DIKMU-Studie
Mobilkommunikation birgt neue Datenrisiken

Unternehmen müssen nicht nur aus Eigeninteresse heraus, sondern auch wegen gesetz­li­cher Vorschriften und dem Schutze der eigenen Mitarbeiter, Kunden und Geschäfts­par­tner vertrauliche Informationen vor dem Zugriff Dritter schützen. Das aber wird immer schwie­riger, je mehr in den Unternehmen mobile Kommunikation Eingang findet und Handys, Laptops und Internet zu unverzichtbaren Arbeitsmitteln werden. Mehrere Studien des Deutschen Instituts für kleine und mittlere Unternehmen (DIKMU) untersuchten diese Risiken, Prof. Dr. Jörn-Axel Meyer, der wissenschaftliche Direktor des Instituts, fasste nun die Ergebnisse in einem Buch zusammen.

Die Wahrscheinlichkeit, dass dabei Informationen verloren gehen, steigt mit jedem Gerät und jeder Minute im Netz. Einige Beispiele, wo die Gefahren lauern: Mithören von Geschäftstelefonaten am Handy, im Café liegen gelassene Laptops und Smartphones, abgefangene Informationen in WLAN-Netzen, fehlgeleitete SMS. Hinzu kommen noch die klassischen Risiken: falsch adressierte Faxsendungen, verlorene Dokumente und Terminkalender mit Adressen, aber auch Verlust von klassischen Briefsendungen.

Dabei entstehen diese Sicherheitslücken nicht nur durch die Technik, sondern sehr oft auch durch das Verhalten der Mitarbeiter. Legendär ist das gedankenlos offen geführte Gespräch zwischen unerfahrenen Mitarbeitern im Flugzeug auf dem Weg zur Konferenz, in dem rundherum die Konkurrenz sitzt und andächtig lauscht.

Die Schäden sind vielfältig: einerseits Image- und Vertrauensverlust bei Mitarbeitern, Kunden, Partnern, Lieferanten und in der Öffentlichkeit, andererseits Informationsverlust an die Konkurrenz. Daraus können rechtliche Haftungen sowie ein Verlust von Kunden und damit von Umsatz und Gewinn entstehen. Schließlich muss das Leck auch noch geschlossen und – wenn es ganz schlimm kommt – in der Öffentlichkeit geschickt kommuniziert werden. Das führt zu weiten Kosten. Besonders teuer wird es, wenn durch den Verlust von Betriebsgeheimnissen aus der Fertigung an die Konkurrenz Neuentwicklungen nötig werden.

Mehrere Untersuchungen des Deutschen Institutes für kleine und mittlere Unternehmen (DIKMU) im Sommer 2010 zeigten, welche Sicherheitslecks die Unternehmen sehen und welche aus ihrer Sicht besonders bedrohlich sind.

Das sind nach Einschätzung der Unternehmen die größten Bedrohungen:

  • Mithören/-schneiden von Telefonaten im öffentlichen Raum,
  • Phishing („Abfischen“ von Dateneingaben im Internet auf durch das Unterschieben gefälschter Websites)
  • Mithören von Gesprächen im öffentlichen Raum (z. B. Flugzeug, Zug, Café, Präsentation),
  • Aufzeichnen des Datenflusses aus ungesicherten WLAN-, UMTS-, GPRS- und Bluetooth-Verbindungen,
  • Mitlesen im öffentlichen Raum, (z. B. Flugzeug, Zug, Café, Outdoor-Präsen­ta­tion) und
  • Auslesen von verlorenen/gestohlenen Laptops, Smartphones, Sticks etc.

Wie die jüngsten Studien des DIKMU zeigen, erkennen die Unternehmen einerseits sehr wohl, dass der Schutze der Vertraulichkeit in der mobilen Kommunikation für sie immer wichtiger wird. Allein diese Zahlen sprechen Bände: So wissen 32 % der Unternehmen nicht, ob ihnen schon mal vertrauliche Informationen verloren gingen, 28 % wissen nicht, ob bereits einmal ein Handy im Betrieb verloren ging und nur 46 % geben ihren Mitarbeitern Richtlinien mit auf den Weg, nur 27 % schulen sie im Schutz vertraulicher Informationen.

Andererseits werden Schutzmaßnahmen in diesem Bereich eher selten ergriffen. Das ist umso schwerer nachzuvollziehen, als der Schutz der stationären Computer in Firmen längst gängige Praxis ist. Gerade kleine und mittlere Unternehmen vernachlässigen die Sicherung mobiler Kommunikation besonders häufig. Dabei gibt es viele Wege, das Risiko zu minimieren. Dabei gäbe es viele Wege, das Risiko zu minimieren, wie folgende kleine Liste zeigt.

Mögliche Sicherheitsmaßnahmen und -einrichtungen:

  • Einsatz von Software (u. a. Zugangsschranken, Verschlüsselung und Identity Management Software, Firewalls und Virensoftware)
  • Datensicherung: Umfasst jegliche Formen der Datensicherung auf den mobilen Geräten, in der Regel auch Softwareunterstützung
  • Mechanische und bauliche Maßnahmen: u. a. Sichtschutz(folien), Laptopketten, Handy-Etuis, Handytelefonzelle
  • Richtlinien, verbindliche Verhaltensvorgaben für die Mitarbeiter
  • Mitarbeiterschulung und Workshops
  • Einsatz eines spezifischen Sicherheitsbeauftragten

Es bedarf aber nicht nur einer erhöhten Sensibilisierung der Unternehmen und ihrer Mitarbeiter für den Schutz vertraulicher Informationen, sondern auch eines durchdachten Managements, in dem alle im Unternehmen auftretenden oder denkbaren Sicherheitslücken erfasst und ein systematischer Katalog von Schutzmaßnahmen erstellt und im Unternehmen angewendet wird.

Denn so vielfältig wie die Sicherheitslücken und ihre Anlässe, so vielfältig sind auch die Schutzmaßnahmen. Es reicht nicht aus, hier und da mit einigen Maßnahmen nachzubessern. Vielmehr sind im Unternehmen systematisch die Lücken zu identifizieren und geeignete Maßnahmen, auch übergreifend auszuwählen und zu installieren. Zusätzlich ist nach diesem einmaligen oder regelmäßig zu wiederholenden Vorgang die Umsetzung und Einhaltung der Schutzmaßnahmen kontinuierlich zu kontrollieren. Alles zusammen führt zu einem Planungs-, Anwendungs- und Kontrollprozess des Managements der Vertraulichkeit in der mobilen Kommunikation.

Auf der Basis von nicht weniger als vier umfangreichen empirischen Untersuchungen bei Unternehmen und in der Öffentlichkeit hat das DIKMU – unterstützt durch die Telefonica O2 als Kompetenzpartner in Sachen mobile Kommunikation und Technik – ein Managementkonzept entwickelt. Es gibt den Unternehmen eine Anleitung, systematisch das Gesamtproblem des Schutzes der Vertraulichkeit in der mobilen Kommunikation zu erfassen und zu lösen. Es umfasst drei zentrale Schritte: Situations- und Risikoanalyse, Wahl der Schutzmaßnahmen und regelmäßige Erfolgskontrolle der Maßnahmen und ihrer Umsetzung. Auch wenn vor allem viele kleinere und mittelgroße Unternehmen ein so aufwändiges Management für übertrieben halten wird – besonders mittelständische Betriebe, deren Geschäftsmodell auf den Ergebnissen von eigener Forschung und Entwicklung basiert sowie wissensbasierte Dienstleister und schnell wachsende, international kooperierende Unternehmen können daran nicht vorbei gehen.

Die Erkenntnisse der Studien des Deutschen Instituts für kleine und mittlere Unternehmen und die Konsequenzen daraus können im Buch Vertraulichkeit in der mobilen Kommunikation – Leckagen und Schutz vertraulicher Informationen (ISBN 978-3-89936-959-5) nachgelesen werden. Das Buch ist im Eul Verlag erschienen. (Quelle: DIKMU/ml)