Pressemitteilung von Petra Sauer-Wolfgramm

Cyber-Risiken und neue EU-Sicherheitsauflagen:

---

---

Thema der diesjährigen Cybersecurity-Tagung von IT-Sicherheitsexperten war unter anderem die neue EU-Datenschutz-Grundverordnung (#DSGVO). Mit deren Wirksamkeit ab Anfang 2018 steigt der Handlungsdruck auf Unternehmen noch einmal.

Immense Schäden durch Angriffe von außen UND innen
Kiel - Jedes 10. Mittelständische Unternehmen wurde 2014 bereits Opfer eines Cyber-Angriffes, wie eine Umfrage (http://www.pwc.de/de/pressemitteilungen/2016/gefahr-von-cyber-angriffen-fuer-familienunternehmen-und-mittelstand-steigt.html)von PricewaterhouseCoopers ergab. Die Schäden reichten dabei von durchschnittlich 80.000 Euro bis zu mehr als 500.000 Euro. Eigentlich müssten diese Zahlen aufhorchen lassen. Das Problem ist nur, dass viele Unternehmen gar nicht wissen, an welchem Punkt genau sie durch Cyber-Kriminalität geschädigt wurden. Oftmals fehlen Monitoring und Informationsprozesse, die darüber Aufschluss geben könnten. Eine weitere Fehleinschätzung ist die Annahme, dass solche Angriffe zum überwiegenden Teil von außen erfolgen, also als klassische Hacker-Attacken. Vielmehr sind es interne Mitarbeiter und Dienstleister, ob bewusst oder unbewusst, die hier an erster Stelle stehen. Dies bestätigt auch der aktuelle "Sicherheitsmonitor Mittelstand" (http://www.sicher-im-netz.de/sites/default/files/download/dsin_sicherheitsmonitor_2016_web.pdf) der Initiative "Deutschland sicher im Netz e.V. (DsiN)", unter Obhut des Bundesinnenministeriums.

Der Faktor Mensch in der Datensicherheit
Acht der zwölf meist genannten Ursachen für Cyber-Kriminalität sind nach einer aktuellen Umfrage des BSI von 2015 Insidern zuzuordnen. Unbeabsichtigtes Fehlverhalten und mangelndes Verständnis potenzieller Risiken zählen zu den häufigsten Gründen. Somit liegt die Sensibilisierung der Mitarbeiter als wichtiges Instrument auf der Hand.

Neue EU-Auflagen
Weiteres Gewicht erhält das Thema #Datenschutz durch die neue EU-DSGVO. Seit dem 25.05.2016 ersetzt sie die bisherige EU-Datenschutzrichtlinie. Nach Ablauf der zweijährigen Übergangsphase im Mai 2018 verlangt sie durch Umkehr der Beweispflicht die Einhaltung verschärfter Sicherheitsauflagen. Unternehmen, die die neuen Regelungen zu diesem Zeitpunkt nicht aktiv nachweisen können, drohen Sanktionen - im Extremfall bis zu vier Prozent ihres weltweiten Jahresumsatzes (http://www.datenschutzbeauftragter-info.de/datenschutz-grundverordnung-bussgelder-und-sanktionen/).

Anwendergerechte Lösungen
Selbst für Unternehmen, die bereits einen hohen technischen Sicherungsaufwand betreiben, ist es schwierig, hier Abhilfe durch geeignete Informations- und Sicherungssysteme zu schaffen. Oftmals sind die angebotenen IT-Sicherungssysteme zu aufwändig und umfangreich in der Implementierung. Schulungen der Mitarbeiter sind ein gutes Mittel der Wahl, allerdings auf Dauer sehr personalintensiv. Ein Teilnehmer der diesjährigen CyberSecurity, das IT-Dienstleistungsunternehmen Consist, bietet mit ObserveIT (http://www.consist.de/de/produkte/security_bigdata/it-compliance-observeit/) eine Software-Lösung an, die insbesondere auf ein dauerhaftes, softwarebasiertes Training mit eingeblendeten Sicherheitshinweisen während der Regeltätigkeit setzt. Im Gegensatz zur herkömmlichen Protokollierung von Anwenderaktivitäten ermöglicht ObserveIT ein erweitertes Monitoring bis hin zu den Metadaten. Fehlerquellen, wie verwendete Befehle oder SQL-Anweisungen, können so leichter erkannt und zukünftig vermieden werden.

Der Faktor Mensch in der IT-Sicherheit war immer wieder Thema der begleitenden Fachvorträge während der CyberSecurity (http://veranstaltungen.handelsblatt.com/cybersecurity/) vom 21.-22.11.2016 in Berlin. Die Resonanz in den darauf folgenden Gesprächen zeigte, dass der Mittelstand aufgeschlossen ist für Lösungen, die gut in den Arbeitsalltag integrierbar und zugleich datenschutzkonform nach der aktuellen Europäischen Datenschutz-Grundverordnung sind. Firmen- & Pressekontakt