Überwachungskamera.
Spionage, Sabotage und Datendiebstahl.

Wirtschaftsschutz in der Industrie.

Fortschreitende Digitalisierung erhöht die Komplexität unternehmensinterner IT. Maßnahmen zur Datensicherheit entwickeln sich oft deutlich langsamer. Cassini-Berater Sven Malte Sopha zum Notfallmanagement im Rahmen des Wirtschaftsschutzes.

Technischer Basisschutz nur der Anfang

Industrie 4.0, E-Government, Internet of Things – all diese Begriffe stehen für die fortschreitende Digitalisierung von Staat und Wirtschaft in Behörden, Verwaltungen sowie privatwirtschaftlichen Unternehmen jeder Größe. Was digitalisiert werden kann, wird auch digitalisiert werden. Fakt ist, je digitaler Geschäftsprozesse, Produktionssteuerung und Datenlage werden, desto «lohnender» ist ein Angriff von außen, desto mehr Tore öffnen sich für Hacker und Datendiebe.

Verschlüsselungstechniken aber auch Technologien für Intrusion Detection, Intrusion Prevention und Data Leakage Prevention bieten einen gewissen Schutz. Denn digitale Verwaltung und digitaler Handel leben vom Vertrauen der Bürger und Konsumenten, dass ihre Daten zweckgebunden geschützt werden.

Dies erfordert wirksame Sicherheitskonzepte - vorbeugend, prozessbegleitend und für akutes Notfallmanagement. Was hier flächendeckend in der Industrie gebraucht wird, ist ein ständiges Sicherheitsbewusstsein aller Akteure sowie deren Digitalkompetenzen.

Cassini kennt beide Bereiche als langjähriger Partner von Bundes- und Landesbehörden, von Gemeinden und in der Digitalberatung von Start-ups, Mittelständlern und Großkonzernen. Unser Learning ist: alle Strategien für effektive Informationssicherheit sind nur dann wirksam, wenn alle Akteure in Staat, Wirtschaft und Gesellschaft sie als integralen Baustein ihrer jeweiligen Organisationskultur annehmen.

Studie „Wirtschaftsschutz“ von Bitkom

Der Digitalverband Bitkom fertigte zum Thema Wirtschaftsschutz in der Industrie eine große Studie an. In ihr sammeln sich nicht nur die Erfahrungen und Erkenntnisse von 500 produzierenden Betrieben, sondern auch von Digital- und Wirtschaftsexperten. Was steckt hinter dem Begriff «Wirtschaftsschutz»? Die Experten der Bitkom-Studie nutzen ihn als Sammelbegriff für die gesamten Maßnahmen von Politik, Behörden und Wirtschaft, um Sicherheitsrisiken im Unternehmen zu minimieren. Der Fokus liegt dabei auf Wirtschaftsspionage, Sabotage und Kriminalität.

Studie IPv6-Strategie in deutschen Unternehmen

Digitalisierung lohnt sich, leider auch für Hacker

Dass die Lage ernst ist, belegen Fallzahlen: mehr als die Hälfte der befragten Unternehmen war schon mal von Datendiebstahl, Sabotage oder Spionage betroffen. Die Dunkelziffer ist vermutlich noch höher, die Mehrheit der Unternehmen erstattet jedoch keine Anzeige. Positiv ist, dass so gut wie alle Unternehmen, gleichgültig wie groß, technische Schutzmaßnahmen wie Firewall, Virenscanner und regelmäßige Softwareupdates einsetzen.

Wir sehen den technischen Basisschutz aus unserer Sicht als Technologie- und Managementberatung als einen guten ersten Schritt und Schutz gegen Cyberattacken. Jedoch beginnt effektiver Wirtschaftsschutz bereits erheblich früher. Die Sicherheitskultur im Hinblick auf IT-Fortbildungen aber auch Verwendung von Zugangsdaten, Umgang mit externen Datenspeicher etc. ist nach wie vor recht unterschiedlich ausgeprägt.

Notfallmanagement sollte ganzheitlich gedacht werden. Nicht nur die Ausfallsicherheit der IT, sondern auch die Verfügbarkeit von Infrastruktur, Personal und notwendigen Dienstleistern sollte sichergestellt werden.

Sven Malte Sopha, Senior Management Consultant

Für den Fall der Fälle, das Worst Case-Szenario, ist nur jedes zweite Unternehmen durch ein Notfallmanagementsystem gewappnet. Unserer Studie zufolge setzten es bisher vorwiegend größere Unternehmen ein. Es besteht aus schriftlichen, geregelten Abläufen und Sofortmaßnahmen, wenn digitale Angriffe die Produktion und Webseiten lahmlegen oder geschäftskritische Daten abfließen. Ziel jeder Gegenmaßnahme muss sein, das Unternehmen so schnell wie möglich funktionstüchtig zu machen.

Notfallmanagement in vier Schritten

Natürlich gibt es offizielle Standards für Notfallmanagement wie den BSI- Standard 100-4. Wir empfehlen jedem Unternehmen den Aufbau eines Notfallmanagements in vier Schritten:

  • Schaffen Sie die Rahmenbedingungen! Legen Sie für den IT-Notfall Vorgaben, Zuständigkeiten und Prozesse fest.
  • Identifizieren Sie geschäftskritische Kernprozesse! Dies erfolgt durch eine systematische Bewertung Ihrer Geschäftsprozesse.
  • Sichern Sie Ihre Kronjuwelen! Setzen Sie präventive Sicherheits- und Schutzmaßnahmen für kritische Geschäftsprozesse fest, erstellen Sie hierfür konkrete Notfallpläne.
  • Halten Sie dieses Schutzniveau aufrecht! Ein guter Schutz funktioniert nur, wenn Sie ihn regelmäßig testen, Notfälle simulieren und das Notfallmanagement üben.

Effektiver Wirtschaftsschutz lebt neben dem breiten Verantwortungsgefühl aller Beteiligten für mehr Datenschutz von der konkreten, persönlichen Verantwortlichkeit von IT-Experten in den Unternehmen. Hier besteht großer Bedarf: nur rund 9 % aller produzierenden Unternehmen haben einen IT-Sicherheitsverantwortlichen. In der Regel fällt der Sicherheitsschutz in die Verantwortung des CEO oder ist an externe Sicherheitsprofis outgesourct.

Fazit: Sicherheit, Datenschutz und Notfallmanagement zentral ansiedeln

Aus unserer Sicht bedarf es weiterhin der steten Aufwertung des Themenbereichs Sicherheit in Organisationen. So wie in einer Organisation Kernfunktionen wie Personal, Buchhaltung und Controlling als eigene Einheiten fest verankert sind, so sollte es in Zukunft auch das Themen Sicherheit sein. Sicherheit ist ein Querschnittsthemen und setzt sich u. a. aus den Bereichen Informationssicherheit/IT-Sicherheit und Datenschutz sowie dem Notfallmanagement zusammen (ggfs. auch Geheimschutz, sofern es in der Organisation relevant ist). Das Notfallmanagement sollte auf jeden Fall mit bedacht werden, damit sichergestellt ist, dass nicht nur der Schutz der Informationen im Fokus ist, sondern auch die Verfügbarkeit. Die konkrete Ausgestaltung der Organisation sollte von der jeweiligen Organisation und den spezifischen Herausforderungen und Abläufen abhängen. Wichtig ist jedoch, dass die strategisch und taktischen Sicherheitsthemen übergreifend angesiedelt und gesteuert werden und damit in die gesamte Organisation hineinwirken können. Operative Sicherheitsthemen bspw. für den Betrieb der IT sollten bei den für den Betrieb verantwortlichen Einheiten angesiedelt sein. 

Nehmen Sie die Sicherheit Ihrer Informationen und Daten nicht auf die leichte Schulter. Sorgen Sie rechtzeitig vor, um im Notfall den Schaden schnell begrenzen zu können. Ein Notfallmanagement ist ein wichtiges Tool für jedes Unternehmen.

Artikel von:
Sven Malte Sopha, Senior Management Consultant, Cassini Consulting AG
Sven Malte Sopha
Senior Management Consultant
Seite teilen