Sicherheit in KMU

Die letzte UKUS-Veranstaltung zum Thema Sicherheit in KMU am 04. Juni 2020 fand erstmals erfolgreich in Form eines Online-Seminars statt. Aufgrund der aktuellen Corona-Krise konnte die UKUS-Veranstaltung nicht vor Ort in der IHK Siegen stattfinden. Stattdessen wurde sie als Zoom Meeting durchgeführt, was bei den Teilnehmern und Teilnehmerinnen große Zustimmung fand.

Wie gewohnt wurden die Teilnehmer/innen durch Marco Butz von der IHK Siegen und Laura Pütz vom Siegener Mittelstandsinstitut begrüßt und kurz in die Thematik und den Ablauf eingeführt. Anschließend präsentierten die drei Referenten Sascha Skudelny, Roland Schwalm und Dr. Jürgen Hartung ihre Vorträge.

Bereits 30% der deutschen Unternehmen wurden Opfer eines Hacker-Angriffs, davon waren 11% sogar ein zweites Mal betroffen. Diese aufrüttelnden Zahlen präsentierte Sascha Skudelny von der Forschungsgruppe KontiKat an der Universität Siegen den rund 40 Teilnehmern. ''Sicherheit in kleinen und mittleren Unternehmen ist ein bereits seit langer Zeit relevantes Thema, welches mit der Digitalisierung eine noch größere Bedeutung bekommen hat.'', erinnerte Skudelny. Und obwohl der Anteil der kleinen und mittleren Unternehmen (KMU) mit 99,3% an der Gesamtzahl der Unternehmen in Deutschland immens hoch sei, sei vielen Unternehmen nicht bewusst, wie hoch das Risiko ist, das hinter eingeschränkten Ressourcen für IT-Sicherheit steckt. "Besonders kleinere Unternehmen sind aufgrund ihrer eigenen Fehleinschätzung und daraus folgender mangelhafter Absicherung anfälliger.''

Die meisten erfolgreichen Angriffe erfolgen mithilfe von infizierten E-Mails. Selbst eine Firewall und ein Virenscanner reichen oftmals nicht aus, um Sicherheit für das eigene Unternehmen zu gewähren, resümierte der Diplom-Medienwirt. ''Die Erkenntnis über die eigene IT-Sicherheitslage ist demnach der erste und größte Schritt zur erfolgreichen Sicherheit.'' Auch müsse in Unternehmen das Bewusstsein dafür entwickelt werden, dass ordentliche Prävention unentbehrlich ist, um größere finanzielle und datentechnische Schäden zu vermeiden. Skudelny: ''Unternehmen müssen hier aktiv werden und Vorkehrungen treffen um sich zu schützen. Dazu gehören regelmäßige Netzwerk- und Softwareupdates, sowie die regelmäßige Absicherung der Daten.'' Grundsätzlich sollten sie mit hohen Sicherheitseinstellungen arbeiten und darauf achten, dass Virenscanner und Firewall auf dem neuesten Stand gehalten und die Mitarbeiter auf mögliche Angriff vorbereitet werden. Er empfahl, dennoch für den Wost-Case Pläne auszuarbeiten, auf die man jederzeit zurückgreifen könne.

Roland Schwalm von der Bits+Bytes IT-Solutions GmbH und Co. KG thematisierte in seinem Vortrag das Thema der Sensibilisierung der Mitarbeiter. ''Oftmals liegt die Gefahr des Datenmissbrauchs nicht nur im falschen Umgang mit vertraulichen Daten im Internet, sondern vor allem auch im fahrlässigen oder sogar arglistigen Umgang mit diesen Daten durch Mitarbeiter.'' Dies sei in 70% der IT-Sicherheitsvorfälle nachweisbar. Neben der Einführung in diese Thematik bot Herr Schwalm den Teilnehmer/innen auch Lösungsansätze für den wirksamen Umgang mit diesem Problem an. ''Zuerst muss man sich der Bedrohung klar werden.'' Die aktuellsten Bedrohungen im Gebiet der IT-Sicherheit sind Phishing, Identitätsdiebstahl und Social Engineering.'' erklärte er. Bei Phishing handele es sich um die Beschaffung persönlicher Daten mit gefälschten E-Mails oder Websites. Als Identitätsdiebstahl werde die zweckentfremdete Nutzung persönlicher Daten einer anderen Person bezeichnet. Und beim Social Engineering würden Mitarbeiter mit Tricks überredet, die Sicherheitsvorkehrungen zu umgehen und sensible Daten preiszugeben. ''All diese Bedrohungen kann man durch Aufklärung der Mitarbeiter vermeiden.'' schlussfolgerte Schwalm.

Dazu bieten sich themenspezifische Kampagnen an. Auch regelmäßige Präsenzschulungen und ein ausgearbeitetes E-Learning-Konzept sind wichtig um den Mitarbeitern ein besseres Bewusstsein für den Umgang mit solchen Bedrohungen zu geben. Genau auf diesen Gebieten sei Bits+Bytes unterwegs.

Der IT-Rechtler Dr. Jürgen Hartung von Oppenhof&Partner Rechtsanwälte mbB sprach in seiner Präsentation über die rechtliche Bewertung von Cyberrisiken. ''Bei Verletzung der Pflichten zur Vermeidung von Risiken liegt die rechtliche Verantwortung bei der Geschäftsführung.'', stellte er klar. ''Durch die Verletzung dieser Pflicht kann es auch zu einer persönlichen Haftung der Geschäftsführung kommen.''

Außer des IT-Sicherheitsgesetzes, das Teil des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik ist, gebe es kaum konkrete und bindende Vorgaben zur Gestaltung der IT. Gleichwohl gebe es jedoch verschiedene Rechtsvorschriften, die es zu beachten gelte. So seien Unternehmen nach der Datenschutzverordnung verpflichtet, ein Datenschutz Management einzuführen. ''Bestimme Unternehmen, welche sich im Bereich der kritischen Infrastruktur befinden, unterliegen nach §§ 76, 92 II AktG einer Sorgfalts- und Meldepflicht.'' erläuterte er. ''Verstöße müssen an das Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeldet werden.'' Zudem müssten Unternehmen darauch achten, dass die richtigen Lizenzen für die eingesetzten Softwares genutzt werden und es somit nicht zu einer Falsch- oder Unterlizenzierung kommen komme. Außerhalb dieser Pflichten fänden Unternehmen Schutz gegen unechtmäßige Angriffe, sowohl von innen als auch von außen, in den Cybercrime-Richtlinien 2013/40/EU im Rechtsrahmen der Europäischen Union. In Deutschland werden diese Richtlinien in §§202a - 202d, 303a - 303c StGB durgesetzt. Damit sind Datenhehlerei, Datenveränderung, Computersabotage, Ausspähung von Daten und Abfangen von Daten in Deutschland strafbar. ''Eine gründliche Überprüfung der Rechte und Pflichten ist somit unentbehrlich um Sicherheit für das Unternehmen zu schaffen.'', erklärte Dr. Hartung.

 

Sämtliche Präsentationen der UKUS-Veranstaltung können hier heruntergeladen werden.

Die nächste UKUS-Veranstaltung findet am 24.09.2020 statt.