• Facebook
  • Twitter
  • Google Plus
  • Digitalisierung

Das Desaster mit der Datensicherheit

, von Jens Brambusch

Viele Firmen schützen ihre Systeme unzureichend. Das kann sehr teuer werden - spätestens, wenn das neue EU-Datenschutzgesetz kommt.

Datendieben wird es häufig zu leicht gemacht © Getty Images
Datendieben wird es häufig zu leicht gemacht

Irgendwann wurde der leise Verdacht immer lauter. Hat etwa jemand interne Daten der Konkurrenz zugespielt? Immer wieder hatte man davon gehört. Von Wirtschaftsspionage. Von illoyalen Mitarbeitern. Von Plagiaten, die auftauchen, und Plänen, die verschwinden. Im Maschinenbau, okay. Aber bei Spielsachen?

In diesen Tagen im Jahr 2011 rumorte es beim Spielwarenhersteller Habermaaß, besser bekannt unter dem Namen Haba. Generationen sind mit dem Spielzeug aus dem kleinen Ort Bad Rodach im Landkreis Coburg aufgewachsen, wie der hölzernen Ziehente mit dem roten Schnabel unter dem gelben Schopf. Ein Klassiker seit 1954.

Das Familienunternehmen, das 1938 als „Fabrik für feine Holzspielwaren“ gegründet wurde, ist Weltmarktführer in dem Segment. Die Palette wuchs um Brett- und Kartenspiele, Puzzles, Bücher und Kindermöbel. Jedes Jahr entwerfen die Designer fast 500 neue Produkte. 1 900 Mitarbeiter sorgen für einen Umsatz von 364 Mio. Euro. So abwegig ist der Verdacht, Opfer von Spionage zu werden, also nicht.

Kompliziert und unübersichtlich

Um Klarheit zu bekommen, war Maik Hoffmann gefragt, der IT-Administrator von Habermaaß. Was den Verdacht damals nährte, will Hoffmann nicht sagen. Aber es lagen stressige Wochen vor ihm. Die Geschäftsführung wollte wissen, ob wirklich kritische Daten abgeflossen seien. Ob es Sicherheitslücken gebe. Und wer überhaupt Zugang zu internen Dokumenten habe. Die Untersuchung war aufwendig und zeitraubend, erinnert sich Hoffmann.

„Mit Bordmitteln“ hätten sämtliche Zugriffe und Benutzerkonten analysiert werden müssen. Jedes einzelne. Am Ende war Hoffmann um zwei Erkenntnisse reicher. Die beruhigende: Wahrscheinlich hat es keine illegalen Abflüsse von Know-how gegeben. Die alarmierende: Das Management der Zugriffsrechte war ein Desaster – kompliziert und unübersichtlich. Wer was wann machen durfte, war völlig unklar und folgte keinen klaren Regeln.

Zum Heulen

Ein Problem, das viele deutsche Unternehmen betrifft. Besonders den Mittelstand. Viel wird über IT-Sicherheit gesprochen, wenig getan. Sichtbar wurde das zuletzt am 12. Mai, als das Schadprogramm Wanna­cry 200 000 Systeme in 150 Ländern befiel und den Zugriff auf die Rechner blockierte. Nur gegen Zahlung wollten die noch unbekannten Cyberkriminellen ihn wieder freigeben. Betroffen waren unter anderem britische Krankenhäuser – und die Deutsche Bahn, deren Anzeigetafeln an den Bahnhöfen gekapert wurden.

Der Fall zeigt: Die IT-Sicherheit ist in vielen Unternehmen mangelhaft. Die Verwaltung der Programme auf den Rechnern, die nötigen Updates, all das ist ein Chaos. Das Problem beginnt oft jedoch schon mit der Frage, wer auf welche Daten zugreifen darf. Selbst das ist meist nur unzureichend geregelt. Schnell ist ein Account für den neuen Kollegen freigeschaltet, aber selten wird er wieder gelöscht. Weil keiner darum bittet.

[Seitenwechsel]

Stephan Brack, Gründer von Protected Networks © Jan Philip Welchering
Stephan Brack, Gründer von Protected Networks

Der Azubi-Effekt

„Azubi-Effekt“ heißt das Phänomen. Hinter dem niedlichen Namen versteckt sich aber ein gravierendes Problem. Auszubildende erhalten in allen Abteilungen Zugriff auf Firmendaten. Oft sind die für sich noch nicht brisant. Aber in Kombination mit Daten aus anderen Ressorts ergeben sie ein umfassendes Bild, etwa über den gesamten Produktionsprozess. Azubis haben so oft umfassendere Zugriffsrechte als das Management.

Das Problem klingt banal, die Folgen aber sind umso krasser, wenn Baupläne, Preislisten oder Kundenverzeichnisse in die falschen Hände geraten. In einer Studie aus dem Jahr 2015 der Nationalen Initiative für Informations- und Internet-Sicherheit (Nifis) gaben 77 Prozent der befragten Unternehmen an, dass sich der Azubi-Effekt zu einem gravierenden Problem in der deutschen Wirtschaft entwickelt hat.

Wie ein offener Tresor

Trotz digitalisierter Prozesse und regulatorischer Anforderungen sichern Unternehmen ihre IT-Infrastruktur nicht angemessen ab. Das ist auch das Ergebnis einer Studie der Wirtschaftsberatung PwC, die im Februar 2017 erschienen ist. Demnach sei im Jahr 2016 jedes fünfte Unternehmen Opfer eines erfolgreichen IT-Angriffs geworden. Im Jahr zuvor war es nur jedes zehnte. Doch trotz der erhöhten Risiken sind die IT-Budgets im Vergleich zum Vorjahr gesunken. „Die Bedrohungslage und die Bewertung der eigenen Sicherheitssituation klaffen auseinander“, warnt PwC-Vorstandsmitglied Peter Bartels.

Dabei ist ein Unternehmen, das seine Daten nicht sichert, wie eine Bank, die ihren Tresor offen stehen lässt. Spätestens ab Mai 2018 kann ein laxer Umgang mit der IT-Sicherheit für Unternehmen aber sehr teuer werden und drastische Folgen haben – dann, wenn personenbezogene Daten betroffen sind. Denn im Mai tritt das Gesetz mit dem sperrigen Namen EU-Datenschutz-Grundverordnung in Kraft.

Hohe Geldbußen

Geldbußen von bis zu vier Prozent des Jahresumsatzes drohen Unternehmen, wenn sie beispielsweise versäumen, Verarbeitungsvorgänge ordnungsgemäß zu dokumentieren. Manager, Datenschutzbeauftragte und IT-Chefs müssen sicherstellen, dass sämtliche Regeln eingehalten werden, und nicht nur auf die Regeln „hinweisen“, wie bislang gefordert.

Hält sich eine Führungskraft nicht an die Vorgaben, können Bußgelder von bis zu 20 Mio. Euro erhoben werden. Und das ist noch nicht alles. Sollten nach einem Schadensfall Geldbußen oder Forderungen gegen das Unternehmen erhoben werden, etwa weil nach einem Datenleck der Aktienkurs einbricht, haften die Verantwortlichen persönlich.

Natürlich finden solch strenge Vorgaben nicht nur Lob. Kritiker gibt es reichlich, sie fürchten eine überbordende Bürokratie und steigende Kosten, die auf Unternehmen zukommen, weil neue Prozesse initiiert werden müssen. Gerade die drastischen Strafen bei Zuwiderhandlung verunsichern. Mehr Datenschutzexperten werden benötigt, was den Fachkräftemangel auf dem abgegrasten IT-Arbeitsmarkt weiter verschärfen wird, heißt es.

Bei Bier und Bratwurst

Doch wenn man sich die Praxis in vielen Unternehmen anschaut, wirkt die Richtlinie gar nicht mehr so weltfremd. Auch eine Umfrage des Digitalverbands Bitkom vom Herbst zeigt ein verblüffendes Ergebnis. Die neue Datenschutzverordnung sei für fast die Hälfte aller Firmen aktuell noch kein Thema. 32 Prozent kannten demnach zwar die Reform, hatten sich aber noch nicht damit beschäftigt, weitere zwölf Prozent noch nicht einmal davon gehört.

Habermaaß, der Spielwarenhersteller, ist dagegen gut vorbereitet. IT-Administrator Hoffmann hatte nach dem falschen Alarm reagiert. „Bis dahin waren wir mit dem Thema Zugriffsrechte eher bäuerlich umgegangen“, sagt er. Dann aber installierte er die Software eines damals noch unbekannten Berliner Start-ups: 8man von Protected Networks.

Die Firma war eine dieser Ideen, die bei Bier und Bratwurst entstanden sind. Das war 2008. Stephan Brack war damals Direktor für Produktmarketing bei einem Telekommunikationsunternehmen. Bei einem Grillfest lernte er zwei Softwareentwickler kennen. Sie philosophierten über die mangelnde Sicherheit im Netz, über amerikanische Anbieter und das Misstrauen der deutschen Wirtschaft, Firmendaten in die Hände einer ausländischen Macht zu legen.

[Seitenwechsel]

Matthias Schulte-Huxel, Geschäftsführer bei Protected Networks © Jan Philip Welchering
Matthias Schulte-Huxel, Geschäftsführer bei Protected Networks

Komplexe Vorgänge

Als sie auseinandergingen, hatten sie einen Plan gefasst. Sie wollten eine deutsche Software entwickeln, die sensible Daten verwaltet, die Zugriffe regelt, die Prozesse dokumentiert.

Damals ahnten sie noch nicht, dass exakt zehn Jahre später die EU genau das vorschreiben wird, was ihre Idee liefern sollte. Drei Ziele setzten sie sich damals: Die Software sollte leicht zu bedienen sein. Komplexe Vorgänge einfach gestalten. Und nach der Installierung, die nicht länger als eine halbe Stunde dauern sollte, an das Unternehmen übergeben werden, damit die Mitarbeiter ihre Daten selbst verwalten können, ohne die Rechte darüber an Dritte abzugeben. Die Idee war geboren.

Sie bezogen ein Büro im dritten Hinterhof eines Backsteingebäudes von 1905 in Berlin-Moabit und begannen zu programmieren. Ein klischeehaftes Start-up mit Tischtennisplatte und mintgrünen Wänden. Noch heute hat die Firma ihren Sitz dort. Mittlerweile sind aus dem Büro mehrere Etagen mit Schulungs- und Konferenzräumen geworden. 65 Mitarbeiter hat Protected Networks, über 100 Kunden im Ausland, mehr als 1 000 in Deutschland – und damit die Marktführerschaft hierzulande.

Der beste Vertriebspartner: Wikileaks

Der größte Kunde hat über 350 000 Mitarbeiter, der erste war ein Berliner Chemiekonzern, der bereits im August 2009 mit der Software ausgestattet wurde. „Unser Leuchtturmkunde“, sagt Matthias Schulte-Huxel, der neben Brack Geschäftsführer ist. Zusammen mit dem Chemieriesen haben sie gehirnt, was eine Software zu ­leisten hat. Sie haben analysiert, wer in einem Unternehmen worauf zugreifen kann. Und ob er das überhaupt muss oder tut. Sie haben ein Need-to-know-Prinzip erarbeitet, das Daten kategorisiert.

Erstaunt ist Schulte-Huxel, wie viele Unternehmen in Deutschland immer noch nicht erkannt hätten, wie wertvoll ihre Daten sind. Zwar sei ein Wandel hin zu Security-Software erkennbar, oft schreckten die Unternehmen aber vor Investitionen zurück – außer es gebe einen Schadensfall im eigenen Haus oder irgendwelche Datenskandale. „Unser bester Vertriebspartner ist Wikileaks“, sagt Schulte-Huxel und lacht.

[Seitenwechsel]

8man heißt die entwickelte Software für das Berechtigungsmanagement © Jan Philip Welchering
8man heißt die entwickelte Software für das Berechtigungsmanagement

Ganz viel Naivität

Auch Wannacry, die Schadsoftware, die Mitte Mai für Unruhe sorgte, ist so ein Wachrüttler. Dass die Attacke vergleichsweise glimpflich ausgegangen ist, liegt laut Harald Reisinger vor allem an den vielen Fehlern, die die Angreifer begangen haben. „Das hätte auch katastrophal enden können“, sagt der Geschäftsführer und Mitgründer der österreichischen IT-Sicherheitsfirma Radar Services. Wannacry habe vor allem eines gezeigt: „Ganz viel Naivität bei vielen Unternehmen und Behörden im Umgang mit der IT-Sicherheit.“ Die Sicherheitslücken seien seit Wochen bekannt, kommuniziert und Korrekturen, sogenannte Patches, von Microsoft zur Verfügung gestellt gewesen. „Sie wurden nur nicht installiert.“

Solche Schwachstellen nach Bekanntwerden nicht sofort zu schließen sei einfach nicht zeitgemäß, sagt Reisinger. Jedes seriös arbeitende Unternehmen müsse eine saubere Analysestruktur implementieren, die Schwachstellen und gefährliches Verhalten von IT-Systemen entdeckt – und warnt. „Es reicht eben nicht, alle paar Monate die Software mit Updates zu versehen“, sagt Reisinger. Das könne die Existenz kosten. Immerhin würden Fälle wie Wanna­cry die Sensibilität schärfen.

Behörden interessiert

Mittlerweile verlangten bereits viele Konzerne von ihren Zulieferern den Nachweis über Datensicherheit. Und auch immer mehr Behörden, wie die Bundespolizei, würden die Notwendigkeit eines Berechtigungsmanagements erkennen. „Durch die Flüchtlingswelle kam die Compliance-Thematik auf. Wer darf auf welche Daten des Zolls zugreifen? Das Problem war, dass jedes Bundesland ein anderes System nutzt.“ Die digitale Patientenakte sei ein weiteres großes Thema, sagt Schulte-Huxel. Auch da liefen Pilotprojekte. Wer darf was lesen und ergänzen? „Unser Ziel ist es“, sagt Brack, „die Löcher im System so klein wie möglich zu halten. Also präventiv zu wirken. Kommt es aber zum Ernstfall, muss ein Blick auf die Dokumentation reichen, um zu wissen, wer es war.“

Klingt alles ganz einleuchtend und einfach. Für viele Unternehmen hingegen ist IT-Sicherheit immer noch „Neuland“.

Der Beitrag ist zuerst in Capital 07/2017 erschienen. Interesse an Capital? Hier geht es zum Abo-Shop, wo Sie die Print-Ausgabe bestellen können. Unsere Digital-Ausgabe gibt es bei iTunes, GooglePlay und Amazon


Artikel zum Thema