Herr Degitz, in Zeiten von Datenskandalen und Ausspähaffären sollte das Thema Cyber Security für jedes Unternehmen eine entscheidende Rolle spielen. Untersuchungen zeigen aber immer wieder, dass viele die Gefahren trotz allem nicht ernst nehmen. Wie kann das sein?
Der Eindruck täuscht nicht, das kann ich aus meiner eigenen Erfahrung bestätigen. Es ist nicht so, dass Unternehmen sich möglicher Gefahren nicht bewusst sind – spätestens große Datenskandale wie der bei der Deutschen Telekom haben dazu beigetragen, dass das Thema in den Köpfen präsent ist. Aber viele Firmen gehen mit dem Sicherheitsrisiko falsch um: Der Sicherheitsbereich wird oft ausschließlich von der IT betreut, die Planung durch die IT-Brille gemacht. Der Schutz wirkt dann aber nur nach innen und den Unternehmen gelingt es nicht, mit äußeren Entwicklungen Schritt zu halten. Hinzu kommt, dass alle Maßnahmen dann dem IT-Budget unterworfen sind. Ich habe oft gesehen, dass da zuerst die Ausgaben für die Sicherheit gestrichen werden, wenn es knapp wird.
Wenn nicht bei der IT, wo soll die Cyber Security denn sonst aufgehängt werden?
Theoretisch möglich sind auch die Bereiche Konzernsicherheit und Datenschutz. Wichtig ist auf jeden Fall, die Sicherheitsfragen aus der reinen IT-Ecke herauszuholen – bei kleineren Unternehmen ist es auch nicht verkehrt, die Cyber Security beim Risikomanagement anzusiedeln.
An welchen Stellen lauern denn aktuell die größten Gefahren?
Vor besonderen Herausforderungen stehen ganz klar international aktive Unternehmen mit einer dezentralen Organisation. In Deutschland haben die meisten oft einen guten Überblick über ihre Systeme. Wenn sensible Daten aber auch in anderen Ländern liegen, braucht ein Unternehmen ein einheitliches Sicherheitsniveau. Abweichungen führen zu Risiken, die sich kaum beherrschen lassen. Ob die Systeme in ausländischen Niederlassungen genauso funktionieren wie am Heimatstandort, lässt sich aber über Audits ohne einen immensen Aufwand testen. Das ist eine Aufgabe, die man stemmen kann. Anders sieht das beim Outsourcing aus…
… das ja aufgrund schlechter Erfahrungen im Bereich IT-Outsourcing in der Vergangenheit bis heute bei vielen Unternehmen negativ besetzt ist …
Ja, und das nicht zu Unrecht. Die Daten wandern in diesem Fall ja tatsächlich von A nach B, beispielsweise in ein Call Center. Als die Outsourcing-Welle begann, haben viele hier die Risiken einfach nicht gesehen. Besonders bei extrem empfindlichen Themen wie der Auslagerung des F&E-Managements sind die Risiken enorm. Die Outsourcing-Verträge müssen deshalb unbedingt dem Unternehmen das Recht einräumen, regelmäßige Audits beim Dienstleister durchzuführen. Das klingt selbstverständlich, ist aber bei alten Verträgen oft noch nicht bedacht worden.
Daten werden mittlerweile ja auch oft durch die eigenen Mitarbeiter gestreut – Stichwort „Bring your own device“. Was halten Sie davon?
Die Unternehmensgrenzen verschwimmen immer mehr und ein Unternehmen kann sich nicht mehr einfach mit einer Firewall abschotten. Das ist eine natürliche Entwicklung, der man sich nicht versperren kann. Unternehmen sollten mit dem Thema deshalb vernünftig umgehen – auch private Devices können durch Verschlüsselung gut geschützt werden. Trotzdem ist es aus meiner Sicht immer besser, dem Mitarbeiter ein Gerät des Unternehmens zur Verfügung zu stellen. Sollte es zu Ermittlungen kommen, kann das Unternehmen im Zweifelfall darauf zugreifen und braucht nicht erst die Zustimmung des Mitarbeiters oder der Ermittlungsbehörden. Am Ende darf man aber bei der ganzen Diskussion auch nicht vergessen, dass das Verhalten der Mitarbeiter die entscheidende Rolle spielt. Wer seinem Arbeitgeber schaden will, kann schon seit Langem USB-Sticks mit wichtigen Daten aus dem Unternehmen schmuggeln – das ist aber ein Grund mehr, das Thema nicht als bloßes IT-Thema zu behandeln, sondern es im Unternehmen zur Chefsache zu machen.