Fachkräfte und innovative Geschäftsmodelle, das sind die bekannten und wichtigen Thementreiber der deutschen Wirtschaft. Die schlechte Nachricht: Deren erfolgreiche Umsetzung ist gefährdet, denn immer mehr Unternehmen speichern die dazugehörigen, sensiblen Informationen in der Cloud - wo sie für externe Dritte jederzeit einsehbar sind, falls nicht ausreichende Schutzmaßnahmen zur IT-Sicherheit getroffen wurden.
Foto: maxkabakov, Fotolia.com
Fremdgesteuert dank ausländischer Regierungen und unklarer Rechtslage
Bei einem illegalen Zugriff lässt sich die Schuld allerdings nicht alleine auf die Unternehmen abwälzen: Denn mitverantwortlich für den leichteren Zugang zu diesen Daten sind auch Regierungen und Geheimdienste, die IT-Sicherheitslücken bekanntermaßen zum reinen Selbstzweck entweder spät oder unter Umständen auch gar nicht bekanntgeben. So sind gefährliche "Einfallstore" entstanden, die sensible Unternehmensdaten in der Cloud leichter an- und abgreifbar machen. Und damit stehen unter dem Strich Gehalts- und Prämienabrechnungen wechselwilliger High Performer in der extern gehosteten Personalverwaltungssoftware genauso in der Schusslinie wie Dokumente zu innovativen, digitalen Geschäftsmodellen, die im schlimmsten Fall via copy&paste auf dem Firmenrechner der Konkurrenz landen.
Worst Case: Fehlendes Vertrauen schwächt den Wirtschaftsstandort Deutschland
Politik, Hersteller und Anwender sind jetzt allesamt gefordert, verlässliche Grundlagen zu schaffen: für einheitliche und verbindliche Gesetze, eine transparente Kommunikationspolitik und das rasche Etablieren eines digitalen Binnenmarktes. Andernfalls werden die Public Cloud und zugehörige Dienste an Bedeutung verlieren, bevor sie die kritische Masse überhaupt überzeugen konnten - und folglich nicht so an Bedeutung gewinnen und eingesetzt werden, wie es für eine digital und innovativ ausgerichtete Wirtschaft eigentlich notwendig wäre. Fakt ist: Für diese Situation sind ein paar Staaten verantwortlich, die ganz bewusst verhindern, dass Hersteller ihre Lücken fixen. Und wenn es seitens der Politik weiterhin keine klare Regelungen dazu gibt, wird das Vertrauen in digitale Prozesse in deutschen Firmen so weit sinken, dass der deutsche Wirtschaftsstandort über kurz oder lang geschwächt wird.
Geheimdiensten und sonstigen Angreifern das Ruder wieder entreißen
Die Tatsache, dass Geheimdienste heute auch ohne diese so genannten Backdoors an ihr Ziel kommen - vorausgesetzt, sie haben ein legitimes Interesse an den gewünschten Informationen und üben damit keine Wirtschaftsspionage aus - stärkt das Vertrauen der Anwender in Cloud-Lösungen ebenfalls nicht sonderlich. Einzig und allein nachvollziehbar ist in diesem Umfeld die Herausgabe von Personaldaten zum Abgleich mit der internationalen Terrorliste. Aber: Dieser Prozess ist definitiv nicht das Problem, mit welchem wir im Moment kämpfen. Werden Personaldaten einzig und allein für einen notwendigen Abgleich bezüglich potenzieller Terror- oder sonstiger illegaler Aktivitäten genutzt, das ist in Ordnung.
Aber danach ist dann Schluss. Denn aus diesen Daten lassen sich schließlich auch andere, interessante Informationen heraus lesen, etwa aus der Personalsoftware, die Unternehmen in der Cloud betreiben: Welcher Mitarbeiter ist auf was spezialisiert, hat inwiefern zum Unternehmenserfolg beigetragen, wird wie vergütet - Informationen, die Gold wert sind für Mitstreiter. Denn so ist ein konkurrenzlos gezieltes Personal-Recruiting - der so genannte "War of Talents" - und illegales Blockieren der Konkurrenz möglich, welches das Verhältnis zwischen Unternehmen einer freien Marktwirtschaft aus dem Gleichgewicht bringt.
Angesichts der aktuellen Situation, sprich meist freier Zugang für NSA & Co. sowie Nichtinformation der Öffentlichkeit und über existierende Sicherheitslücken - sind sensible Daten in der Cloud zu Wissen, Leistung, Gehältern und Kontaktdaten nicht unbedenklich. Wer seine Mitarbeiter als unverzichtbar für seinen Geschäftserfolg definiert, sollte spätestens jetzt noch mal seine IT-Security auf Herz und Nieren prüfen.
Engel links, Teufel rechts: Unternehmen müssen abwägen
Die Probleme konzentrieren sich aber nicht nur auf das Thema HR allgemein, sondern auch auf bestimmte Branchen bzw. Arbeitsformen, wie etwa dezentrale Entwicklungsprojekte, die in der globalisierten und vernetzten Arbeitswelt heute Standard sind - und für welche Cloud-Lösungen mit ihren extrem flexiblen Kollaborationsplattformen eigentlich die erste Wahl wären.
Nehmen wir die Automobilindustrie, deren Wertschöpfung derzeit zu 80 Prozent bei den Zulieferern liegt. So lange aktuelle Cloud-Angebote mit Sicherheits- und Wettbewerbsproblem behaftet sind, werden Unternehmen beim Einsatz zögern und andere Lösungen bevorzugen. Das können zum Beispiel selbst aufgebaute Plattformen sein, also private Clouds, bei welchen die Security-Standards für Kundendaten und eigene Daten nach bestem Gewissen und nach unternehmensinternen Standards umgesetzt und garantiert werden.
Eine Vorgehensweise, die vor allem bei hochsensiblen Projekten der Abteilung Forschung & Entwicklung das Zünglein an der Waage sein kann: Denn selbst wenn ein Provider heute intelligente und dringend benötigte Entwicklungslösungen in der Cloud anbietet, derzeit ist vielen Unternehmen das Risiko noch zu hoch, genau diese Daten dem Wettbewerb quasi frei Haus zu liefern.
Do-it-yourself muss man sich leisten können
Die "Do-it-yourself"-Variante mag vielen Unternehmen zwar als der bessere Weg, weil sicherer, erscheinen. Allerdings bringt diese Entscheidung eine nicht unwesentliche Investition bezüglich Infrastruktur und Kosten mit sich, die heute nicht jedes Unternehmen stemmen kann und will. Und genau ist das Dilemma im Moment, wobei interessant ist: Kosten sind das eine, Geschwindigkeit ist aber noch viel entscheidender.
Denn diese ist schließlich wegweisend für die digitale Transformation: Wer immer erst anfangen muss, Infrastruktur aufzubauen, um darauf die neue, dringend benötigte Lösung aufzusetzen, die dann auch noch erst ausgerollt und angepasst werden muss, der verliert an Tempo, an Zeit, die er nicht hat für die dringend benötigten, neuen Geschäftsmodelle. Wer aber in den digitalen Fortschritt seines Unternehmens investiert und auf Cloud-Lösungen setzt, der riskiert angesichts der aktuellen Rechtslage, dass seine Geheimnisse unter Umständen beim Wettbewerber landen. Egal, wie sich Unternehmen im Moment entscheiden: Es gilt, die Risiken sorgfältig und fallspezifisch abzuwägen.
Wettbewerbsnachteile oder Selbstgefährdung: Was ist die richtige Antwort?
Als Folge gibt es derzeit drei Unternehmens-Typen am Markt. Nummer Eins sagt: "We take the risk - für uns ist die Digitalisierung so wichtig, dass wir trotz aller Sicherheitsbedenken den Weg weitergehen". Nummer Zwei ist überzeugt: "Ich gehe das Thema in Eigenregie an und verzichte auf die Cloud und deren Möglichkeiten". Und Nummer Drei beschäftigt sich noch gar nicht damit, weil das Thema für dieses Unternehmen einfach noch nicht greifbar ist. Aber sobald die dritte Gruppe den Schritt wagt, befindet sie sich in genau demselben Dilemma - unabhängig davon, ob es nun um die Digitalisierung im großen Ganzen oder lediglich um Effizienzsteigerungen bestehender Geschäftsprozesse geht.
- Industriespionage in Deutschland
Die Security-Firma Corporate Trust hat zusammen mit Brainloop und dem TÜV Süd knapp 600 Unternehmen zu ihren Erfahrungen mit Industriespionen befragt. Zumeist antwortete der Geschäftsführer oder ein Vorstandsmitglied. Die Autoren der Studie "Industriespionage 2012 Aktuelle Risiken für die deutsche Wirtschaft durch Cyberwar" werten das als Indiz dafür, dass Security heutzutage Chefsache ist. - Jedes fünfte Unternehmen war bereits Spionageziel
Gut jedes fünfte Unternehmen wurde in den vergangenen drei Jahren zumindest einmal Opfer von Industriespionage. Gegenüber der vergangenen Erhebung aus dem Jahr 2007 hat sich der Wert leicht erhöht. Damals gaben 18,9 Prozent der Befragten mindestens einen Vorfall zu Protokoll. - Viele Verdachtsfälle
Ein erklecklicher Teil der Firmen hat die Vermutung, dass es bereits einen Fall von Industriespionage gab. Unterm Strich hat sich demnach mehr als jedes zweites Unternehmen in den vergangenen drei Jahren mit Industriespionage auseinandersetzen müssen. - Mittelstand ist besonders betroffen
Wird die Zahl der Spionagefälle mit der Zahl der Befragten aus kleinen, mittelständischen und großen Unternehmen korreliert, dann zeigt sich, dass verhältnismäßig oft werden mittelständische Firmen angegriffen werden. - Spionageziel Fertigung
Gefährdet sind insbesondere Unternehmen aus den Fertigungsbranchen und Finanzdienstleister. - Angriffe lassen sich orten
Die meisten Unternehmen können die Vorfälle lokalisieren, nur weniger blieben diesbezüglich ratlos zurück. Bei der Auswertung zeigt sich, dass große Gefahr vor allem in Europa und Nordamerika besteht. - Zumeist Schäden bis zu 100.000 Euro
Das Groß der Schäden beläuft sich auf Beträge zwischen 10.000 und 100.000 Euro. Sehr große finanzielle Verlust gibt es insbesondere in Konzernen zu beklagen. - Immenser Gesamtschaden
Wenngleich die einzelnen Vorfälle selten Riesensummen verschlingen, summiert sich der Gesamtschaden zu der imposanten Zahl von jährlich rund 4,2 Milliarden Euro. Im Vergleich zur Studie 2007 (2,8 Milliarden Euro) entspricht dies einem Anstieg um 50 Prozent. - Die Gefahr lauert im eigenen Haus
Oft sind die eigenen Mitarbeiter die Industriespione, wenngleich sie oft unbewusst Informationen weitergeben. Doch insgesamt zeigt sich, dass überall Gefahrenquellen lauern. - Die Einfallstore
Ein beliebtes Mittel der Spione sind Hackerangriffe. Während 2007 nur bei 14,9 Prozent aller Fälle ein Hackerangriff als konkrete Spionagehandlung zugrunde lag, waren es 2012 bereits 42,4 Prozent. - Die Folgekosten
Die finanziellen Schäden entstehen in der Regel durch Rechtstreitigkeiten und Imageschäden. Mehr als ein Drittel der Befragten berichtet von konkreten Umsatzeinbußen. - Mitarbeiter werden ausgespäht
Meistens sitzt der Täter im eigenen Haus. Externe Hacker arbeiten zudem häufig mit internen Mitarbeitern zusammen oder spähen Angestellte im Internet aus (Social Engineering) aus. - Sicherheit ist Chefsache
In vielen Firmen werfen die Geschäftsführer einen kritischen auf die Prozesse und Einrichtungen. Erwartbar war, dass auch die IT-Abteilungen eine bedeutende Rolle spielen, verfügen sie doch über das erforderliche technische Know-how. - Passwortschutz ist Standard
Passwort-geschützten IT-Systeme sind heute Standard in vielen Unternehmen, anders sieht es bei der Verschlüsselung aus. - Defizite werden nicht behoben
Obwohl den meisten Unternehmen bekannt ist, dass mobile Datenträger und Geräte besonders gefährdet sind, treffen wenige Firmen entsprechende Vorkehrungen. - Attacken Steueranlagen
Angriffe auf Steuerungsanlagen gefährden die Produktion. Der bekannteste Fall ist der Wurm Stuxnet, doch auch abseits der öffentlichkeitswirksamen Angriffe gibt es offenbar viele vergleichbare Vorfälle. - Umweltschäden drohen
Attacken auf die Steueranlagen können enorme Folgen zeigen. Fast immer ziehen sie finanzielle Verluste nach sich, häufig drohen bei entsprechenden Angriffen aber auch Umweltschäden. - Die gefährliche Seite der Mobility
Der Job der Security-Verantwortlichen wird nicht einfacher. Der Trend zum mobilen Endgerät erschwert die Absicherung der Installationen, und mit der Verbreitung leistungsstarker Smartphones sinkt zudem das Bewusstsein der Mitarbeiter für die IT-Sicherheit. - Was tun gegen Social Engineering?
Nacharbeiten sind in allen Segmenten erforderlich. Auf die relativ neue Bedrohung durch geschicktes Ausspähen von Mitarbeiter in sozialen Netzen habe viele Unternehmen noch keine Antwort gefunden.
Kleinere Unternehmen ohne leistungsstarke, eigene IT-Abteilung entscheiden sich aus wirtschaftlichen Gründen häufiger dafür, Software zur Prozessoptimierung aus der Cloud zu beziehen. Denn zum einen erhöht sich dank Pay-per-Use-Modellen die Liquidität, aber auch personelle Ressourcen steigen, weil sie dann nicht mehr für Wartung, Updates und User-Support benötigt werden. Große Firmen nehmen darüber hinaus oft innovative Zusatzdienste in Anspruch, die allerdings nur noch selten On-Premise verfügbar sind. Grundsätzlich gilt, dass sich Unternehmen immer folgende Fragen stellen und auch ehrlich beantworten sollten: Sind die Daten, die ich in die Cloud auslagere, so unbedeutend, dass sie im Zweifelsfall auch unbekannte Dritte kennen dürfen? Dann habe ich kein Problem. Aber wenn sie keinesfalls für externe Augen gedacht sind, dann habe ich definitiv ein latentes Problem.