Deutsche Firmen misstrauen US-Konkurrenz

Blauäugigkeit beim Datenschutz

16. August 2013
Werner Kurzlechner lebt als freier Journalist in Berlin und stellt regelmäßig Rechtsurteile vor, die Einfluss auf die tägliche Arbeit von Finanzentscheidern nehmen. Als Wirtschaftshistoriker ist er auch für Fachmagazine und Tageszeitungen jenseits der IT-Welt tätig.
PRISM hinterlässt auch bei den Anwendern Spuren. Die Angst insbesondere vor amerikanischen Eindringlingen wächst. Dennoch bemängeln Experten Leichtfertigkeit und Defizite beim Datenschutz. Helfen könnte unter anderem eine Whistle-Blowing-Hotline.
Die Übersicht zeigt, mit welchen Tools sich deutsche Unternehmen gegen Datenklau zu wappnen versuchen.
Die Übersicht zeigt, mit welchen Tools sich deutsche Unternehmen gegen Datenklau zu wappnen versuchen.
Foto: Ernst & Young

Trotz PRISM, Edward Snowden und alledem: Viele Firmen wähnen ihre Daten sicher vor Ausspähung, Klau oder Verlust. Die Wirtschaftsprüfer von Ernst & Young machen bei deutschen Anwendern schlichte Leichtfertigkeit aus. „Wenn es um ihre eigene Sicherheit geht, sind die Unternehmen leider oft blauäugig und wiegen sich in falscher Sicherheit", sagt Bodo Meseke, der die Abteilung für Forensic Technology & Discovery Services bei Ernst & Young leitet. Die Analysten von Freeform Dynamics beobachten ähnliche Tendenzen und mahnen an, beim DatenschutzDatenschutz nicht nur zu reagieren, sondern proaktiv zu handeln. Die Quintessenz dieser Warnungen und Hinweise: Auch wenn sich die Anwender seit langem mit der Datensicherheit beschäftigen, sind längst nicht alle Hausaufgaben erledigt – und weil weder Hacker noch die technologische Entwicklung stillstehen, ist ständiges Um- und Weiterdenken nötig. Alles zu Datenschutz auf CIO.de

Blindes Vertrauen auf die Firewall

Nach Mesekes Beobachtung denken viele deutsche Firmen, ihre Rechner seien mit Firewall und Passwortschutz ausreichend geschützt. „Dabei haben nicht erst die jüngsten Enthüllungen gezeigt, dass Spionage und Abhörmethoden inzwischen deutlich weiter fortgeschritten sind", so Meseke. „Ein professioneller Datendieb kann ein Passwort mit entsprechenden ToolsTools umgehen – grundsätzlich kann jede Information geknackt werden." Alles zu Tools auf CIO.de

Die Unternehmen müssten deshalb nach Einschätzung von Ernst & Young versuchen, den Hackern ihr diebisches Treiben so anstrengend wie möglich zu machen – in der Hoffnung, dass diese sich deshalb anderen Zielen zuwenden. Die Instrumente dafür wie Instrusion Detection oder Intrusion Prevention sind jedoch nicht einmal in 15 Prozent der Unternehmen im Einsatz. Das zeigt eine Studie, für die Ernst & Young 400 deutsche Firmen befragte.

Stattdessen wiegt man sich in trügerischer Sicherheit. 86 Prozent der Manager in Deutschland halten es nämlich für unwahrscheinlich, dass ihr Unternehmen zum Spionage-Opfer werden könnte. Mehr als vier Fünftel der Befragten stützen ihren Optimismus dabei vor allem auf ihre standardmäßigen Firewalls und Passwortsysteme.

Spezialabteilungen Mangelware

Ernst & Young moniert außerdem, dass es lediglich in 14 Prozent der Firmen eine spezielle Sicherheitsabteilung gebe. In 72 Prozent der Unternehmen sei die Datensicherung hingegen eine reine Angelegenheit der IT-Abteilung. In diesem Umstand erkennt auch Freeform Dynamics ein Defizit, allerdings mit etwas anderer Stoßrichtung. Sowohl Ernst & Young als auch Freeform Dynamics teilen die Ansicht, dass Datensicherheit im Idealfall nicht einfach eine von vielen Aufgaben der IT-Abteilung sein sollte. Während sich Ernst & Young für die Einrichtung eigenständiger Security-Abteilungen stark macht, plädiert Freeform Dynamics dafür, das Thema zur Chefsache zu machen.

Im Papier „The Data Protection Imperative" werben die britischen Berater dafür, dass sich Vorstände und Top-Manager um eine proaktive Gestaltung des Datenschutzes kümmern. Ein Kerngedanke dabei ist es, die in den Daten steckenden Informationen als wertvolle Güter zu begreifen, aus deren Verfügbarkeit und Analyse sich wirtschaftliche Potenziale heben lassen. Um das aber zu können, sind laut Freeform Dynamics andere Ansätze als bisher gefragt.

Ein Aspekt dabei sind Investitionen in zeitgemäße Technologie. Es reiche beispielsweise nicht mehr aus, ausschließlich in der Nacht Backups durchzuführen. Das gilt schlicht deshalb, weil der Verlust einer unternehmensweiten Tagesarbeit an Daten inzwischen unglaublich teuer geworden ist. Und weil es mittlerweile moderne Spiegelungs- und Snapshot-Lösungen gibt, die sämtliche Systeme im Stunden- oder sogar Minuten-Rhythmus sichern können.

Fünf Dinge sollten nach Ansicht von Freeform Dynamics Data Protection-Systeme gewährleisten:

  1. die Sicherung kritischer Unternehmensdaten;

  2. das Verhindern von Datenverlust oder Verfälschung,

  3. das Verfügbarmachen der für den Betrieb wichtigen Informationen,

  4. die Rückführung von Daten in die Systeme im Falle eines Ausfalles,

  5. die effiziente und bombensichere Archivierung historischer Daten.

Unnötige Kosten

Treiber für proaktive Initiativen in diesem Bereich sind laut Freeform Dynamics die momentan vorhandene und wachsende Unübersichtlichkeit beim Data Storage und die vermeidbaren Kosten. Diese entstünden zum einen dadurch, dass User durch Störfälle, Datenverluste und fehlende Auffindbarkeit von der Arbeit abgehalten werden. Zum anderen könnte die IT durch automatisierte Lösungen entlastet werden und so produktiver tätig werden. „Wenn man die Stunden addiert, die mit nicht wertschöpfende Tätigkeiten verbracht werden, kommt man auf Opportunitätskosten in beträchtlicher Höhe", heißt es im Papier.

Anschaulich macht den zentralen Gedanken der Freeform-Analysten ein Vergleich: Oftmals würden Ausgaben für Datenschutz ähnlich betrachtet wie jene für VersicherungenVersicherungen – als unvermeidbare Kosten zur Abfederung von Risiken. Freeform Dynamics wendet dagegen ein, dass Versicherungen nur für Ausnahmesituationen da sind, die hoffentlich nicht eintreten. Datensicherheitsmaßnahmen hingegen seien für häufig auftretende Schadens- und Problemlagen nötig, und deshalb erfordern sie mehr als das bloße Überweisen von Versicherungsprämien. Nachdrücklich empfohlen wird deshalb, dass Business und IT gemeinsamen einen proaktiven und kostensenkenden Ansatz für das eigene Unternehmen entwickeln. Top-Firmen der Branche Versicherungen

Weil Datendiebstahl häufig von aktuellen oder ehemaligen Mitarbeitern begangen wird, bauen laut Ernst & Young fast 90 Prozent der deutschen Firmen Geheimhaltungsklauseln in Arbeitsverträge ein. 58 Prozent versuchen, die Verbundenheit der Mitarbeiter mit dem Unternehmen zu stärken. Die Hälfte der Firmen setzt zudem auf Sensibilisierung.

„Einsicht bei den Mitarbeitern und die Identifikation mit dem Arbeitgeber sind ein gutes Fundament für die Datensicherheit", kommentiert Experte Meseke. „Allerdings fehlen noch wichtige Bausteine zu einer effizienten Prävention – allen voran eine Whistle-Blowing-Hotline." Eine anonyme Anlaufstation für Mitarbeiter, die illegale Vorgänge am Arbeitsplatz beobachten, gibt es bislang nur bei 6 Prozent der Unternehmen.

Hohe Dunkelziffer

Nur ein Viertel der Firmen verfügt laut Studie von Ernst & Young über ein internes Kontrollsystem. Oft kommt Datenklau nur durch Zufall ans Licht, die Dunkelziffer ist hoch. Ähnlich oft wie (Ex-)Mitarbeiter stecken hinter den Attacken ausländische Wettbewerber. Jeweils ein Viertel der deutschen Firmen beargwöhnen besonders die Konkurrenten aus China und Vereinigten Staaten. Das neue Misstrauen gegenüber den US-amerikanischen Aktivitäten scheint tatsächlich eine Folge des PRISM-Skandals zu sein.

„Bislang hat man die Angreifer zumeist in China und Russland geortet – nun müssen die Unternehmen feststellen, dass beispielsweise auch westliche Geheimdienste sehr umfassende Überwachungsmaßnahmen durchführen", stellt Meseke fest. Das Thema Datenklau und Wirtschaftsspionage werde auf der Agenda bleiben: „Je dichter die digitale Vernetzung ist, desto mehr ist technisch möglich – und dann wird es auch Angreifer geben, die diese Möglichkeiten ausnutzen", so Meseke.