Mit immer mehr IT im Unternehmen steigt auch das Risiko. Viren, Würmer und Hacker, die über das Internet ins Firmennetz eindringen, sind bekannte Gefahrenquellen. Die Abwehrmechanismen sind mittlerweile ausgereift. Neue Anforderungen an die Sicherheitssysteme entstehen hingegen durch bislang kaum bekannte Angriffsmuster.
Persönliche Ansprache als Lockmittel
Mit der fortschreitenden Digitalisierung der Abläufe in mittelständischen Unternehmen verändern sich auch die Risiken. Dies wird am Beispiel der zunehmenden Kommerzialisierung der Hacker-Szene deutlich. Waren früher meistens Zufall und Spieltrieb die Auslöser für entsprechende Sicherheitsvorfälle, stehen heute Betrugsinteressen im Vordergrund. Diese Entwicklung spiegelt sich beispielsweise in gezielten Angriffen wie dem "Spear Phishing" wider. Bei dieser Variante des bekannten Phishing-Angriffs werden einzelne Personen im Unternehmen mit maßgeschneiderten E-Mails attackiert. Ziel des Angriffs ist, den PC des Opfers mit einem Trojaner zu infizieren, um einen Zugang ins Netz zu erlangen. Indem die Mails den Anwender mit persönlichen Informationen ansprechen, sollen sie ihn bewegen, den Dateianhang zu öffnen oder einen manipulierten Link anzuklicken. Als Quelle dafür dienen unter anderem Social Networks und Beiträge in Internet-Foren.
- Werthaltiges Wissen sichern
Im Schnitt sind fünf Prozent des Know-hows für künftige Projekte werthaltig. Diese Informationen sollten deshalb besonders geschützt werden, um nicht in den Besitz der Konkurrenz zu gelangen. - Sicherheitskonzept erstellen
Jede Firme sollte ein Sicherheitskonzept haben und die Problemfelder Wirtschafts- und Industriespionage von Beginn an in die Policy mit aufnehmen. - Berater konsultieren
Planen Sie Ihr Sicherheitskonzept inklusive Spionageschutz gegebenfalls mit Hilfe eines Beraters. - Datentypen klassifizieren
Alle Typen von Unternehmensdaten sollten in Sicherheitsklassen eingeteilt werden, zum Beispiel die drei Kategorien öffentlich, intern und vertraulich. An dieser Klassifizierung muss sich dann die Sicherheitsstrategie organisatorisch und technisch ausrichten. - Informationen verschlüsseln
Geschäftskritische Informationen sollten immer verschlüsselt werden. Dies muss abhängig von der Struktur des Unternehmens und seiner Datenhaltung auf verschiedenen Ebenen geschehen: E-Mail, https, VPN, SSL-VPN sowie File- und Disk-Encryption sind mögliche Verschlüsselungsfelder. - Datenlecks abdichten
Data Leakage Protection ist ein neuer Sicherheitstrend. Mit solchen Systemen lassen sich Informationen jeglicher Art analysieren und schützen, was sich indes auch auf personenbezogene Daten erstreckt. <br/><br/> Damit kann das Interesse der Unternehmen an einer umfassenden Kontrolle mit dem Anspruch der betroffenen Personen auf informationelle Selbstbestimmung kollidieren. - IT-Profi beschäftigen
Der Verzicht auf einen IT- bzw. Sicherheitsexperten im Betrieb kann unter dem Strich teuer kommen. - Datenträger schützen
Das Wegsperren von Datenträgern kann zwar Schutz bieten, reicht allein aber nicht aus. Die Verschlüsselung geschäftskritischer Informationen ist unverzichtbar. - Personal sensibilisieren
Mitarbeiter sollten in Sicherheitsschulungen auch auf die Gefahren durch Wirtschafts- und Industriespionage aufmerksam gemacht werden. - Internes Risiko beachten
Leider ist nicht auszuschließen, dass eigene Mitarbeiter aus unterschiedlichen Motiven wichtige Daten für Dritte ausspähen. - Dienstleister überprüfen
Dienstleister, die täglich Zutritt zum Unternehmen haben, sind potentielle Schlupflöcher für Spione. Zum Beispiel IT-Experten getarnt als Reinigungskräfte. - Spione antizipieren
Es ist natürlich nahezu unmöglich, aber machen Sie sich Gedanken darüber, wer besonderes Interesse am geistigen Eigentum Ihres Unternehmens haben könnte.
Ein erfolgreicher Angriff führt häufig zum Datenklau, der in Versuche, das betroffene Unternehmen zu erpressen, oder Spionage münden kann. Solche Vorfälle sind auch im deutschen Mittelstand belegbar. Deutlich wird an diesem Beispiel auch, wie gut getarnt Angriffe sein können. Ausgangspunkt ist die Veröffentlichung scheinbar harmloser Informationen in öffentlichen sozialen Netzen und an anderen Stellen im Internet durch einen Mitarbeiter.