Sie haben folgende Möglichkeiten:
  1. zum Login.
  2. zur Navigation.
  3. zum Inhalt der Seite.

Unternehmen gehen sorglos mit Ihren Daten um (Foto: Feng Yu/Fotolia)
IT-Sicherheit

Unternehmen merkeln in Sachen Datensicherheit

MS, ESV-Redaktion COMPLIANCEdigital
27.07.2015
Unternehmen tun nicht das, was sie tun müssten – nämlich ihre Sicherheitsvorkehrungen den aktuellen Cyberbedrohungen anzupassen, so eine aktuelle Studie der Wirtschaftsprüfungsgesellschaft EY.
Manche Dinge dürfte es eigentlich nicht mehr geben: Hütchenspieler, Kaffeefahrten oder aber auch der sorglose Umgang mit Unternehmensdaten. Doch immer noch fallen viele Menschen auf die alten Hütchenspieler-Tricks rein und täglich werden Unternehmen Opfer von Cyberangriffen und Datendiebstahl. In beiden Fällen – so scheint es - ist keine Besserung in Sicht.

Für den sorglosen Umgang mit dem Thema Datensicherheit in Unternehmen hat die Wirtschaftsprüfungsgesellschaft EY gerade neue Zahlen vorgelegt. Demnach nehmen zwar die Fälle von Cyberüberwachung und -kriminalität zu – das Risikobewusstsein deutscher Unternehmen dagegen nicht, so das Ergebnis der Studie "Datenklau: neue Herausforderungen für deutsche Unternehmen".

Unternehmensdaten sind leichte Beute

Laut der EY-Studie haben in den letzten drei Jahren 14 Prozent der deutschen Unternehmen konkrete Hinweise auf Spionageattacken entdeckt. Besonders betroffen sind vor allem große Unternehmen mit mehr als eine Milliarde Umsatz – hier ist sogar jedes fünfte Unternehmen betroffen. Doch nicht nur große Unternehmen und Behörden sind vom Datendiebstahl betroffen. Gerade kleinere und mittlere Unternehmen (KMU) sind leichte Beute für Datendiebe. KMU haben häufig nicht die Mittel oder die Manpower, die notwendig wären, um die Netzwerke der Unternehmen so zu schützen, dass die sensiblen Produktions- oder auch Kundendaten vor illegalen Zugriffen sicher sind.

So ist es auch nicht verwunderlich, dass in jedem fünften Unternehmen (21 Prozent) die kriminellen Handlungen nur durch Zufall entdeckt wurden. Das, so eine andere Studie von den Unternehmensberatern von A.T. Kearney, ist allerdings auch nicht verwunderlich. In der Regel dauere es 243 Tage, bis ein Angriff entdeckt wird, so der IT-Sicherheitsexperte Dr. Boris Piwinger von A.T. Kearney.

(K)ein Grund zur Sorge

Viele Unternehmen merkeln – um einen Topfavoriten auf das Jugendwort des Jahres 2015 zu zitieren – in Sachen Datensicherheit. Die "anhaltende Sorglosigkeit" – oder das Aussitzen im Merkelschen Sinne – überrasche, so Bodo Meseke, Leiter Forensic Technology & Discovery Services bei EY. Viele Unternehmen denken, "sie seien ausreichend geschützt oder würden nicht Ziel von Datenklau und Cyberangriffen werden. Dabei zeigen die immer neuen Enthüllungen, dass jeder Ziel solcher Attacken werden kann und dass die gängigen Schutzmechanismen umgangen werden können."

Unternehmen setzen auf einfache Schutzmaßnahmen

Die anhaltende Sorglosigkeit spiegelt sich auch in den Schutzmaßnahmen wider. 82 Prozent der befragten Manager halten die getroffenen präventiven Maßnahmen gegen Datendiebstahl für ausreichend, wie Firewalls, Antivirensoftware und gute Passwörter – immerhin!

Umfassende Schutzmaßnahmen sucht man dagegen vergeblich. Ein Intrusion-Detection- bzw. Prevention-System, das Hinweise auf die Aktivitäten von Eindringlingen in das eigene Netzwerk geben kann, haben lediglich nur 30 Prozent der Unternehmen. Das ist immerhin eine Steigerung von 100 Prozent im Vergleich zu 2013.

Dieses Verhalten sei schlicht und ergreifend "fahrlässig", so Meseke. "Passwörter und Antivirensoftware können von Hackern heute mitunter minutenschnell umgangen werden. Ein Sicherheitssystem, das lediglich auf diese herkömmlichen Schutzmaßnahmen setzt, öffnet Hackern bereitwillig die Tore. Wer sensible Firmen- oder Kundendaten auf seinen Servern hat, sollte unbedingt strengere Sicherheitsvorkehrungen einführen", so Meseke.

Literaturempfehlung zum Thema IT-Sicherheit

Seit Anfang Juli steht die Zeitschrift Privacy in Germany (PinG) Abonnenten von COMPLIANCEdigital kostenfrei zur Verfügung. Die Zeitschrift setzt sich Schwerpunktmäßig auf mit Fragen der Daten- und IT-Sicherheit auseinander.

Eine praxisorientierte Einführung in die Welt der IT-Prüfung bietet Stefan Beißel in dem Band "IT-Audit: Grundlagen - Prüfungsprozess - Best Practice". Anhand eines umfassenden Prüfungskatalogs können Sie systematisch erschließen, worauf es bei der Vorbereitung, der Durchführung und dem Abschluss erfolgreicher IT-Audits ankommt.

Wie Unternehmen wesentliche regulatorische Anforderungen an die IT identifizieren, priorisieren und effizient steuern können, erläutern die Autoren Michael Rath und Rainer Sponholz in dem Band "IT-Compliance: Erfolgreiches Management regulatorischer Anforderungen".

Die Zeitschrift PinG und die zwei eBooks stehen Abonnenten von COMPLIANCEdigital kostenfrei zur Verfügung.

Noch kein Abonnent? Testen Sie COMPLIANCEdigital 4 Wochen lang gratis. Weitere Informationen finden Sie hier.