Anzeige
25. Juni 2020 6:00  Uhr

IT-Sicherheit ist machbar – auch im Mittelstand


Die Gefahr des Datenabflusses ist groß – bei Mittelständlern ebenso wie in Konzernen. Homed David Stingl, Geschäftsführer der MTG Consulting GmbH, verrät, wie Firmen ihre digitale Sicherheit verbessern können.

Homed David Stingl, Geschäftsführer der MTG Consulting GmbH | Foto: Attila Henning

Von Gabi Hueber-Lutz


Herr Stingl, bei Cybersecurity denkt man sofort an Hacker, an Angriffe, an Bedrohung?

Homed David Stingl: Ja, die Gefahr ist hier sehr groß. Es gibt viele Risiken. Und es ist eben nicht so, dass unternehmerische Risiken immer nur die anderen betreffen. Ich vergleiche die aktuelle Lage mit der von 1976. In diesem Jahr wurde die Anschnallpflicht in Deutschland eingeführt. Was die IT-Sicherheit im Mittelstand betrifft, gibt es momentan keine gesetzliche Verpflichtung. Und das, obwohl wie im Jahr 1976 die Gefahr eines Unfalls sehr hoch ist. Allerdings gibt es auch eine positive Nachricht: Man kann dem begegnen, man ist nicht schutzlos ausgeliefert.

Fangen wir mit den unternehmerischen Risiken an …

Das Bild vom Hacker, der im Keller sitzt und wichtige Systeme knackt, ist eher Hollywood. In der Realität sieht es so aus, dass Programme geschrieben werden, die gezielt große Unternehmen ausspionieren. Solche Angriffe bekommt auch der Mittelstand ab. Laut der aktuellen Bitkom-Studie waren in den letzten beiden Jahren 75 Prozent der Unternehmen betroffen, bei Firmen mit bis zu 100 Mitarbeitern waren es besonders viele, nämlich 79 Prozent. In der Regel verfügt der Mittelstand nicht über die Verteidigungsmittel der Industrie.

Was empfehlen Sie den Mittelständlern?

Da geht mein Appell an die Geschäftsleitung, sich einmal bewusst zwei Szenarien bei einem Angriff anzusehen: einen messbaren, kurzfristigen Schaden und einen nicht messbaren langfristigen. Der kurzfristige lässt sich leicht ausrechnen, wenn man überlegt, was zum Beispiel zwei Tage Betriebsausfall die Firma kosten könnte. Zu den längerfristigen Schäden gehören verloren gegangene oder unbrauchbar gewordene Daten. Hinzukommen könnte der Imageschaden, wenn den Kunden klar wird, dass ihre Firma ein Datenleck hat und sie sich dann Gedanken um die Sicherheit der eigenen Daten sowie die Professionalität ihres Unternehmens machen.

Es gibt aber auch eine gute Nachricht?

Zwei sogar: Erstens kann man mit geringem Aufwand oft viel für die digitale Sicherheit der Firma bewirken. Es muss nicht immer die aufwendige ISO-27001-Zertifizierung sein. Zweitens steht der finanzielle Aufwand für die Sicherung der Daten meist in keinem Verhältnis zu einem möglichen immensen Schaden.

Was kosten zwei Tage Betriebsausfall? Um das Sicherheitsniveau eines IT-Systems zu steigern, ist zwar Expertise nötig, aber der Aufwand steht oft in keinem Verhältnis zum potenziellen Schaden.

Haben Sie konkrete Tipps?

Nun, ich wäre ein schlechter Unternehmer, wenn ich die einfach so öffentlich machen würde. Ein paar konkrete Empfehlungen habe ich aber natürlich schon. Fragen Sie sich zum Beispiel einmal, wer in einem Unternehmen Daten bewegt und bewegen darf. Nachweislich geschehen über 50 Prozent des Datenabflusses durch ehemalige Mitarbeiter – bewusst und unbewusst. Um das nachweisen zu können und immer Herr der Lage zu sein, müssen Sie Prozesse implementieren, die genau aufzeigen, wie Daten bewegt werden. Ob sie zum Beispiel vom Firmennetzwerk auf eine private Cloud geschickt werden. Für eventuelle Streitigkeiten sind solche Nachweise unabdingbar. Eine zweite Frage, die Sie sich immer stellen sollten: Werden in Ihrer Firma konsequent Verschlüsselungen genutzt? Zum Beispiel ist bei der Business Version von Windows 10 eine Verschlüsselung standardmäßig verfügbar. Bei einem etwaigen Verlust des Geräts sind die Daten sicher durch eine zusätzliche Hürde vor unberechtigtem Zugriff geschützt.

Die größte Fehlerquelle ist oft der Mensch selbst. Stimmt dieser Satz auch auf dem Feld der Cybersecurity?

Ja. Attacken von außen sind deshalb immer öfter an die einzelnen Mitarbeiter eines Betriebs gerichtet. Klassisch ist etwa die vermeintliche Mail der Geschäftsleitung, die einen Mitarbeiter auffordert, einen größeren Geldbetrag auf ein fremdes Konto zu überweisen. Es ist daher wichtig, Mitarbeiter im Bereich IT-Sicherheit und Datenschutz immer aktuell zu schulen, damit sie wissen, welche Methoden gerade im Umlauf sind.

Können Schutzvorkehrungen mit den kriminellen Aktivitäten Schritt halten?

Eine hundertprozentige Sicherheit vor kriminellen Aktivitäten gibt es nicht. Aber mit einem guten Sicherheitskonzept kann man kriminellen Bestrebungen die Stirn bieten. Wenn die technischen Voraussetzungen stimmen und die Mitarbeiter zuverlässig geschult werden, können wir das Sicherheitsnetz so dicht weben, dass der Schaden bei einem Angriff überschaubar bleibt. Securityprodukte werden immer besser. Unter anderem auch deswegen, weil der Wettbewerb auf diesem Markt immer größer wird. Dabei muss allerdings klar sein, dass IT-Sicherheit kein einmal erreichter Zustand ist, sondern ein fortlaufender Prozess. Daher ist die kompetente Beratung und Unterstützung so wichtig. So wie man mit Herzproblemen beim Kardiologen am besten aufgehoben ist, geht man für den Schutz vor Cyberkriminalität zum IT-Sicherheits-Spezialisten. Da die MTG Wirtschaftskanzlei keine Produkte verkauft, können wir komplett unabhängig beraten und Lösungen empfehlen, die den jeweiligen Firmen genau das bieten, was sie brauchen.

Mobiles Arbeiten

IT-Sicherheit und Datenschutz im Homeoffice

Die Coronakrise hat dem Arbeiten von zu Hause aus einen Schub gegeben. Damit Daten und IT auch dort sicher sind, rät Homed David Stingl unbedingt, auf unternehmenseigenen Geräten zu arbeiten.

Hier geht’s zum Artikel …