IT- und Datensicherheit
3. Juni 2022 5:49  Uhr

Trügerische Sicherheit und „Goldgräberstimmung“

Viele Firmen könnten mit überschaubarem Aufwand ihre Daten gegen Cyberattacken sichern. Das tun aber bei Weitem nicht alle. Christian Volkmer, Datenschutzexperte und geschäftsführender Gesellschafter Projekt 29, erklärt die Gründe – und warnt vor den Folgen.

Christian Volkmer, Datenschutzexperte und geschäftsführender Gesellschafter Projekt 29 GmbH & Co. KG, Regensburg | Foto: Istvan Pinter

Von Rebecca Sollfrank

Herr Volkmer, was ist heutzutage schwieriger: einen Handwerker zu bekommen oder einen Datenschutzbeauftragten?

Christian Volkmer: In Sachen Datenschutz ist es für Unternehmen eher das Problem, die Kompetenz der Anbieter entsprechender Dienstleistungen zu beurteilen. Mit der Scharfstellung der Datenschutzgrundverordnung DSGVO im Jahr 2018 entstand eine richtige Goldgräberstimmung. Plötzlich fühlte sich jeder berufen, als Datenschutzbeauftragter aufzutreten, obwohl viele aus fachfremden Branchen kamen. Leider hatte man verpasst, ein klares verpflichtendes Profil für die Qualifikation eines Datenschutzbeauftragten zu schaffen. Deshalb zur Frage: Wir sind durchaus der Meinung, dass ein Mangel an fähigen Datenschutzbeauftragten besteht. Die Wissensstände hier sind sehr unterschiedlich und wir fragen uns immer wieder, woher der eine oder andere das Selbstvertrauen nimmt, in einem so haftungsriskanten Thema Unternehmen zu beraten. Das ist vor allem ein essenzielles Thema für kleine und mittlere Unternehmen, die kein hauseigenes Datensicherheitsmanagement betreiben. Der Kern des Problems ist, dass sich viele Unternehmen, die einen externen Datenschutzbeauftragten haben, in trügerischer Sicherheit wiegen.

Sich in Sicherheit zu wiegen scheint trotz aktuell zunehmender Cyberattacken selbst auf kleine Unternehmen oder Kommunen immer noch weit verbreitet zu sein. Aber wie findet man den optimalen Mittelweg zwischen Sorglosigkeit und Paranoia?

Durch den hohen datentechnischen Vernetzungsgrad ist es viel einfacher geworden, Systeme anzugreifen. Da hilft der Glaube daran, das eigene Unternehmen oder die eigene Organisation sei für Hacker ohnehin nicht interessant, nicht weiter. In der Informationssicherheitsstrategie bietet sich der Vergleich mit dem Pareto-Prinzip an. Der Schlüssel für Datensicherheit liegt in den ersten 90 Prozent von Maßnahmen, die sich relativ schnell und gut finanzierbar realisieren lassen. Richtig teuer werden erst die letzten zehn Prozent, die aber vielleicht nur bei sehr sensiblen Daten nötig sind.

Ist der Faktor Mensch die größte Bedrohung für die IT-Sicherheit?

Es ist ein extrem wichtiger erster Schritt für Unternehmen, alle Mitarbeitenden für die Brisanz des Themas zu sensibilisieren. Wir sehen schon im privaten Umfeld, dass die meisten Menschen IT-basierte Geräte wie Smartphones wie eine Blackbox nutzen. Vielen sind grundlegende Zusammenhänge nicht klar, deshalb scheitert die Risikoabschätzung. Diese falsche Sicht wird ins berufliche Umfeld mitgenommen. Vergleichen Sie es mit dem Brandschutz in Gebäuden. Wir wissen sehr genau, was es für unsere Lebensgrundlagen bedeutet, wenn unser Haus abbrennt. Deshalb hängen wir schon zur Vorbeugung Brandmelder auf und haben einen Feuerlöscher in der Küche. Als zusätzliche Maßnahme schließen wir eine Brandschutzversicherung ab.

Wir bräuchten also eine Brandschutzversicherung für Unternehmensdaten?

Erst mal brauchen wir eine schonungslose Analyse der drohenden Schäden. Im IT-Umfeld heißt das: Es müssen die Karten auf den Tisch, welche konkreten Folgen die Vernichtung oder der Missbrauch von Daten für das Unternehmen und seine Mitarbeitenden hat. Das geht bis hin zu Insolvenz und Arbeitsplatzverlust. Ich fürchte, ein Grund dafür, dass Unternehmen immer noch mit dem Thema Informationssicherheit fremdeln, ist die fehlende Bereitschaft, sich die Risiken ehrlich vor Augen zu führen. Im Grunde brauchen wir in den Unternehmen sowohl eine intensive Weiterbildung der Belegschaft für die Bedeutung der Digitalität ihrer Arbeit als auch eine Compliance, die die Qualität der nötigen Cybersecurity individuell regelt.

Wie sieht hier eine konkrete Maßnahmenempfehlung aus?

Als ersten Schritt sollte man sich genau ansehen, welche gesetzlichen Vorgaben man mit dem eigenen Unternehmen eigentlich umsetzen muss. Wie schon angesprochen braucht es dann eine ehrliche Analyse, wo vulnerable Angriffspunkte im Unternehmen bestehen. Diese beiden Punkte liefern die Antworten, welche Maßnahmen man definitiv ergreifen muss und welche man vielleicht zusätzlich ergreifen kann. Dazu gehört genauso, klar zu definieren, wo man bewusst ein höheres Risiko eingehen will, weil man zum Beispiel bestimmte Vernetzungen für die operative Arbeit braucht. In dem Fall ist wiederum die Sensibilisierung der Mitarbeitenden in diesen Bereichen noch wichtiger.

Haben der generelle Digitalisierungsschub und die Einführung der Homeofficepflicht, die ja auch eine Art zusätzlicher Vernetzung dargestellt hat, zu einer Verschlechterung der Informationssicherheit in den Unternehmen geführt?

Die Coronapandemie war ein Stresstest für viele IT-Abteilungen. Wir haben schlaglichtartig gesehen, wo die infrastrukturellen Defizite, aber ebenso wo die Chancen liegen. Homeoffice war meiner Meinung nach dabei nicht der bestimmende Faktor für den Zustand der Informationssicherheit. Trotzdem war das Homeoffice eine Gelegenheit, zu erkennen, dass ein großer Teil der Belegschaft mental eben nicht digitalisiert ist. Und dass sich das direkt auf die Fähigkeit der Mitarbeitenden zur Risikoabschätzung im eigenen Arbeitsumfeld auswirkt. Das sollte man als Sensibilisierungschance für das Risikobewusstsein nutzen, was passieren kann, wenn man betriebliche Daten auf private Geräte kopiert und umgekehrt. Dieses Bewusstsein erleichtert auch die Einführung von IT-Sicherheitsstandards. Die Leute müssen verstehen, wie sie sich im Umgang mit Betriebsdaten verhalten sollen – und warum.

Dazu sollte sicher auch ein konkreter präventiv verinnerlichter Notfallplan gehören, oder?

Exakt. Im Grunde müsste man Unternehmen zur Erstellung eines Notfallplans mit klaren Handlungsanweisungen für informationstechnische Gefährdungsszenarien gesetzlich verpflichten. Aber die deutsche Wirtschaft ist es gewohnt, auf Freiwilligkeit zu pochen. Was ja per se erst einmal nichts Negatives ist, weil es unternehmerisches Handeln ermöglicht. Den Unternehmen die freie Gestaltung ihrer IT-Sicherheitsmaßnahmen zu erlauben, stellt jedoch zunehmend ein enormes volkswirtschaftliches Risiko dar. Und zwar nicht nur für das einzelne Unternehmen, sondern für den Arbeitsmarkt und mitunter ganze Lieferketten. Leider sind wir im kommunalen Bereich, in dem es ganz schnell um lebensnotwendige Infrastrukturen einer ganzen Region geht, auch noch lange nicht optimal aufgestellt. Das hat sich im Landkreis Anhalt-Bitterfeld gezeigt, der nach einem Cyberangriff essenzielle Zahlungen für besonders bedürftige Bürger plötzlich nicht mehr leisten konnte. Leider bedeutet schon der Ausfall einzelner Komponenten in dem heute weitreichend verwobenen Informationssystem manchmal einen brisanten Dominoeffekt. In den letzten Jahren wurden durch Cyberangriffe einzelne Kliniken in Deutschland so außer Gefecht gesetzt, dass sie teilweise wochenlang keinen geregelten Betrieb gewährleisten konnten. In so einem Fall ist es eben nicht mit neuer Hardware und einem schnellen Reboot der Systeme getan. Heute kann selbst die Müllabfuhr nicht fahren, wenn die falschen Teilsysteme ausfallen.

Haben neben Coronapandemie und Ukrainekrise informationstechnische Horrorszenarien überhaupt eine Chance auf Aufmerksamkeit?

Die Bitkom bezifferte den wirtschaftlichen Schaden 2021 durch Cyberkriminalität in Deutschland auf 223 Milliarden Euro. Zwei Jahre vorher waren es noch 103 Milliarden Euro. Neun von zehn Unternehmen bestätigten, dass sie in den Jahren 2020 und 2021 von Cyberangriffen betroffen waren. Das sollte eigentlich alarmierend genug sein. Was uns aber immer noch fehlt, sind zertifizierte Cybersecurity-Konzepte, die flexibel und nicht überdimensioniert für kleine und mittlere Unternehmen sind. Sozusagen eine cybertechnische Verbraucherampel.

Wie könnte eine Initiative aussehen, die speziell den Mittelstand systematisch für mehr Datensicherheit sensibilisiert?

Es gibt bereits von der IHK und den Handwerkskammern sehr gute Kampagnen. Definitiv müsste eine Mittelstandsinitiative breit aufgestellt sein, denn sie müsste die Sprache der einzelnen Branchen sprechen. Ein Bäcker hat ganz andere Ansprüche an Informationssicherheit als ein Apotheker. Ich gehe aber noch weiter. Wir brauchen in Sachen digitale Kompetenz eine Graswurzelinitiative. Denn die Basis der Unternehmen fängt schon in der Schule bei der Bildung potenzieller Fachkräfte an. Der Informatikunterricht weist beim Thema Informationssicherheit und Datenschutz eklatante Mängel auf. Dabei arbeitet auch der genannte Bäcker längst an vernetzten Geräten. Hinzu kommt leider, dass selbst diejenigen, die heute Informatik studieren, eher auf dem Stand fortgeschrittener User sind. Das tiefe Hinterfragen der zugrundeliegenden Technik, das die Generation der früheren Informatiker ausgemacht hat, ist leider nicht immer die Stärke der aktuellen Generation. Leider haben wir in Deutschland immer noch weder eine echte Gründerkultur noch eine verwurzelte Digitalkultur. Wir sprechen hier von einer agilen Tugend, die wir schon für die dringend nötige digitale Transformation der Verwaltung nicht aufbringen.

Womit wir wieder beim Gegensatz strenge Regulierung contra beherzte Anwendung wären …

Ich bin mit Leib und Seele Datenschützer, aber in der Coronakrise waren wir viel zu lange damit beschäftigt, zu diskutieren, warum es datenschutztechnisch bedenklich ist, dass Schulen für den Unterricht Meeting-Tools wie MS Teams benutzen. Das war ein fatales Zeichen für die Unternehmen und die Gesellschaft insgesamt, weil es das tiefsitzende Misstrauen der Menschen hierzulande gegen Digitalisierung verschärft und damit aber auch die Bereitschaft wieder gesenkt hat, sich mit dem Thema Informationssicherheit zu beschäftigen. Genau genommen sorgt eine Zero-Risk-Politik in der digitalen Transformation dafür, dass wir eine auch für die Cybersicherheit dringend nötige Agilität nicht erreichen. Aber die Angreifer sind schnell und sie scheren sich nicht um bürokratische Regularien.