlässige Sicherheitsstandards, Leichtgläubigkeit und Unerfahrenheit der Beschäftigten sowie fehlende Handlungsanweisungen zum Thema IT-Sicherheit.

Professor Dr. Peter Martini, Leiter des Fraunhofer-Instituts (FKIE)

"Es ist eine wichtige Führungsaufgabe zu entscheiden, welche Daten wie schützenswert sind und danach gezielt seine IT-Struktur auszurichten."

Um das Problembewusstsein zu schärfen, sind zunächst einige Begriffsklärungen hilfreich. „Sicherheit“ ist, ganz allgemein, „der Zustand des Sicherseins, Geschütztseins vor Gefahr od. Schaden“; so definiert es das Deutsche Wörterbuch. Gefahren und Schaden drohen Unternehmen aus ganz unterschiedlichen Richtungen: durch Feuer und Hochwasser etwa, Einbruch und Diebstahl, Vandalismus oder Wirtschaftsspionage. Und – siehe Sony – durch den Verlust von Daten, der wiederum drei Ursachenbündel haben kann: widerrechtlichen Zugriff von außen oder auch eigenen Mitarbeitern, Nachlässigkeit beim Sichern von Daten oder technische Probleme, etwa Stromausfall. Ein weites Feld, würde Fontane sagen. Der vorliegende Artikel konzentriert sich deshalb auf den widerrechtlichen menschlichen Zugriff. Dabei streift er den tatsächlichen physischen Zugriff, also die Themen Einbruch und Diebstahl, konzentriert sich jedoch auf die Themen Wirtschaftsspionage und Daten- beziehungsweise IT-Sicherheit.

Immer drängender: IT-Sicherheit

„Das Thema IT-Sicherheit wird – auch und gerade für kleine und mittlere Unternehmen – immer wichtiger“, betont Heiko Oberlies, IT-Experte der IHK Bonn/Rhein-Sieg. Der Grund ist einfach: Von A wie Auftragsverwaltung bis Z wie Zahlungsaufforderungen werden inzwischen selbst in kleinsten Unternehmen immer mehr Prozesse elektronisch durchgeführt. Mit moderner Informationstechnologie lassen sich Kosten senken, Innovationsprozesse beschleunigen und Geschäftsprozesse effizienter gestalten. Finanz-, Kunden- und Produktdaten sind für Firmen von existenzieller Bedeutung – und damit entsprechend sensibel. „Bei einem Verlust von Unternehmensdaten wäre entweder ein meist erheblicher Zeitaufwand zur Rekonstruktion der verlorengegangenen Daten erforderlich oder, im schlimmsten Fall, die Informationen unwiederbringlich dahin“, unterstreicht Andreas Duscha, Leiter des E-Commerce-Centers (ECC) Handel in Köln. Sämtliche unternehmenskritischen Daten sind abgespeichert und damit verfügbar. „Die logische Schlussfolgerung hieraus müsste sein, dem Schutz der Infrastruktur höchste Priorität einzuräumen“, findet Wolfgang Strasser, Geschäftsführer der @-yet GmbH in Pulheim. „Der beginnt bei der Sicherstellung der Verfügbarkeit der IT und der Daten – also einer sicheren Stromversorung, einer zuverlässigen Klimatisierung der Rechner in den Serverräumen und der Zutrittskontrolle“, erklärt Rainer von zur Mühlen, Geschäftsführer der Von zur Mühlenschen Unternehmensberatung GmbH in Bonn. „Aber er endet dort nicht! IT-Sicherheit ist eine Querschnittsaufgabe, zu der genauso die informationelle Sicherheit gehört, also der Schutz vor dem widerrechtlichen Zugriff auf die Firmendaten.“ Nach Ansicht von Experten richten viele Firmen ihr Augenmerk aber darauf, die IT-Systeme vor Ausfall zu schützen – nicht vor Angriffen von außen.

Die, die sich darüber bereits Gedanken gemacht haben, gehen von einer wachsenden oder sogar stark wachsenden Bedrohungslage aus. 85 Prozent der vom eco-Arbeitskreis Sicherheit im Verband der deutschen Internetwirtschaft in der Studie „Internet-Sicherheit 2011“ befragten Unternehmen sind dieser Meinung. Klar ist ihnen zudem: Im Vordergrund stehen organisatorische Sicherheitsthemen, nicht technische. Thema Nummer 1 ist laut Umfrage der Datenschutz, gefolgt von der Mitarbeiter-Sensibilität. Das wichtigste technische Thema bleibt der Schutz vor Schadsoftware im Web.

Drei Schritte zur IT-Sicherheit

Hört man sich bei IT-Sicherheitsfachleuten in Bonn um, wird schnell klar: Es könnte eigentlich ganz einfach sein. Wenn diese Schritte in allen Unternehmen beachtet würden.

Definition - „Es ist eine wichtige Führungsaufgabe zu entscheiden, welche Daten wie schützenswert sind und danach gezielt seine IT-Struktur auszurichten“, sagte Fraunhofer-Experte Peter Martini beim „BonnSoir“-Netzwerkabend. Der Aufwand, der zur Umsetzung notwendig ist, muss sich einerseits an der Schutzwürdigkeit orientieren, andererseits an den Auswirkungen der Sicherheitslösungen auf die betrieblichen Prozesse, die noch akzeptiert werden können. „Die technische Realisierung ist nur der letzte Schritt und vergleichsweise einfach“, weiß Timm Aust, Senior Consultant bei der Bonner anykey GmbH. „Entscheidend hingegen ist, die Vorgaben für den Umgang mit den Daten zu erarbeiten, die gesetzlichen Vorgaben zu berücksichtigen und die Auswirkungen auf die Prozesse des Unternehmens zu klären“, erläutert Aust, der in Zusammenarbeit mit der IHK Bonn/Rhein-Sieg Unternehmen auch ehrenamtlich berät („IHK-Pro-bono-Berater“). Gesetzliche Vorgaben – das ist vor allem das Bundesdatenschutzgesetz. Es regelt allerdings nur personenbezogene Daten. Hajo Bickenbach kennt sich da aus und legt Wert auf folgende Unterscheidung: „IT-Sicherheit betrifft die Sicherheit aller Daten, also inklusive Produkt- und Firmendaten“, erklärt der Geschäftsführer der Bonner 2B Advice GmbH. „Von Datenschutz spricht man bei Personendaten.“ Datenschutz ist zwar ohne IT-Sicherheit nicht zu haben, andererseits unterliegen etwa Firmengeheimnisse, und seien sie für das Unternehmen noch so bedeutend (etwa die Rezeptur für die Haribo-Goldbären), nicht dem Datenschutz, obwohl sie jedoch äußerst schützenswert sind.

Der erste Rat von Bickenbach ist also noch grundlegender: „Datenschutz wird oft unterschätzt. Er beginnt aber schon mit der Frage, wie man sich zum Beispiel rechtlich korrekt die Einwilligung holt, wenn man eine Kundendatei aufbauen will“, so Bickenbach.

Organisation - Jedes Unternehmen muss dafür Sorge tragen, dass der Zugriff auf Personaldaten intern genau geregelt und begrenzt ist und extern unmöglich ist. Das ist noch keine technische, sondern eine organisatorische (und natürlich auch rechtliche) Frage. Wichtiges Stichwort in diesem Zusammenhang: Compliance. Viele größere Unternehmen haben inzwischen Compliance-Richtlinien erlassen. IT-Compliance etwa meint in der Unternehmensführung die Einhaltung der gesetzlichen, unternehmensinternen und vertraglichen Regelungen im Bereich der IT-Systeme eines Unternehmens. Es geht um Verfügbarkeit, Informationssicherheit, Datenschutz und Datenaufbewahrung.

Und es geht um Wissen: „Sicherheit lässt sich nicht nur über hohe Sicherheitsstandards erreichen“, sagte Hauptkommissar Stefan Becker beim „BonnSoir“-Netzwerkabend. Der „Faktor Mensch“ sei nicht zu unterschätzen: „Die Zufriedenheit und Identifikation der Mitarbeiter mit dem Unternehmen ist ebenso wichtig.“ Mitarbeiter können nämlich durchaus eine Gefahrenquelle sein – aus bösen Absichten, aber vor allem durch Unwissenheit und nachlässige Regelungen. Die eingangs zitierte Studie des Netzwerks Elektronischer Geschäftsverkehr förderte zu Tage, dass ein Drittel der befragten Unternehmen auf Schulungen der Mitarbeiter zum Thema IT-Sicherheit verzichtet. Das ist schlecht, denn Wissen und ein entsprechend sensibler Umgang mit Unternehmensdaten sind eine wichtige Ergänzung jedes Schutzkonzepts. Wilfried Karden wird deutlich: „Sie können heute nicht mehr verhindern, dass Angreifer in Ihre Unternehmens-IT gelangen“, weiß der Projektverantwortliche für Abwehr von Wirtschaftsspionage im Ministerium für Inneres und Kommunales des Landes NRW in Düsseldorf, „Sie können jedoch verhindern, dass er dort etwas Verwertbares findet!“ Dazu müsse jedes Unternehmen zunächst definieren, welche Daten sensibel sind, und dann das Personal entsprechend schulen. „Es kommt heute wieder auf jeden einzelnen Mitarbeiter an“, so Karden, „alle müssen einbezogen, sensibilisiert und geschult werden.“

Technische Umsetzung - Sind die rechtlichen Aspekte und das Organisatorische geklärt, wird es technisch. Das Problem dabei: „Es gibt keine genaue Regelung über die IT-Sicherheit beim Datenschutz“, weiß Bickenbach. Das Gesetz sagt lediglich, die Daten müssten „angemessen geschützt“ werden. Je größer das Unternehmen, desto eher wissen die eigenen IT-Experten, was zu tun. Je kleiner der Betrieb, desto eher empfiehlt es sich, externen Rat einzuholen. anykey-Berater Aust macht deutlich, dass es – die richtigen Definitionen und korrekte Planung vorausgesetzt – angemessene technische Lösungen gibt und sich die hohen Kosten für die Fortbildung der eigenen, ohnehin meist schon stark belasteten IT-Administratoren einsparen lassen. „Outsourcing ist möglich und sinnvoll, das spart viel Zeit und Geld, ohne dass es zu Sicherheitseinbußen kommt“, so Aust. Im Gegenteil: Oft stoßen Systemadministratoren in kleineren Betrieben irgendwann an Grenzen, weil sie sich um alle IT-Belange kümmern müssen, allein das Thema IT-Sicherheit aber immer komplexer wird, technisch ebenso wie juristisch. Hier lauern zahlreiche Fallstricke. Experten wie die Von zur Mühlensche Unternehmensberatung, 2B Advice oder Anykey helfen dabei, diese zu umgehen.

2B Advice etwa hat Fachjuristen, Software-Entwickler und IT-Sicherheitsfachleute im Team und bietet Beratung, Zertifizierung und Software in Sachen Datenschutz an, auch international. Die Software beispielsweise unterstützt Datenschutzbeauftragte in Unternehmen und ist auf die Kunden zugeschnitten – von der Einzelplatzversion bis zur Konzernlösung. Das Unternehmen übernimmt auf Wunsch auch die Funktion eines externen Datenschutzbeauftragten – ideal für kleine Unternehmen, die eine solche Funktion nicht selbst übernehmen wollen oder können. anykey, 1999 gegründet, hat sich auf Beratung spezialisiert, bietet aber auch technische Lösungen an. Aktuelles Beispiel aus dem Beratungsalltag: Zugangssicherheit. Ein mittelständisches Unternehmen mit 80 Mitarbeitern klagt über hohes Spam-Aufkommen. Es hat sich herausgestellt, dass es Lücken sowohl bei der Zugangs- als auch bei der Mailsicherheit gab. Die Folgen: Ein Server war mit einem sogenannten „Spam-Bot“ befallen, der dafür sorgte, dass von dort zehntausende Spam-Mails versandt wurden. anykey installierte eine technische Lösung, die die Probleme behob und durch eine Reporting-Funktion seitdem dafür sorgt, dass die Aufmerksamkeit der IT-Leute sofort auf neue Angriffe und Lücken gelenkt wird.

Die Von zur Mühlensche Unternehmensberatung (VZM) ist das älteste Unternehmen seiner Branche, es ist bereits seit 1972 aktiv. IT-Sicherheit ist ein Thema, allerdings berät VZM umfassend. Im Angebot sind Sicherheitskonzepte für kleine und mittlere ebenso wie für Großunternehmen und öffentliche Institutionen. Selbst die Uno und die Europäische Zentralbank zählen zu den Kunden von VZM. Am Anfang aller Beratungsaufträge – unabhängig von der Art und Größe der Kunden – stehen drei Ws: „Wovor will ich mich schützen, wie kann ich mich schützen, welche Methoden erzielen die größte Wirkung“, erklärt Rainer von zur Mühlen das Prinzip. „Das beste Sicherheitskonzept ist nicht das teuerste oder aufwändigste, sondern dasjenige, welches für das jeweilige Unternehmen am besten passt, betont der VZM-Gründer. Ausgehend von den Antworten auf die drei W-Fragen berücksichtigen die Berater theoretisch alle Arten von Sicherheit – vom Personenschutz über die Sicherung von Zufahrtswegen bis zur Sicherheit der Netze und Kommunikationswege. Von zur Mühlen: „Wir betrachten Sicherheit ganzheitlich.“

Augen auf am Messestand – Wirtschaftsspionage

Ganzheitlich ist ein gutes Stichwort, denn auch wenn IT-Sicherheit für viele Unternehmen derzeit das Sicherheitsthema Nummer 1 ist, gibt es ein zweites, das viele unterschätzen: Wirtschaftsspionage, also der Diebstahl von Know-how. Der funktioniert zum Teil so, wie man das aus Agentenfilmen kennt oder wie es Stoff eines Agentenfilms sein könnte, hat aber inzwischen auch jede Menge Schnittstellen – im doppelten Wortsinn – zum Thema IT-Sicherheit. Da geht zum Beispiel in einem Unternehmen häufiger der Kopierer kaputt. Der Techniker kommt, repariert das Gerät – und nimmt jedes Mal die Daten des Hauptspeichers mit. Das Problem: Der Kopierer steht in der Entwicklungsabteilung des Unternehmens… Es gab auch schon Putzkolonnen, die aus russischen Ingenieurinnen bestanden, die beim Leeren der Papierkörbe und Reinigen der Schreibtische besonders akribisch vorgingen. Oder Besucher, die bei der Chefsekretärin höflich fragten, ob sie mal kurz etwas auf dem Rechner ausdrucken dürfen. Sie steckten einen USB-3.0-Stick in den Rechner der Sekretärin – und im Nu befanden sich wichtige Daten auf dem USB-Stick.

Auch Messen sind bisweilen leider Tummelplätze für Wirtschaftsspione und Produktpiraten. Es geht zum einen darum, das Wissen der Firmenvertreter abzuschöpfen. Wilfried Karden vom NRW-Ministerium für Inneres und Kommunales beobachtet seit Jahren, dass es Täter bei Messen auf die Redseligkeit von Technikern und Marketingleuten abgesehen haben. Sie geben sich als Journalisten oder interessierte Firmenkunden aus – und prompt erfahren sie mehr, als dem Unternehmen lieb sein kann. Das Problem: „In vielen Firmen ist nicht geregelt, was wie geschützt werden muss – und deshalb gibt es oft auch keine klare Sprachregelung“, weiß der Sicherheitsexperte, der soeben ein Praxishandbuch Unternehmenssicherheit veröffentlicht hat.

Vor allem bieten Messen jedoch – per definitionem – erstklassiges Anschauungsmaterial. Es ist schon vorgekommen, dass auf der Büromöbelmesse Orgatec in Köln der Drehmechanismus eines Schreibtischstuhls und auf der Internationalen Möbelmesse imm cologne die Scharniere im Inneren eines Schranks so genau in Augenschein genommen wurden, dass einige Zeit später entsprechende Kopien auf dem Markt auftauchten. In solchen Fällen tritt Dr. Christine Sauerwald auf den Plan. Hauptsächlich leitet sie den Bereich Recht der Koelnmesse GmbH. Weil die Fälle von Produktpiraterie jedoch zunehmen, hat die Koelnmesse zudem die Initiative „No Copy – Pro Original“ ins Leben gerufen. Diese hat sich den Schutz geistigen Eigentums auf die Fahnen geschrieben.

Selbst Opfer von Produktpiraterie war die Koelnmesse zuletzt in Indien. Dort trat ein Nachahmer auf den Plan und kündigte eine Veranstaltung für die Ernährungsindustrie an, die in ihrem Markenauftreten sehr stark an eine bereits existierende Ernährungsmesse der Koelnmesse in Indien angelehnt war. Auch bei Messedienstleistungen gibt es viele Trittbrettfahrer. Immer wieder treten Firmen ohne entsprechende Lizenz als „Partner der Koelnmesse“ auf und verwenden deren Logo oder das Logo einer bestimmten Messe, um sich somit eine falsche Referenz zu geben. Das ist illegal.

Ein Klappstuhl – viele Nachahmer

Sauerwald und ihr Team sind jedoch ebenso häufig mit Fällen von Produktpiraterie bei ihren Kunden befasst. Das Problem dabei: Oft ist der, der abgekupfert hat, ebenfalls Kunde. Sauerwald schildert einen typischen Fall: Ein langjähriger Aussteller der Kölner Gartenmesse spoga+gafa beklagte sich bei der Koelnmesse, dass eines seiner erfolgreichen Produkte, ein Klappstuhl, weltweit immer wieder Nachahmer fände. Diesmal habe er Imitate gleich bei mehreren Firmen entdeckt, die ihrerseits bei der spoga+gafa ausstellen. „In solchen Fällen werden wir aktiv, sprechen die betreffenden Unternehmen an und verweisen auf die Teilnahmebedingungen für Aussteller“, erklärt Sauerwald. Darin wird explizit auf den Schutz geistigen Eigentums und die Einhaltung entsprechender Gesetze und Richtlinien verwiesen. Im konkreten Fall ging das Engagement darüber hinaus. Am Tag vor Messebeginn besuchte Sauerwald mit einem Anwalt des sich beklagenden Unternehmens die Stände der Nachahmer – und diese mussten die beanstandeten Stühle entfernen.

„Bei jeder Messe präsentiert sich die jeweilige Branche in konzentrierter Form“, erklärt Sauerwald, „und die Design- und Technik-Neuheiten ziehen dann leider auch Wirtschaftsspione an.“ Die Initiative „No Copy – Pro Original“ will daher aufklären über Produktpiraterie und Markenschutz. Sie gibt Broschüren heraus, hält Vorträge bei wichtigen Kölner Messen und bietet auch im Internet aktuelle Informationen. Kunden finden zudem bei Messen einen Aktionsstand der Initiative, an dem etwa Patent- oder Markenrechtsanwälte konsultiert werden können. Die Initiative selbst wird nicht rechtsberatend tätig; das darf sie nicht. Da, wo Informationen und ein moderierendes Gespräch nicht weiterhelfen, werden Wirtschaftsanwälte oder auch schon einmal die Kriminalpolizei aktiv.

„Am liebsten ist es uns und unseren Kunden jedoch,wenn es erst gar nicht so weit kommt“, so Sauerwald. Deshalb empfiehlt sie Ausstellern, die einen Fall von Produktpiraterie wittern, im Vorfeld der Messe Kontakt zu der Initiative aufzunehmen. „Messen sollen Geschäftskontakten dienen, nicht rechtlichen Auseinandersetzungen.“

Sicherheitslücke Smartphone

Der Hauptschwerpunkt von Wilfried Kardens Wirtschaftsspionage-Team im NRW-Ministerium für Inneres und Kommunales sind indes die Angriffe auf die IT von Unternehmen und Behörden. Er macht dabei zwei Phasen aus. „Bis vor rund zwei Jahren stellten wir eher ungezielte, generelle Angriffswellen fest“, berichtet der Experte für die Abwehr von Wirtschaftsspionage, „deren Ziel es in der Regel war, generell Zugriff auf Informationen zu bekommen.“ Seitdem nehmen gezielte Angriffe rapide zu. Diese verlaufen meist in zwei Etappen. Zunächst geht es darum, den Gegner „kennenzulernen“, sprich: die elektronischen Schwachstellen herauszufinden. Erst dann startet der eigentliche Angriff. „Hier ist das Ziel, ganz bestimmte Informationen zu erhalten“, weiß Karden. Kundendaten etwa, wie bei Sony.

Dazu gesellt sich in jüngster Zeit ein weiteres Thema: Angriffe auf die Kommunikation von Unternehmen. Stichwort: Smartphones. Immer mehr Mitarbeiter rufen über die Handy-Alleskönner Firmen-E-Mails ab und greifen von unterwegs auf Unternehmensdaten zu. „Dieser Kommunikationsweg ist aber meist nicht in die IT-Sicherheitsstruktur der Unternehmen eingebunden“, hat Karden festgestellt. Weiteres Problem: Karden berichtet von einer aktuellen Studie der Technischen Universität Wien, derzufolge mehr als die Hälfte aller sogenannten Apps, also der kleinen Internetprogramme für Handytypen wie das iPhone von Apple, Informationen über Nutzung und Nutzer nach außen geben – ohne dass die Nutzer davon wissen. Bei diesem Thema haben Karden und andere Spezialisten allerdings noch viel Aufklärungsarbeit vor sich. „Von Smartphones und ihren täglich wachsenden Möglichkeiten sind alle noch so begeistert“, beobachtet Karden, „dass zurzeit kaum jemand die Schattenseiten sehen will.“ Immerhin: Das Netzwerk Elektronischer Geschäftsverkehr ist sich des Problems bewusst – und will herausfinden, ob das auch bei kleinen und mittleren Unternehmen der Fall ist. Im Mai widmete es seine diesjährige Umfrage zur „IT- und Informationssicherheit in kleinen und mittleren Unternehmen sowie im Handwerk“ dem Schwerpunktthema „Sichere mobile Anwendungen“. Es soll evaluiert werden, ob eine steigende Verbreitung solcher Anwendungen bei ungenügenden Sicherheitsstandards auch zu einem erhöhten Risikopotenzial für kleine und mittlere Unternehmen führen kann und weitergehende Maßnahmen ergriffen werden müssen. Die Antworten werden derzeit ausgewertet. Wir sind gespannt.

Lothar Schmitz,
freier Journalist, Bonn