X

Wollen Sie auf dem laufenden bleiben? Hier zum Newsletter anmelden!

 
 
 
 
 
 
Ich stimme den Bestimmungen des Datenschutz zu.
03.02.2014

Interview mit Markus Geier, Sicherheitsexperte und Geschäftsführer der ComCode GmbH.

Nachdem derzeit viel um IT-Sicherheit diskutiert wird, hat die BayBG sich mit Markus Geier, IT-Sicherheitsexperte und Geschäftsführer der ComCode GmbH zusammengesetzt. Die ComCode GmbH ist ein neu gewonnener Partner der BayBG.

Kaum schaut man in einer Zeitung, liest man von den Gefahren, die im Cyberspace allerorten drohen: Amerikanische Agenten, chinesische Hacker und gewöhnliche Kriminelle scheinen überall auf die Daten der Nutzer aus zu sein.  Medienhype, Hysterie oder Realität? Zur IT-Sicherheit des Mittelstands und was dieser gegen IT-Angriffe tun kann, befragten wir den Cyber-Sicherheitsexperten Markus Geier. Als Geschäftsführer der auf IT-Sicherheitslösungen spezialisierten ComCode GmbH arbeitet er unmittelbar mit dem Mittelstand zusammen. Er ist Vorstandsvorsitzender des kürzlich gegründeten Verbandes "WIDU – Verband zum Schutz des Rohstoffes Wissen in Deutschen Unternehmen". Die BayBG begleitet das Unternehmen mit einer stillen Beteiligung auf seinem dynamischen Wachstum.

Herr Geier, 2013 – das war das Jahr der IT-Spionage. Besser gesagt, das Jahr des Bewusstwerdens, dass es IT-Spionage im großen Stil gibt. Und dass nicht nur Große ausspioniert werden, sondern auch der Mittelstand.

Markus Geier: Ja. Wirtschaftsspionage ist so alt wie die Wirtschaft. Ein bekanntes historisches Beispiel ist die Seide. Im alten China war es bei Todesstrafe verboten, Seidenspinner, deren Raupen oder die Eier außer Landes zu bringen. Etwa im Jahr 550 herum soll es jedoch zwei Mönchen gelungen sein, einige Eier in den Westen zu schmuggeln. So verlor China sein Seidenmonopol. Ironie der Geschichte. Damals war China der Leidtragende, heute zählt China zu den besonders spionageaktiven Ländern.

Und was die Größe der ausspionierten Unternehmen betrifft, da besteht nach unten kaum eine Grenze. Nach der Statistik des Bayerischen Innenministeriums betrafen 31 Prozent der im Jahr 2012 registrierten Hackerangriffe Unternehmen mit höchstens 250 Mitarbeitern.

Wen trifft es da besonders? Es wird doch kaum ein kleiner Handwerksbetrieb ausspioniert werden? Jeder kleine Handwerksbetrieb vielleicht nicht. Aber auch sehr kleine Unternehmen, die vielleicht als Dienstleister oder Zulieferer eines größeren Unternehmens arbeiten, können interessant sein. Generell befinden sich produzierende Betriebe im Fokus, es kann aber jede Branche betroffen sein. Je forschungsintensiver und innovativer ein Betrieb, desto interessanter ist er.

Waren die Mittelständler bisher zu sorglos?

 In gewisser Weise schon. Das Thema Datensicherheit war bisher meist allenfalls ein Randthema für den Chef.

Aber nicht alle Daten und Fakten sind in besonderem Maß schützenswert.

Nein, aber alle, die für den Erfolg des Unternehmens von zentraler Bedeutung sind. So rund 5 - 10 Prozent der Daten. Dazu gehören alle Unterlagen zu strategischen Vorhaben, Einkaufsdaten, Kalkulationen, Bank- und Kundendaten. Und natürlich die Daten der Forschungs- und Entwicklungsabteilung. Solche „Juwelen“ müssen in einen sicheren Safe und nicht ins Bahnhofsschließfach.

Um in Ihrer Analogie zu bleiben, wäre dann die `Cloud´ das Bahnhofsschließfach ...

Das ist etwas zu undifferenziert. Gefährlich wird es bei einer unbewussten und nicht gesteuerten Nutzung von Clouds und Internet-Diensten, von denen man eventuell nicht einmal weiß, in welchem Land die Unternehmensdaten gespeichert und verarbeitet werden. Das kann in Indien, in Russland, China oder den USA sein. Der Datenschutz ist auf jeden Fall in Europa wesentlich besser als in diesen Ländern.

In einem Whitepaper warnen Sie vor einer Schatten-IT in den Unternehmen. Was verstehen Sie darunter? So bezeichnet man IT-Anwendungen und Datenverbindungen, die an der IT-Abteilung vorbei von Fachabteilungen betrieben werden. Häufig ist damit die unautorisierte Nutzung von Cloud-Diensten wie Dropbox oder Google Drive verbunden. Diese werden zur Synchronisation von Dateien zwischen Computern und Personen verwendet, manchmal auch völlig unkontrolliert von Unternehmensfremden.

Die Technik muss stimmen, aber auch der Mensch ist besonders gefordert. So belegen zahlreiche Studien, dass Spionagetätigkeit vielfach erst durch menschliche Sorglosigkeit möglich wird.

Ja. Es reicht manchmal schon, einen fremden Stick, den man irgendwo erhalten hat, auf einem Firmencomputer zu öffnen. Oder der Sohn des Inhabers schaut im Unternehmen vorbei, klickt dort mal schnell auf seinen Facebook-Account, um zu sehen, wer von seinen 450 weltweiten Freunden etwas Neues gepostet hat. Und schon kann Spy-Software auf dem Computer sein. Viele Unternehmer sind sich dieser Gefahren gar nicht bewusst. Und es gibt natürlich auch den Fall, dass ein Mitarbeiter mutwillig Daten weitergibt. Auf jeden Fall muss jede private Nutzung strikt getrennt werden von der Unternehmens-IT. Das gilt insbesondere auch für Smartphones.

Die ComCode GmbH bietet mit dem Produkt „CyberSpy“ einen Service mit neuester Technik an, um Lecks im Datenverkehr aufzuspüren. Wie gehen Sie bei einem Kunden vor? Mit unserem Service können wir den Datenfluss des Unternehmens transparent machen, ohne dass dieser in irgendeiner Weise gestört wird. Mit modernster und einfach zu installierender Analysetechnik überprüfen wir die gesamte Kommunikation des Netzwerks. Nach dieser Analyse können wir Unregelmäßigkeiten er-kennen und so Empfehlungen zur Prävention oder Risikovermeidung geben. Selbstverständlich arbeiten wir dabei ausschließlich im Unternehmen, und die Daten verbleiben im Haus. Personenbezogene Daten werden nicht erhoben.

Wenn es um IT-Sicherheit geht, dann stehen E-Mails oft im Fokus. Sie gelten als besonders leicht abfang- und veränderbar. Raten Sie generell zur Verschlüsselung von E-Mails? Cyber-Sicherheit ist ein Gesamtkonzept, das die Technik, Prozesse und den Menschen integrieren muss. Sicherlich ist die Verschlüsselung wichtiger Daten einer der Bausteine. Wichtig ist aber, den Schlüssel selbst in der Hand zu behalten oder einen zertifizierten Partner zu haben. Aber selbstverständlich gibt es weitere Bausteine. Bevor ein Unternehmen z.B. eine neue Soft- und Hardware anschafft, muss ein geeignetes Konzept zum Schutz der sensiblen Daten maß-geschneidert werden. Dazu gehören Zugangs- und Zugriffskontrolle, System-überwachung, Notfallvorsorge, sichere Verträge mit Externen, ein ISO27001-zertifiziertes Sicherheitssystem, um nur die wichtigsten Themen anzusprechen.

ComCode GmbH Die 2009 gegründete ComCode GmbH, Gröbenzell, richtet die Umsetzung verlässlicher und sicherer IT-Systeme und -Prozesse konsequent an den Unternehmer-Anforderungen aus. Die praxiserprobten Berater, Experten und Technikern decken dabei das notwendige Spektrum von Geschäftsprozessen bis zu komplexen Technologien ab. Zum Dienstleistungsportfolio gehören u.a. Sicherheitsmanagement nach ISO27001 und BSI, Sicherheitsüberprüfungen, Risikomanagement, Mitarbeitertrainings.

Interview PDF