IT-Sicher­heit – Exper­ten­in­ter­view mit Marc Fliehe von der Bitkom

7. Oktober 2015
Seit Jah­ren steht bei deut­schen Unter­neh­men eine Erhö­hung der IT-Sicher­heit auf der Agenda. Längst ist klar, dass im Zen­trum der Cyber­kri­mi­na­li­tät nicht mehr ein­zelne Hack­ti­vis­ten in sti­cki­gen Kel­lern, son­dern gut orga­ni­sierte und arbeits­tei­lig vor­ge­hende kri­mi­nelle Ver­ei­ni­gun­gen mit einer her­vor­ra­gen­den Infra­struk­tur ste­cken. Wir spra­chen mit IT-Sicher­heits­experte Marc Fliehe, Bereichs­lei­ter für IT-Sicher­heit bei Bitkom.

smart: Herr Fliehe, das Thema IT-Sicher­heit hat im dig­tia­len Zeit­al­ter eine zen­trale Bedeu­tung gewon­nen. Woran liegt das? 

Marc Fliehe: Durch die Digi­ta­li­sie­rung lie­gen Daten ver­stärkt vir­tu­ell vor. Die All­ge­gen­wart von zugäng­li­chen Daten – etwa durch die zuneh­mende Ver­brei­tung von Cloud-Diens­ten – wird ebenso umfas­sen­der wie die Kom­ple­xi­tät und Ver­net­zung sämt­li­cher Lebens­be­rei­che durch neue Tech­no­lo­gien. Das „Inter­net of Things” bie­tet Unter­neh­men in puncto Pro­duk­ti­vi­tät zuneh­mend neue Mög­lich­kei­ten, stellt aber die IT-Sicher­heit kon­ti­nu­ier­lich vor neue Her­aus­for­de­run­gen. Dabei haben sich nicht nur die Metho­den der Angrei­fer haben sich ver­bes­sert, son­dern auch deren Angriffs­wege sind viel­sei­ti­ger gewor­den und las­sen sich schwe­rer ein­däm­men. Die mobile Revo­lu­tion bie­tet Cyber­kri­mi­nel­len einen über­aus frucht­ba­ren Nähr­bo­den. Vom Daten­klau mit anschlie­ßen­der Erpres­sung bis hin zur Wirt­schafts­spio­nage, Ansatz­punkt vie­ler Angriffe ist heute das Smart­phone der Unter­neh­mens­mit­ar­bei­ter. Dass selbst hoch­ran­gige Poli­ti­ker vor Späh­an­grif­fen nicht sicher sind, hat unlängst die NSA-Affäre ver­deut­licht, in deren Rah­men sogar das Handy der Kanz­le­rin abge­hört wor­den ist.

smart: Wel­che Anfor­de­run­gen an die IT-Sicher­heit gibt es spe­zi­ell in Unter­neh­men, d. h., wo gehen diese über die Sicher­heits­an­for­de­run­gen an pri­vate Com­pu­ter­sys­teme hinaus?

Fliehe: Unter­neh­men tun also gut daran, sich inten­siv mit ent­spre­chen­den Sicher­heits­kon­zep­ten auseinanderzusetzen.IT-Systeme sind in den meis­ten Unter­neh­men heute not­wen­dig, um den Geschäfts­be­trieb zu gewähr­leis­ten. Bei Stö­run­gen oder Aus­fäl­len kommt es schnell zu hohen finan­zi­el­len Ver­lus­ten. Daher braucht es zusätz­li­che Sicher­heits­maß­nah­men, die über den übli­chen Basis­schutz mit Viren­scan­nern und Fire­walls hin­aus­ge­hen. Der reicht heute nicht mehr aus. Dane­ben sind spe­zi­elle Angriffs­er­ken­nungs­sys­teme und Maß­nah­men gegen Daten­ab­fluss von innen not­wen­dig. Wei­tere The­men sind Ver­schlüs­se­lung oder erwei­terte Zugriffskontrollen.

smart: Wel­che Schwach­stel­len in der Sicher­heits­ar­chi­tek­tur von Unter­neh­men fal­len Ihnen am häu­figs­ten auf?

Marc Fliehe: Schwa­che Pass­wör­ter und alte Soft­ware­ver­sio­nen sind noch sehr weit ver­brei­tet. Die größte Schwach­stelle ist und bleibt aber der Mit­ar­bei­ter selbst. Hier ist wich­tig, dass der Anwen­der von IT-Sys­te­men die Risi­ken kennt und sich ent­spre­chend sen­si­bel ver­hält. Angrei­fer nut­zen manch­mal auch das Tele­fon oder die offene Tür im Hin­ter­hof des Fir­men­ge­bäu­des, um sich unbe­fug­ten Zugriff auf die Unter­neh­mens­da­ten zu ver­schaf­fen. Der unwis­sende Mit­ar­bei­ter wird dabei manch­mal unfrei­wil­lig zum Komplizen.

smart: Haben Unter­neh­men seit der NSA-Affäre ein höhe­res Sicherheitsbewusstsein?

Marc Fliehe: Das lässt sich zwar schwer mes­sen, aber nach unse­rer Beob­ach­tung hat sich das Sicher­heits­be­wusst­sein tat­säch­lich erhöht. Dazu tra­gen aber auch die immer neuen Fälle schwe­rer Cyber­at­ta­cken auf Unter­neh­men bei. Die Inves­ti­tio­nen in IT-Sicher­heit stei­gen jeden­falls kräf­tig an.

smart: Wel­che ein­fa­chen Maß­nah­men wür­den Sie Unter­neh­men und Pri­vat­leu­ten emp­feh­len, die sich vor wie auch immer moti­vier­ten uner­wünsch­ten Zugrif­fen auf ihr System(z. B. Wirt­schafts­spio­nage) schüt­zen möchten?

Marc Fliehe: Pri­vat­leute soll­ten vor allem ihren Viren­schutz und die Fire­wall auf dem neu­es­ten Stand hal­ten. Dane­ben kön­nen sie über Ver­schlüs­se­lung von E‑Mails und Dateien nach­den­ken, um ihre Daten bes­ser zu schüt­zen. Bei Unter­neh­men ist die Sache kom­ple­xer und hängt von vie­len Fak­to­ren wie Größe oder Bran­che ab. Am Anfang steht aber immer die Frage: Wel­che Daten in mei­nem Unter­neh­men sind beson­ders wert­voll? Danach kann man dann die Sicher­heits­stra­te­gie ausrichten.