Wie stellt man sich als mittelständisches Unternehmen den Herausforderungen zunehmender Wirtschaftsspionage? Welches sind Schutzmaßnahmen, die einen Grundschutz herstellen ohne dabei gleich das Kerngeschäft lahmzulegen? Diesen und weiteren Fragen gingen am 23. September in der IHK Darmstadt Experten aus dem IT-Sicherheitsumfeld und knapp 100 Unternehmensvertreterinnen und Vertreter gemischter Branchen aus ganz Südhessen nach.
Die Veranstaltung, organisiert von den drei Industrie- und Handelskammern Darmstadt, Offenbach und Hanau und unterstützt von IT FOR WORK und BIEG Hessen, zielte mit seinen Fragestellungen auf die Herausforderung und Bedrohung für kleine und mittelständische Unternehmen. Eingeladen waren dafür fachkundige Sicherheitsberater, die in den nachmittäglichen Vorträgen Einblicke in die so komplexe Welt der IT-Sicherheit gaben. Fachlich standen auch der VSW (Vereinigung für die Sicherheit der Wirtschaft) sowie die NIFIS (Nationale Initiative für Internetsicherheit) als kompetente Ansprechpartner vor Ort bereit.
Nach einem anregenden Grußwort der IHK-Vizepräsidentin Frau Dr. Wolff-Hertwig, leitete Herr Roland Desch in die Thematik ein, der als Präsident des Landesamtes für Verfassungsschutz in Wiesbaden Wirtschaftsspionagefälle für ganz Hessen analysiert. Wirtschaftsspionage wird üblicherweise von ausländischen Geheimdiensten begangen, wobei Auftragsarbeiten keine Seltenheit sind. Die Spionage bewirkt für die kriminellen Verursacher damit Kosteneinsparungen bei der Entwicklung neuer Technologien. Die risikoarmen Cyberangriffe zielen dabei nicht nur auf große Konzerne, sondern visieren jedes KMU, das mit gewisser Innovationskraft ausgestattet ist, so Roland Desch in seiner Keynote.
Als zweiter Impulsredner war Herr Prof. Dr. Michael Waidner gekommen, um vom gerade frisch eröffneten Fraunhofer SIT (Institut für Sichere Informationstechnologie), seine auch wissenschaftliche Perspektive auf die Bedrohung von KMU zu illustrieren. Prof. Waidner erläuterte in seiner Rede auch die historische Entwicklung der heute unsicheren Cyber-welt: Zu schnell und komplex seien in den letzten 10 Jahren die Entwicklungen neuer Software vorangeschritten, als dass die Sicherung und Schutzmaßnahmen in den Produkten genügend Beachtung gefunden hätte. Eine verzögerte Wahrnehmung von Schwachstellen käme erschwerend hinzu. So überraschen die Zahlen kaum, nach denen 74% aller Unternehmen IT-Angriffe als reale Gefahr betrachten und jedes dritte Unternehmen bereits Schäden durch Cybercrime hinnehmen musste (Quelle: Bitkom3/5 2014).
Im zweiten Teil der Veranstaltung sprachen mit Herrn Christian Schülke (schuelke.net) und Herrn Dr. Thomas Lapp (dr-lapp.de) zwei Unternehmensexperten im Bereich technischer und organisatorischer IT-Sicherheit. Der erste Beitrag lieferte Einblicke in das konkrete Vorgehen für KMU, was zumeist mit einer grundlegenden Frage beginnt: Welches sind die schützenswerten Daten in dem speziellen Unternehmen? Die Bedrohungsanalyse im individuellen Unternehmen ist laut Christian Schülke ein wichtiger Grundpfeiler jedes soliden Sicherungsprozesses. Neben der Anführung international anerkannter Schutzprinzipien (SANS) erläuterte er insbesondere sichtbare Indikatoren, anhand derer ein Kompromittieren zu erkennen sei. Dr. Lapp beleuchtete anschließend den juristischen Aspekt von IT-Sicherheit: Wie steht es um persönliche Haftung des Geschäftsführers auch im Falle von Unwissenheit? Welches sind die Pflichten eines Vorstands im Kontext von Sicherheitsmaßnahmen? Mit viel Expertise brachte Dr. Lapp, Vorsitzender der Nationalen Initiative für Internetsicherheit e.V., Licht in das juristische Dunkel der Compliance Fragestellungen.
Im letzten Teil der Veranstaltung demonstrierte mit Herrn Josef Fecher (UBL Informationssysteme) ein Kundenunternehmen seine eigenen Erfahrungen im Umgang mit Sicherungssystemen. Für die vielen geladenen Unternehmer aller Couleur war es spannend, die Sichtweise eines Unternehmens einzunehmen, das seinerseits in der Rolle eines potenziellen „Opfers“ steckt. Wie beginnt man den Sicherungsprozess für das eigene Unternehmen, wo hört er auf? Das Vorgehen ist für viele Unternehmer trotz vorhandenem Bewusstsein für die Gefahr doch undurchsichtig, liegt doch das Hauptgeschäft meist außerhalb der IT. Umso spannender war der Einblick in einen echten Praxisfall, der von Josef Fecher nachvollziehbar und informativ dargestellt wurde.
Den Abschluss des Tages machte eine Live-Hacking-Show, deren Akteur Herr Jens Liebau (Antago) die Zuschauer in so manch abenteuerliche Manipulation mitnahm: so demonstrierte Jens Liebau zum Beispiel, wie mit wenigen (Programmier-)Handgriffen der Preis einer Waschmaschine mal eben um 300 Euro gesenkt werden kann – ganz einfach und sekundenschnell. Die Sicherheitslücken, die einem auf vermeintlich professionellen Websiten begegnen, wären oft durch wenige Handgriffe zu schließen, so Jens Liebau.
Trotz der „erschreckenden“ Hackingdemonstration zum Ende des Tages, blieb den Zuschauern nach diesem vielfältigen Nachmittag kein flaues Unsicherheitsgefühl vorherrschend. In einer abschließenden Diskussionsrunde konnte noch so manche entstandene Frage beantwortet werden. Viele konkrete Empfehlungen und hilfreiche Adressen wurden von den Fachrednern im Verlauf der Veranstaltung genannt; die ersten Schritte in Richtung „IT-sicherem Unternehmen“ können also ab sofort von jedem Unternehmer gegangen werden.
Link zur Pressemeldung ‚Rückblick: IT-Sicherheitstag 2014‘ von IT for Work
