IT-Sicherheit
Viele Mittelständler sind ohne IT-Notfallplan

Kleine und mittlere Unternehmen (KMU) legen zu wenig Wert auf IT-Sicherheit, klagt der Branchenverband BITKOM. Nur jedes vierte Unternehmen habe einen Notfallplan, sollten die Computersysteme ausfallen. Gleiches gilt für Sicherheitsrichtlinien und verbindliche Organisationsanweisungen zu Datenschutz und IT-Sicherheit. Drei Viertel der Mittel­ständ­ler bieten ihren Mitarbeitern weder regelmäßige Schulungen noch Informationen zur Sicherheit im Unternehmen an. Ein knappes Drittel (32 %) verzichtet sogar komplett auf organisatorische Maßnahmen zu Datenschutz und IT-Sicherheit.

Diese alarmierenden Zahlen entstammen einer Umfrage von Datev, Sophos, SAP und BITKOM für den Verein Deutschland sicher im Netz (DsiN). Über tausend kleine und mittlere Unternehmen in Deutschland wurden befragt, welche IT-Sicherheitsmaßnahmen sie einsetzen.

Studien zeigen, wie stark die Wirtschaft bereits heute von ITK-Kriminalität betroffen ist: Mehr als die Hälfte aller Unternehmen, die 2010 Opfer von Wirtschaftskriminalität wurden, verzeichneten Schäden durch ITK-Kriminalität. 2006 lag der Wert noch bei 23 %. Der durchschnittliche Schaden lag bei 300.000 Euro. Das ergab eine Studie von KPMG. Die Dunkelziffer ist jedoch hoch. Viele betroffene Unternehmen scheuen den Gang in die Öffentlichkeit, oft aus Angst vor Imageverlust. „Viel zu wenige Unternehmen sind bereit, über Schadensfälle wie Erpressung oder Spionage mit ITK zu berichten und Anzeige zu erstatten“, klagt BITKOM-Präsident Prof. Dr. August-Wilhelm Scheer. Das erschwere den Kampf gegen die ITK-Kriminalität.

Scheer begrüßte die Einrichtung einer Taskforce IT-Sicherheit durch das Bundeswirtschaftsministerium. Zwar leisteten präventive Web-Informationsangebote zu IT-Sicherheit gute Arbeit, im konkreten Schadensfall fehlen betroffenen Unternehmen jedoch eine zentrale Plattform mit Tipps und Vorgehensweisen. Das soll sich mit der durch das Bundeswirtschaftsministerium eingerichteten Taskforce IT-Sicherheit ändern. Sie ist ein wichtiger Baustein in der nationalen Cybersicherheitsstrategie, die am 23. Februar 2011 vom damaligen Innenminister de Maizière und Wirtschaftsminister Brüderle vorgestellt wurde.

Die Bundesregierung will mit ihrer Strategie IT-Systeme und kritische Infrastrukturen sowie die Sicherheit von KMU künftig besser schützen. Dafür wird sie unter anderem ein Nationales Cyber-Abwehrzentrum aufbauen und einen Nationalen Cyber-Sicherheitsrat einrichten. Das Cyber-Abwehrzentrum ist in erster Linie als Informationsdrehscheibe zwischen den Behörden konzipiert. „Wir begrüßen sehr, dass sich die Bundesregierung dem Kampf gegen Cyberkriminalität so stark annimmt“, sagte Scheer. Begrüßenswert sei vor allem die enge Zusammenarbeit der betroffenen Ministerien. Wichtig sei allerdings auch, dass der Informationsaustausch die Wirtschaft einbezieht.

Die Problematik um den Trojaner StuxNet hat gezeigt, wie sicherheitskritisch IT-Infrastrukturen für Wirtschaft und Staat sind. StuxNet war vermutlich zum Angriff auf Industrieanlagen entwickelt worden und hatte Steuersysteme ausgewählter Maschinen zum Ziel. Moderne Maschinen und Anlagen kommen ohne vernetzte Sensoren und Steuerkomponenten nicht mehr aus. Es entstehen neue Angriffspunkte bei den Produzenten und Betreibern großer Maschinen und Anlagen.

Ins Zentrum der Cyber-Sicherheitsstrategie gehört aus BITKOM-Sicht auch die Förderung einer leistungsfähigen IT-Sicherheitsindustrie in Deutschland. Die Anbieter von IT-Sicherheitstechnologien hätten für die künftige Sicherheit Deutschlands eine ebenso hohe Bedeutung wie die Hersteller traditioneller Militärtechnik und Sicherheitssysteme. (BITKOM/ml)