DigitalisierungDas Desaster mit der Datensicherheit

Datendieben wird es häufig zu leicht gemacht
Datendieben wird es häufig zu leicht gemacht
© Getty Images

Irgendwann wurde der leise Verdacht immer lauter. Hat etwa jemand interne Daten der Konkurrenz zugespielt? Immer wieder hatte man davon gehört. Von Wirtschaftsspionage. Von illoyalen Mitarbeitern. Von Plagiaten, die auftauchen, und Plänen, die verschwinden. Im Maschinenbau, okay. Aber bei Spielsachen?

In diesen Tagen im Jahr 2011 rumorte es beim Spielwarenhersteller Habermaaß, besser bekannt unter dem Namen Haba. Generationen sind mit dem Spielzeug aus dem kleinen Ort Bad Rodach im Landkreis Coburg aufgewachsen, wie der hölzernen Ziehente mit dem roten Schnabel unter dem gelben Schopf. Ein Klassiker seit 1954.

Das Familienunternehmen, das 1938 als „Fabrik für feine Holzspielwaren“ gegründet wurde, ist Weltmarktführer in dem Segment. Die Palette wuchs um Brett- und Kartenspiele, Puzzles, Bücher und Kindermöbel. Jedes Jahr entwerfen die Designer fast 500 neue Produkte. 1 900 Mitarbeiter sorgen für einen Umsatz von 364 Mio. Euro. So abwegig ist der Verdacht, Opfer von Spionage zu werden, also nicht.

Kompliziert und unübersichtlich

Um Klarheit zu bekommen, war Maik Hoffmann gefragt, der IT-Administrator von Habermaaß. Was den Verdacht damals nährte, will Hoffmann nicht sagen. Aber es lagen stressige Wochen vor ihm. Die Geschäftsführung wollte wissen, ob wirklich kritische Daten abgeflossen seien. Ob es Sicherheitslücken gebe. Und wer überhaupt Zugang zu internen Dokumenten habe. Die Untersuchung war aufwendig und zeitraubend, erinnert sich Hoffmann.

„Mit Bordmitteln“ hätten sämtliche Zugriffe und Benutzerkonten analysiert werden müssen. Jedes einzelne. Am Ende war Hoffmann um zwei Erkenntnisse reicher. Die beruhigende: Wahrscheinlich hat es keine illegalen Abflüsse von Know-how gegeben. Die alarmierende: Das Management der Zugriffsrechte war ein Desaster – kompliziert und unübersichtlich. Wer was wann machen durfte, war völlig unklar und folgte keinen klaren Regeln.

Zum Heulen

Ein Problem, das viele deutsche Unternehmen betrifft. Besonders den Mittelstand. Viel wird über IT-Sicherheit gesprochen, wenig getan. Sichtbar wurde das zuletzt am 12. Mai, als das Schadprogramm Wanna­cry 200 000 Systeme in 150 Ländern befiel und den Zugriff auf die Rechner blockierte. Nur gegen Zahlung wollten die noch unbekannten Cyberkriminellen ihn wieder freigeben. Betroffen waren unter anderem britische Krankenhäuser – und die Deutsche Bahn, deren Anzeigetafeln an den Bahnhöfen gekapert wurden.

Der Fall zeigt: Die IT-Sicherheit ist in vielen Unternehmen mangelhaft. Die Verwaltung der Programme auf den Rechnern, die nötigen Updates, all das ist ein Chaos. Das Problem beginnt oft jedoch schon mit der Frage, wer auf welche Daten zugreifen darf. Selbst das ist meist nur unzureichend geregelt. Schnell ist ein Account für den neuen Kollegen freigeschaltet, aber selten wird er wieder gelöscht. Weil keiner darum bittet.