Frauke Goll ist die stellvertretende Leiterin des Mittelstand 4.0–Kompetenzzentrums Stuttgart und leitet zusammen mit Dr. Thomas Usländer die Arbeitsgruppe IT-Sicherheit. Die Arbeitsgruppe bietet den Teilnehmern die Möglichkeit, aktuelle IT-Sicherheitsfragen zu erörtern und Erfahrungen auszutauschen. Im Interview erklärt sie, worauf Betriebe achten müssen, um die Digitalisierung sicher anzugehen.

Frau Goll, was würden Sie als momentan drängendste Herausforderung im Bereich IT-Sicherheit ansehen? Und was als künftige?

Das A und O für jedes Unternehmen ist ein ganzheitliches IT-Sicherheitsmanagement. Das ist bei vielen Betrieben leider noch nicht ausgeprägt. Es ist wichtig, einen IT-Sicherheitsbeauftragten zu ernennen und die bestehende Sicherheitssoftware aktuell zu halten. Ein ganzheitliches Management setzt aber eben nicht nur auf solche Teilmaßnahmen, sondern integriert sämtliche Unternehmensebenen. Dabei geht es vor allem darum, das Personal in regelmäßigen Schulungen für den Umgang mit Daten und Software zu sensibilisieren und dadurch ein IT-Sicherheitsbewusstsein fest in der Unternehmenskultur zu verankern. Nur so ist es für kleine und mittlere Betriebe möglich, sich effektiv gegen Angriffe und Datenmissbrauch abzusichern.

Was die künftigen Herausforderungen angeht, wird die IT-Sicherheit im Internet der Dinge immer wichtiger werden. Die Vernetzung von internetfähigen Geräten, Maschinen und Fahrzeugen sorgt für größtmöglichen Komfort für die Nutzer. Gleichzeitig macht die Vernetzung Menschen und Unternehmen angreifbar für Hackerangriffe von außen und es wird für eine ausreichende Sicherung der digitalen Infrastrukturen gesorgt werden müssen, um sich vor unerlaubten Zugriffen zu schützen.

Welche Sicherheitsfragen werden am häufigsten an die Experten in Ihrer Fachgruppe herangetragen?

In unseren Gruppensitzungen behandeln wir vorrangig Fragen, wie sich Firmen nachhaltig gegen Schadsoftware, Spionage und Datenmissbrauch schützen können. Vor allem durch zunehmende Datenerfassung und deren Zusammenführung über Cloud-Computing ist das Thema IT-Sicherheit in den letzten Jahren in den Vordergrund gerückt. Die immer größer werdenden und schneller anfallenden Datenmengen (Big Data) und deren Auslagerung an externe Dienstleister bereiten Betrieben, die mit personenbezogenen Daten arbeiten oder hochsensibles Spezialwissen nutzen, immer größere Sorgen. Deshalb beschäftigen wir uns etwa damit, was Betriebe im Ernstfall, also wenn es zu einem Sicherheitsvorfall kommt, tun können. Wenn Sicherheitsrisiken bestehen oder Datenschäden erfolgt sind, stellt sich für viele Unternehmen prinzipiell die Frage, ob sie künftig noch mehr in IT-Sicherheit und Personal investieren sollen oder ob es vielleicht nicht sogar sinnvoller ist, auf Angebote wie Cloud-Computing generell zu verzichten. Das müssen die Betriebe dann gründlich erörtern.

Wird dem Thema IT-Sicherheit ausreichend Stellenwert eingeräumt?

Viele Firmen sind mit der Sicherung ihrer IT-Strukturen zeitlich und finanziell überfordert oder sie messen dem Thema nicht die entsprechende Bedeutung bei. Ein gutes IT-Sicherheitskonzept ist komplex und kostspielig und besonders kleinere Mittelständler neigen dazu, derartige Aufgaben an einen IT-Beauftragten zu übertragen, der IT-Sicherheit oftmals nur als weitere Zusatzaufgabe übernimmt. In erster Linie sollte sich in jedem Unternehmen die Chefetage dem Thema widmen, ihm oberste Priorität einräumen und Schutzziele definieren, damit die entsprechenden Weichen gestellt und Strukturen aufgebaut werden können. Erst dann sollten die Zuständigkeitsbereiche weiter delegiert werden. Darüber hinaus sind regelmäßige IT-Schulungen von allergrößter Bedeutung, denn ungeschulte Mitarbeiter bieten Einfallstore für Cyberangriffe. Leider fehlen vor allem kleineren Firmen dazu oftmals die Zeit und die finanziellen Mittel.

Welche Fehler sollten Betriebe bei der Umsetzung von Sicherheitslösungen unbedingt vermeiden?

Wichtig ist vor allem das Einmaleins der IT-Security: unverzichtbar ist ein ausreichender Passwortschutz, Kenntnis und Analyse der Verwundbarkeiten, eine ausführliche IT-Dokumentation sowie ein Schutz für den E-Mail-Verkehr. Ebenso sollten Mitarbeiter auf einen vertraulichen Umgang mit den Daten achten, alle Programme immer auf dem neuesten Stand halten und regelmäßige Back-ups aller Daten durchführen. Werden diese grundlegenden Maßnahmen nicht getroffen, kann es schnell zu einem Ausfall der digitalen Infrastruktur kommen und Daten können sehr leicht verloren gehen. Eine nachträgliche Rekonstruktion der Daten ist – falls überhaupt noch möglich – meist sehr aufwendig und kostspielig. Wichtig ist beim Thema IT-Sicherheit, dass Unternehmen nicht nur einzelne Teilbereiche sichern, sondern das große Ganze im Blick behalten: ein einheitliches IT-Sicherheits- und Risikomanagement minimiert die Wahrscheinlichkeit eines Angriffes enorm. Auch wenn die Kosten für IT-Sicherheit auf den ersten Blick hoch erscheinen, so sind diese letzten Endes immer noch niedriger als die eines Datenverlustes.

Bei dem Text handelt es sich um die überarbeitete Version eines Artikels aus dem Themenheft „IT-Sicherheit und Recht“.