Die Studie wurde im Auftrag der RSA - The Security Division of EMC zusammen mit Corporate Trust, der Rechtsanwaltskanzlei Taylor Wessing sowie dem Wirtschaftsprüfungs- und Beratungsunternehmen MAZARS Hemmelrath durchgeführt. Ziel war es, Sicherheitsrisiken für den deutschen Mittelstand ans Licht zu bringen. An der Untersuchung nahmen insgesamt 5154 mittelständische Unternehmen in Deutschland teil.
Risiko des Datenverlusts wird unterschätzt
Wegen der großen Anzahl mittelständischer Unternehmen in Deutschland kommen viele Innovationen aus diesem Wirtschaftssegment. Mittelständische Betriebe sind deshalb ein begehrtes und häufiges Ziel von Wirtschafts- und Industriespionage. Die Gefahr, dass geschäftskritische Daten und geistiges Eigentum ausgespäht werden, ist wesentlich größer als viele Mittelständler denken. Das belegt auch die Studie: Sie zeigt, dass über die Hälfte der Befragten ihren Mitarbeitern und Geschäftspartnern keine klaren Vorgaben zum Umgang mit vertraulichen Informationen macht. Lediglich 39,8 Prozent der Betriebe verfügt über eine Klassifizierung von Geheimhaltungsstufen. Wegen dieser fahrlässigen Haltung rät der Report dringen dazu, keine Kompromisse zu machen, wenn es um die Sicherheit des Informationskapitals geht. Oft bedenken die Unternehmen auch nicht, dass Sicherheitslücken und Datenverluste nicht nur das Geschäft bedrohen, sondern in der Öffentlichkeit auch zu einem erheblichen Imageverlust bewirken können.
Tipps gegen Industriespionage
Werthaltiges Wissen sichern
Im Schnitt sind fünf Prozent des Know-hows für künftige Projekte werthaltig. Diese Informationen sollten deshalb besonders geschützt werden, um nicht in den Besitz der Konkurrenz zu gelangen.
Sicherheitskonzept erstellen
Jede Firme sollte ein Sicherheitskonzept haben und die Problemfelder Wirtschafts- und Industriespionage von Beginn an in die Policy mit aufnehmen.
Berater konsultieren
Planen Sie Ihr Sicherheitskonzept inklusive Spionageschutz gegebenfalls mit Hilfe eines Beraters.
Datentypen klassifizieren
Alle Typen von Unternehmensdaten sollten in Sicherheitsklassen eingeteilt werden, zum Beispiel die drei Kategorien öffentlich, intern und vertraulich. An dieser Klassifizierung muss sich dann die Sicherheitsstrategie organisatorisch und technisch ausrichten.
Informationen verschlüsseln
Geschäftskritische Informationen sollten immer verschlüsselt werden. Dies muss abhängig von der Struktur des Unternehmens und seiner Datenhaltung auf verschiedenen Ebenen geschehen: E-Mail, https, VPN, SSL-VPN sowie File- und Disk-Encryption sind mögliche Verschlüsselungsfelder.
Datenlecks abdichten
Data Leakage Protection ist ein neuer Sicherheitstrend. Mit solchen Systemen lassen sich Informationen jeglicher Art analysieren und schützen, was sich indes auch auf personenbezogene Daten erstreckt. <br/><br/> Damit kann das Interesse der Unternehmen an einer umfassenden Kontrolle mit dem Anspruch der betroffenen Personen auf informationelle Selbstbestimmung kollidieren.
IT-Profi beschäftigen
Der Verzicht auf einen IT- bzw. Sicherheitsexperten im Betrieb kann unter dem Strich teuer kommen.
Datenträger schützen
Das Wegsperren von Datenträgern kann zwar Schutz bieten, reicht allein aber nicht aus. Die Verschlüsselung geschäftskritischer Informationen ist unverzichtbar.
Personal sensibilisieren
Mitarbeiter sollten in Sicherheitsschulungen auch auf die Gefahren durch Wirtschafts- und Industriespionage aufmerksam gemacht werden.
Internes Risiko beachten
Leider ist nicht auszuschließen, dass eigene Mitarbeiter aus unterschiedlichen Motiven wichtige Daten für Dritte ausspähen.
Dienstleister überprüfen
Dienstleister, die täglich Zutritt zum Unternehmen haben, sind potentielle Schlupflöcher für Spione. Zum Beispiel IT-Experten getarnt als Reinigungskräfte.
Spione antizipieren
Es ist natürlich nahezu unmöglich, aber machen Sie sich Gedanken darüber, wer besonderes Interesse am geistigen Eigentum Ihres Unternehmens haben könnte.
"Unternehmenskritische Informationen dürfen das Unternehmen nicht ungeschützt verlassen. Eine wirksame Maßnahme gegen Wirtschaftskriminalität ist es daher, eine ganzheitliche Sicherheitsstrategie zu implementieren, in deren Zentrum Technologien zur Verhinderung von Datenabflüssen (Data Loss Prevention) stehen. Risk Management und Sicherheitslösungen sind für jedes Unternehmen von strategischer Bedeutung", sagt Michael Frauen, Regional Director von RSA.
Mitarbeiter ins Sicherheitskonzept integrieren
Neben technologischen Lösungen ist vor allem der Mensch ein entscheidender Faktor für eine erfolgreiche Sicherheitsstrategie. Die beste technologische Lösung nützt den Unternehmen nichts, wenn Mitarbeiter vertrauliche Informationen bewusst oder unbewusst weitergeben. Deshalb, so die Studie, muss die Schulung und Sensibilisierung der Mitarbeiter für den richtigen Umgang mit vertraulichen Informationen an erster Stelle beim Aufbau einer unternehmensweiten Sicherheitslösung stehen. Immerhin wollen 53,1 Prozent der befragten Unternehmen laut Erhebung ihr Personal zukünftig besser sensibilisieren.
Das Bedrohungspotenzial nimmt zu
Die Umfrage brachte auch zutage, dass die Häufigkeit der Angriffe mit der Unternehmensgröße wächst. Größere mittelständische Firmen werden häufiger geschädigt als kleinere Betriebe. Das größte Schadensrisiko haben Mittelständler im Segment 50 bis 250 Millionen Euro Jahresumsatz beziehungsweise 250 bis 1000 Mitarbeiter. Diebstahl, Einbruch und Überfall sind mit 20,1 Prozent die häufigsten Schadensursachen. An zweiter Stelle rangieren Korruption, Betrug und Untreue mit 15,1 Prozent, dicht gefolgt von Hackerangriffen mit 14,1 Prozent. Obwohl die Sicherheitsrisiken permanent ansteigen, basiert das eigentliche Gefahrenpotenzial vor allem auf der unzureichenden Vorbereitung auf mögliche Konflikte und deren Lösung.
Sicherheitstrends 2009
Verlust von Kundendaten
Gehen sensible Kundendaten verloren, gerät die Kundenloyalität in Gefahr. Sie ist stark abhängig von der Fähigkeit der Unternehmen, Kundeninformationen wirksam zu schützen. Firmen müssen noch mehr als bislang investieren, um die Risiken aus Datenverlusten zu minimieren.
Risiko durch neue IT-Trends
Neue Technologien und Services wie Cloud Computing, Virtualisierung und Software-as-a-Service (SaaS) erfordern erhöhte Sicherheit. Wollen Unternehmen die Vorteile dieser Verfahren nutzen, bedarf es adäquater Sicherheits- und Verschlüsselungs-Policies, um sensible Daten - wo auch immer sie sich befinden - optimal abzusichern.
Verschärftes Datenschutzgesetz
Das verschärfte Datenschutzgesetz erfordert von den Unternehmen eine noch bessere Verschlüsselung. Dieser müssen sie in ihrem Sicherheitskonzept auch unter dem Aspekt der Compliance Rechnung tragen.
Bessere Sicherheitspakete
Es kommen zunehmend Produkt-Bundles speziell für den Mittelstand auf den Markt, die eine kombinierte Lösung für Information Protection und Verschlüsselung sowie die Umsetzung einheitlicher Sicherheitsrichtlinien im Unternehmen bieten. Damit sind auch mittlere Unternehmen in der Lage, ihre sensiblen Firmendaten umfassend zu schützen.