Soccer team in a huddle

IT-Sicherheit: Zu oft keine Chefsache

Feature | 27. Juli 2015 von Andreas Schmitz 0

Die Zahl der Angriffe aus dem Internet nimmt gefühlt zu, trotzdem ist IT-Sicherheit in vielen Unternehmen keine Chefsache. Dabei sind Cyberattacken nicht die einzige Bedrohung. Besonders die Gefahr durch eigene Mitarbeiter wird unterschätzt.

Firmen investieren Millionen in IT-Technik, um sich vor Datenverlust zu schützen und es Hackern so schwierig wie möglich zu machen. Dabei vergessen Geschäftsführer und IT-Verantwortliche oft die nach wie vor größte Schwachstelle im Unternehmen – den Menschen. Immer wieder genügen ein Anruf und eine freundliche Frage. Und schon sind Angreifer ein gehöriges Stück weiter auf der Suche nach geheimen Informationen. Wer schon mal mit einer Aktentasche und einem Kaffeebecher bewaffnet auf eine Glastür zugesteuert ist, stellt immer wieder fest, wie schnell hilfsbereite Mitarbeiter die Tür öffnen. Eine Prüfung des Mitarbeiterausweises – Fehlanzeige. Schon hat sich jemand eingeschlichen, bewaffnet mit einem USB-Stick und bösen Absichten.

IT-Sicherheit: In den meisten Unternehmen keine Chefsache

Das ist nur ein Beispiel, wie wenig das Thema Sicherheit in vielen Unternehmen als geschäftlich wenig relevant eingestuft wird. In einer weltweiten Befragung von 237 Unternehmen verglich das IT-Beratungshaus Accenture solche Unternehmen, die auf ihrem Markt in Sachen Sicherheit an der Spitze stehen mit jenen, die noch Nachholbedarf haben. Ergebnis: Die Vorreiter sehen IT-Sicherheit mehrheitlich als geschäftsentscheidend an (69 Prozent), passen ihre Sicherheits- an die geschäftlichen Ziele an (63 Prozent) und verfügen über eine klar definierte Sicherheitsstrategie (70 Prozent). Die Vergleichsgruppe hingegen hinkt 15 bis 24 Prozent hinter diesen Werten zurück.

Während die Mehrheit der Vorreiterunternehmen die Gefahr durch externe Angriffe als sehr wichtig einschätzt (55 Prozent), sind es bei den Nachzüglern erheblich weniger (47 Prozent). Prävention hat zudem bei den Nachzüglern einen erheblich geringeren Stellenwert.

Kaum angekommen ist das Thema zudem bislang im Vorstand der Unternehmen. So schätzen selbst die Vorreiterunternehmen regelmäßige Sicherheitsberichte an den Vorstand als eher mäßig wichtig ein (6,5; auf einer Skala von 1=unwichtig bis 10=sehr wichtig), auch Transparenz und ein regelmäßiger Informationsfluss an andere Top-Manager im Unternehmen durch den Chief Security Officer (CSO) scheint ihnen unwichtig zu sein (5,7).

Jedes dritte Unternehmen von Cyber-Crime betroffen

Das sind verwunderliche Ergebnisse, denn ein laxer Umgang mit dem Thema kostet eine Menge Geld. Wie eine KPMG-Umfrage zeigt, war etwa jedes dritte Unternehmen im vergangenen Jahr Opfer von Computerbetrug, dem Ausspähen von Daten und der Manipulation von Konto- und Finanzdaten – Tendenz steigend. Im Durchschnitt ergeben sich für die Unternehmen Gesamtschäden von etwa 150.000 Euro, für die Manipulation von Daten bis zu 650.000 Euro, wenn es um Betriebsgeheimnisse geht. Gerade für kleine und mittelgroße Unternehmen sind derartige Vorfälle existenzgefährdend.

Die SAP-Strategie: 3 Säulen, wachsame Kollegen und Innovationen wie SAP Enterprise Threat Detection

Vielschichtige Verfahren sorgen für ein nachhaltig hohes Sicherheitsniveau. In jedem Unternehmen gehören dazu eine Passwortrichtlinie oder technische Sicherheitskonzepte wie Firewalls und Virenscanner. Doch mit Prävention ist es bei der heutigen Gefahrenlage nicht mehr getan. SAP baut deshalb auf eine 3-Säulen-Strategie, bestehend aus Prävention, Detektion und Reaktion. In Ergänzung zu wachsamen Kollegen, die auf fehlende Ausweise achten, kommen auch so innovative Lösungen wie SAP Enterprise Threat Detection (SAP ETD) zum Einsatz. Die SAP-Software überwacht als eines von wenigen Tools auch die Applikationsebene.

Die Transparenz geht sogar noch einen Schritt weiter. „Kooperation ist wichtig. Deswegen stehen wir in regelmäßigem Kontakt mit anderen Unternehmen und Behörden und tauschen unsere Best-Practices und Erfahrungen aus“, sagt Gerold Hübner, Chief Product Security Officer bei SAP. Nur gemeinsam, so die Botschaft, ließen sich Gefahren erkennen und geeignete Maßnahmen ableiten. Ein gereifter Security Software Lifecycle, die Summe aus gut ausgebildeten Entwicklern, sichere Prozesse und Tools: „Das ist die Grundlage, auf der wir unseren Kunden ein sehr hohes Niveau an sicheren Produkten bieten“, ist Hübner überzeugt. Aber auch der Kunde muss seinen Teil zur Sicherheit beitragen. Ein Beispiel ist das rechtzeitige Einspielen von Sicherheitspatches. Auch dabei bekommt er von SAP Unterstützung in Form von Services und Guidelines. Um unserer Verantwortung als drittgrößter Softwarehersteller der Welt gerecht zu werden, engagiert sich SAP auch für sichere Software generell: Um das Ecosystem bei der Herstellung sicherer Software zu unterstützen sist SAP bei SAFECODE (www.safecode.org) aktiv. Dort können sich kleine Softwareunternehmen informieren, wie man sichere Software produziert.“

SAP: Seit Anfang 2015 wächst die „Human Firewall“

Und wie steht es nun um die Gefahrenquelle Mitarbeiter? Eines vorweg: Hier geht es in den wenigsten Fällen um die Rache an Vorgesetzten oder am Unternehmen, sprich Vorsatz. Vielfach eröffnet dagegen Nachlässigkeit neue Sicherheitslecks. Bestes Beispiel ist hier der private USB-Stick, der im Büro zum Einsatz kommt und über den leicht Schadsoftware ins Unternehmen gelangt. Hier setzt die Initiative „Human Firewall“ an, die SAP Anfang des Jahres auf den Weg gebracht hat. Es geht darum, die Mitarbeiter für Sicherheitslücken zu sensibilisieren, die aus Unbedarftheit entstehen oder Angreifer zu erkennen, die nicht zum Unternehmen gehören. Um das sichere Verhalten zu trainieren, setzt SAP auf regelmäßige Pflichtschulungen. „Wir wollen die längste Human Firewall der Welt“, erläutert Klaus Schimmer, der bei SAP für das Thema „Awareness“ in Sachen IT-Sicherheit zuständig ist. Dafür zeigen weltweit SAP-Mitarbeiter ihr „commitment“ für das Thema Security und dokumentieren dies auf einer internen Plattform mit ihrem Foto. Alle Fotos werden dann virtuell zu einem unendlich langen Foto zusammenmontiert. So lang, dass es idealerweise bis zum Eintrag ins Guinness-Buch der Rekorde reicht.

Einen Überblick über das Thema Sicherheit bei SAP findet sich unter www.sap.com/security.

Bitte schauen Sie auch in unser Webinar: „Datenmissbrauch am Arbeitsplatz vorbeugen.

 

Bildquelle: Shutterstock

Tags: ,

Leave a Reply