Wachstumsmarkt Cyberkriminalität
Das Ringen um Sicherheit in der IT scheint komplexer statt einfacher zu werden. Die aktuellen Bedrohungen fordern mittlere und überfordern kleine Unternehmen. Helfen können IT-Spezialisten, die ihren Kunden neben Hardware auch eine umfassende Projektberatung anbieten können. Hinzu kommen Folgegeschäfte, wie etwa die Schulung der Mitarbeiter von Unternehmenskunden.
Grosse Firmen und Organisationen kämpfen mit teilweise ansehnlichen IT-Budgets und Fachpersonal für die Sicherheit ihrer IT und Daten. Immer wieder scheint es ein Kampf gegen Windmühlen zu sein. DDoS-Attacken, Advanced Persitant Threats oder Wirtschaftsspionage durch Geheimdienste: Grosse Unternehmen wie etwa Adobe oder Sony waren prominente Opfer von Datendieben, die es auf die Kreditkartendaten von Kunden abgesehen haben. Nokia soll Erpressern Ende 2007 sogar Millionen gezahlt haben, damit die Verschlüsselungscodes des Handy-Betriebssystems Symbian nicht veröffentlicht werden.
Milliardengeschäft Cybercrime
Cyberkriminalität ist ein Wachstumsmarkt. Fast 400 Milliarden US-Dollar Schaden für die Wirtschaft verursachen Kriminelle jährlich. Und das ist nur eine konservative Schätzung, kommen das "Center for Strategic and International Studies" und der Sicherheitsspezialist McAfee zum Schluss. Europäische Länder könnte das rund 150 000 Jobs kosten. Oder anders ausgedrückt: 0,5 Prozent der Arbeitslosigkeit in Europa könnte auf das Konto von Cyberkriminellen gehen.
Die absolute Sicherheit gibt es nicht, weiss Marc Rennhard, Professor für Informationssicherheit an der ZHAW und Vorstandsmitglied der Information Security Society Switzerland (ISSS): "Ein Unternehmen muss seine Hürden so weit erhöhen, dass es als Angriffsziel unattraktiv wird", empfiehlt er. Diese Hürden sollten etwa aus einer Firewall, Internetfiltern, Intrusion Detection oder VPN-Tunneln bestehen. Und Unternehmen rüsten auf, wie ein Blick auf die jüngsten Zahlen von IDC zeigt: Bereits im 18. aufeinanderfolgenden Quartal stiegen der globale Ab- und Umsatz im Bereich Netzwerksicherheit an – auch wenn in Westeuropa durch die schwache Wirtschaft der Markt im ersten Quartal dieses Jahres um 0,5 Prozent auf 607,4 Millionen Dollar zurückging.
KMUs scheinen mit dem Aufbau von Sicherheitshürden oftmals überfordert zu sein. Insbesondere kleine Unternehmen kennen sich mit IT-Sicherheit kaum aus, erklärte Bernhard Plattner, Experte für Informationssicherheit und Professor an der ETH Zürich gegenüber dem KMU-Portal des Staatssekretariats für Wirtschaft, Seco. Er schlägt KMUs deshalb vor, sich an spezialisierte Dienstleister zu wenden.
Welche Daten sind wichtig?
Bei der Evaluation eines entsprechenden Projektgeschäfts sollten Dienstleister und Kunden zuerst herausfinden, was am vordringlichsten geschützt werden muss. Für ein Ingenieursbüro dürften Konstruktionspläne wichtiger sein als die permanente Verfügbarkeit der Website. Der Besitzer eines Ladengeschäfts mit Webshop wird sich um die dauerhafte Erreichbarkeit seiner Webseite und den Schutz seiner Kundendaten sorgen.
Ähnlich sieht das auch der weltgrösste Security-Spezialist Symantec. Das Unternehmen weist in seinem Sicherheitsbericht 2014 darauf hin, dass man sich zunächst eine Strategie überlegen sollte, bei der die schützenswerten Daten im Mittelpunkt stehen. Der nächste Schritt beim Aufbau eines Schutzkonzepts sollte die technische Analyse sein. Bietet die Sicherheitsinfrastruktur auch Komponenten wie Data Loss Prevention, Netzwerksicherheit, Verschlüsselung, starke Authentifizierung und gegebenenfalls Abwehrmassnahmen? Auch sollte die Effizienz der Schutzmassnahmen gemessen werden können.
Mitarbeiter sensibilisieren
Der wohl wichtigste Schritt dürfte aber sein, dass Mitarbeiter ein Bewusstsein für IT-Sicherheit entwickeln. Denn immer mehr Angreifer attackieren nicht mehr plump die Infrastruktur ihres Opfers. Immer häufiger wird die "Schwachstelle Mensch" ausgenutzt. Nicht verschlüsselte E-Mails werden abgefangen, die Daten von Firmenkreditkarten erfragt oder auch präparierte USB-Sticks etwa im Lift "liegen gelassen", die von Neugierigen an ihren PC angeschlossen werden. Deshalb raten Industrie wie Hochschulexperten dazu, Mitarbeiter über diese Gefahren aufzuklären.
KMUs sollten eine Sicherheitspolitik mit klaren Regeln formulieren. Diese Richtlinien sollten exakt vorschreiben, was im Rahmen der Arbeit erlaubt ist und was nicht, erklärt Plattner im KMU-Portal. Er empfiehlt, zusätzlich die Zugangsberechtigungen der Mitarbeiter zu definieren. Allerdings sollten die Regeln auch geschult werden, damit allen Beteiligten klar ist, wie sie sich zu verhalten haben. Es gehe darum, die Angestellten entsprechend zu erziehen und zu sensibilisieren, betont Plattner.
Insgesamt ergeben sich für den IT-Fachhandel im Sicherheitsgeschäft also zahlreiche Möglichkeiten – von der Beratung über das Projektgeschäft bis hin zur abschliessenden Schulung der Mitarbeiter des Kunden.