Bereits 2003 hatte Siemens den Auftrag erhalten, für den Hochsicherheitsbereich des indischen Verteidigungsministeriums ein besonders sicheres Zugangskontrollsystem zu installieren. Gesagt, getan: Ein biometrisches Verfahren sorgt seitdem dafür, dass mehrere hundert Mitarbeiter beim Zutritt zur Forschungs- und Entwicklungsabteilung zweifelsfrei identifiziert werden können. Auch für Unternehmen ist diese Lösung interessant. Markus Strübel, zuständig für die Marketingkommunikation bei Securiton, sagt:
„Der neueste Stand der Technik ist der Einsatz von IP-basierten Zutrittskontrollsystemen.“
Dabei stehe die Integration von digitaler Videotechnik an erster Stelle. Live-Videobilder von Zugängen können nämlich mit Archivbildern verglichen werden. Anschließend entscheidet das System, ob der Zugang gewährt wird oder nicht. Der Vorteil von biometrischen Erkennungslösungen liegt auf der Hand: Eindeutige menschliche Merkmale wie zum Beispiel ein Fingerabdruck oder Handlinien gehen niemals verloren, PIN-Nummern oder Ausweise hingegen schon.
Doch die besten Überwachungskameras und hypermodernen Zutrittskontrollen scheitern, wenn die Angriffe aus dem World Wide Web kommen. Moderne Industriespione fangen E-Mails ab und dringen in fremde Computersysteme ein – meist ohne Spuren zu hinterlassen.
Bereits seit Längerem beobachten Sicherheitsbehörden weltweit einen Trend hin zur Digitalisierung von Straftaten beziehungsweise einen Anstieg der sogenannten Informations- und Kommunikationskriminalität (IuK-Kriminalität). Das Bundeskriminalamt (BKA) spricht allein für den Zeitraum 2006 von über 165.000 Straftaten, die übers Internet begangen wurden. „Phishing“ ist dabei das derzeit spektakulärste Phänomen.
Vom Ausspähen und unberechtigten Einsatz persönlicher Informationen („Password-Fishing“) sind auch immer häufiger kleine und mittlere Unternehmen betroffen. Denn die Hacker werden immer dreister, wenn es um das Auffinden von Sicherheitslücken geht. Die Installation von Firewalls, mehreren unterschiedlichen Virenscannern und Verschlüsselungsmechanismen werden da schon zur ersten Bürgerpflicht. Harald Woll vom Landesamt für Verfassungsschutz Baden-Württemberg, mahnt:
„Die Unternehmen müssen erkennen können, ob sich jemand mit einer fremden Hardware, also zum Beispiel ein Kunde oder ein Lieferant, ins firmeneigene Netzwerk einloggt.“
Der Kauf solcher Softwareprogramme, die das ermöglichen, gehöre zu einem ganzheitlichen IT-Sicherheitskonzept unbedingt dazu. Einleuchtend, denn Firmen, deren Identität missbraucht wurde, leiden unter einem enormen Prestige- und Glaubwürdigkeitsverlust und es kann lange dauern, bis das Vertrauen der Kunden wieder hergestellt ist. Ob ein Betrugs- oder Spionageversuch letzten Endes von Erfolg gekrönt ist, hängt, wie so oft, von der einzigen „Sicherheitslücke“ im Unternehmen ab, die nicht geschlossen werden kann: dem Mensch. Er allein entscheidet, ob eine verdächtige E-Mail geöffnet oder gelöscht wird. Regelmäßige Updates oder die neueste Firewall helfen da nur wenig, denn: Niemand hat bislang einen Schutz vor der eigenen Entscheidung erfunden.
Interview mit Carsten Baeck, Geschäftsführer der Deutschen Risikoberatung in Berlin.
Die Fragen stellte David Wolf, Redakteur business-wissen.de.
dw: Vor allem Mittelständler scheuen noch oft die Kosten eines professionellen Sicherheitsmanagements. Warum?
Baeck: Eigentümergeführte Unternehmen gehen anders als Kapitalgesellschaften mit Risiken um. Ein Konzernlenker sichert sich vor Haftungsansprüchen mit System ab, der Eigentümer hingegen trägt die Risiken persönlich und haftet mit seinem Vermögen. Zudem ist die Eintrittswahrscheinlichkeit krimineller Ereignisse meist geringer als die alltäglichen finanziellen Risiken.
dw: Wann lohnt es sich auch für einen Mittelständler, über die Etablierung eines umfassenden Sicherheitsmanagements nachzudenken?
Baeck: Das ist der Fall, wenn Schäden verhindert oder deren Ausmaß gemindert wurden. Die wahren Schadensquoten und sicherheitsrelevanten Ereignisse sind jedoch in den wenigsten Unternehmen statistisch erfasst. Mittelständler sollten aber über ein Basisschutzkonzept nachdenken und ein Sicherheitsmanagementsystem als selbstverständlichen Bestandteil ihrer Geschäftsprozesse einführen.
dw: Warum sind gerade Unternehmen in einer Umstrukturierungsphase anfälliger für kriminelle Handlungen?
Baeck: Gelegenheit macht Diebe. Bei Umstrukturierungen entsteht oft ein Kontrollvakuum und die Sicherheitsmaßnahmen werden nur lückenhaft umgesetzt. Das nutzen die Täter aus. Wenn die Karten in solchen Situationen neu gemischt und Kompetenzen neu verteilt werden, gibt es neben den Gewinnern auch immer Verlierer. Für kriminelle Handlungen ist das oft ausschlaggebend.
dw: Ob ein Security-Verantwortlicher etabliert wird, hängt auch von der Größe des Unternehmens ab. Können Sie einen Richtwert nennen?
Baeck: Einen Security-Verantwortlichen gibt es immer, und wenn es der Chef selbst ist. Hauptamtliche Chief Security Officer (CSO) in Vollzeit sollten ab einer Milliarde Euro Jahresumsatz etabliert werden. Aber das ist nur ein grober Wert. Daneben kommt es auf die jeweilige Branche, den Grad der Internationalisierung oder Tätigkeiten in Risikoländern an.
dw: Was kostet ein hauptberuflicher Security-Profi?
Baeck: Mit einer einzelnen Stelle ist es kaum getan. Ein CSO muss jederzeit weltweit reisen können. Das erfordert ein angemessenes Reisebudget und ein Backoffice. Um Unabhängigkeit und Vertraulichkeit zu gewährleisten, ist ein personeller Unterbau von zwei Mitarbeitern nötig. 500.000 Euro halte ich für eine erste reale Kostengröße.
dw: Sollte die Beschäftigung eines Sicherheitsverantwortlichen gesetzlich geregelt werden?
Baeck: Von einem gesetzlichen Beschäftigungszwang halte ich nichts. Kleinere Unternehmen könnten diesen Zwang nicht tragen. Mittelständler können Sicherheitsaufgaben zudem wesentlich kostengünstiger einkaufen. Heutzutage mangelt es vielmehr an der Kontrolle und der Ahndung von Verstößen. Besser wären Regeln für die Zulassung als CSO oder Qualifikationsprüfungen zum staatlich geprüften Sicherheitsberater.
Weitere Informationen zum Thema Wirtschaftsspionage im Internet
Informationsportal des Landes Nordrhein-Westfalen
Sicherheitsforum Baden-Württemberg - Die Wirtschaft schützt ihr Wissen
[dw; Bild: René Sputh - Fotolia.com]
- Teil 1: Wirtschaftskriminalität: Gehen Sie beim Sicherheitsmanagement auf Nummer sicher
- Teil 2: Technik: Digitale Videoüberwachung kann helfen
- Teil 3: IuK-Kriminalität steigt weltweit an
