Merken

Cyber-Angriffe nehmen zu

Wirtschaftskriminalität bedroht auch mittelständische Unternehmen im Landkreis. Das Risiko wird unterschätzt.

Teilen
Folgen
© dpa

Landkreis. Die Bedrohung, durch kriminelle Angreifer sensible Daten zu verlieren oder wirtschaftlich ausspioniert zu werden, sei massiv und nehme bisher nicht für möglich gehaltene Ausmaße an. Das sagt der Eschborner Experte für Unternehmenssicherheit Günter Holzhauser. Das treffe vor allem kleinere und mittelgroße Unternehmen, da hier oftmals Maßnahmen eines wirksamen Schutzes versäumt werden.

Günter Holzhauser (50), arbeitet seit 24 Jahren im Bereich Wirtschaftsschutz und IT-Sicherheit. Er berät auch mittelständische Unternehmen im Landkreis.
Günter Holzhauser (50), arbeitet seit 24 Jahren im Bereich Wirtschaftsschutz und IT-Sicherheit. Er berät auch mittelständische Unternehmen im Landkreis. © privat

Woran das liegt und wie die Firmen im Kreis Meißen das Risiko von Daten- oder Wissensabfluss verringern können, verrät Holzhauser in einem Vortrag beim 5. Wirtschaftstag im Landkreis Meißen am 10. März, 16.30 Uhr in der Riesaer Stadthalle. Vorher hat er mit der SZ über die Gefahren und Hintergründe der unterschätzten Gefährdung gesprochen.

Herr Holzhauser, Sie sprechen in Meißen über Cyber-Attacken. Ist das nicht nur ein Thema für Großkonzerne?

Auf gar keinen Fall! Auch Forschungsinstitute, Hochschulen oder Unternehmen aus den Bereichen Herstellung, Dienstleistung und Handel können schnell Opfer von Informationsdiebstahl werden. Betroffen sind nach meiner Erfahrung nahezu alle Branchen. Im Jahr 2014 wurden laut Studien in Deutschland 35 000 mittelständische Firmen erpresst. Sie haben oft nicht die Sicherheitsvorkehrungen getroffen, die bei größeren Unternehmen längst zum Standard gehören. Dabei muss für wirksamen Schutz nicht viel Geld ausgegeben werden.

Wie kann wirksamer Schutz vor dieser Kriminalität gelingen?

Zunächst müssen die Unternehmer erkennen, dass eine subjektive, firmeninterne Beurteilung der Gefährdungslage nicht ausreicht. Ratsam ist die Expertise eines Dritten. Die deutschen Sicherheitsbehörden stehen auch der Wirtschaft mit Expertise zur Verfügung. Wichtig ist außerdem absolute Transparenz. Die Betriebe müssen ihre Organisationslage komplett offenlegen. Nur so können Sicherheitsmaßnahmen etabliert werden. Ich gebe Ihnen ein Beispiel aus Ihrer Region: Ich habe vor Kurzem einen zweitägigen Basis-Check bei einem eher kleinen Unternehmen in Meißen durchgeführt. In dieser Zeit wurde die Firma zweimal durch Kriminelle angegriffen. Das Thema ist also brandaktuell.

Geht es dabei nur um das Internet? Genügt ein wirksames Virenschutzprogramm und die Windows Firewall?

Oh nein, das genügt nicht. Hundertprozentige IT-Sicherheit gibt es heute ohnehin nicht mehr. Was aber getan werden kann, ist die Internbehandlung von Informationen abzusichern. Das kann betriebsintern trainiert werden, genau wie das Bewusstsein für Sicherheit. Das Problem ist immer der Mensch und wie er sich bezüglich des Umgangs mit Daten – etwa mit denen Dritter – verhält. Die Angriffsmöglichkeiten sind dabei vielfältig. Ein Mitarbeiter eines Unternehmens kann während einer Geschäftsreise mit dem Laptop im Zug genauso ausspioniert werden als auch mit dem Mobiltelefon auf einer Messe. Gehackt werden kann von der betriebsinternen Kommunikation über Kundendaten alles Mögliche. Hier reicht eine IT-Beschränkung keinesfalls.

Was sind die Hauptdelikte und wer sind eigentlich die Angreifer? Welche Ziele stecken dahinter?

Hauptdelikte sind die Wirtschaftsspionage, meist durch fremde Geheimdienste, die Industrie- und Wettbewerbsspionage durch konkurrierende Unternehmen, organisierte Kriminalität aber auch Linksextremismus und militanter Islamismus. Deren Ziele sind Informationen vielfältigster Art. Insgesamt geht es häufiger um die Möglichkeiten, Institutionen oder Unternehmer zu erpressen, weniger darum, ihnen im Sinne der Konkurrenz den Rang abzulaufen.

Sind denn mittelständische Unternehmen zum Datenschutz verpflichtet?

Da das Problem massiv unterschätzt wird, machen die Bundesbehörden dahingehend zunehmend Druck. Die Sicherheit muss erhöht werden. Chefs, die hier nicht reagieren, können dafür haftbar gemacht werden. Die Unterlassung der Sicherheitsfürsorge ist ein Strafbestand. Das muss auch den mittelständischen Unternehmen klar sein. Und die Sicherheitsfrage sollte nicht – wie häufig in kleineren Betrieben üblich – nur einer Person, sondern einem Team unterliegen. Entscheidend ist, dass die Unternehmen die gesamtheitliche Sicherheit des Unternehmens betrachten. Viele richten den Fokus auf die IT, ich möchte ausdrücklich betonen, dass die Reduzierung der Sicherheit auf die IT nur in Teilen Schutz bietet.

Im Landkreis Meißen gibt es einen bunten Branchenmix. Wer muss besonders auf der Hut sein? Betrifft das nicht vor allem exportierende Firmen?

Alle Branchen sind potentiell gefährdet. Entscheidend ist die Kernleistung und die Wirtschaftskraft eines Unternehmens. Gibt es da was zu holen? Ob national oder international tätig. Aber es gibt – je nach Land – unterschiedliche Interessen im Kontext der Delikte. Die Methoden, mit denen fremde Nachrichtendienste angreifen, sind vielfältig. Den Betroffenen fällt die kriminelle Ausspähung häufig gar nicht auf.

Das Gespräch führte Marcus Herrmann