„Ich würde dringend zur Awareness-Schulung raten“

com! professional: Investieren Unternehmen genug in Sicherheit?

Fliehe: Wir sehen schon, dass sich da etwas verändert, gleichwohl sind die Investitionen nicht gleichmäßig über alle Branchen und Unternehmensgrößen verteilt. Wir haben nach wie vor eine Schere zwischen den großen auf der einen sowie den kleinen und mittelständischen Unternehmen auf der anderen Seite. Es gibt Nachholbedarf bei den KMUs, auch wenn man das natürlich nicht so pauschal sagen kann.

Jedes Unternehmen ist gut beraten, sich über die eigenen Daten und das eigene Schutzbedürfnis noch einmal Gedanken zu machen und das möglicherweise auch zusammen mit externen Partnern kritisch zu analysieren.

com! professional: Wenn ein IT-Verantwortlicher nur in eine einzige Sicherheitsmaßnahme investieren könnte, was sollte das sein?

Fliehe: Ich würde ihm dringend raten, eine Awareness-Schulung durchzuführen und die Mitarbeiter für die Gefahren im Umgang mit Daten im Internet, Social Engineering oder auch so banale Dinge wie Bildschirmschutz zu sensibilisieren. Wenn ich mit dem Zug fahre und mich umsehe – Sie glauben gar nicht, was ich für spannende Excel-Tabellen bei meinem Nachbarn auf dem Bildschirm entdecken kann. Das sind Aspekte von Datensicherheit, bei denen man mit relativ wenig Aufwand viel erreichen kann, einfach dadurch, dass sich die Mitarbeiter dieser Gefahren bewusst werden. Wenn man also mit sehr begrenzten Mitteln viel erreichen will, dann wäre das eine wichtige Stellschraube.

com! professional: Der Faktor Mensch spielt in der Unternehmenssicherheit also ein wichtige Rolle?

Fliehe: Der Faktor Mensch ist extrem wichtig, das kann man gar nicht oft genug betonen. Wir sehen immer wieder, wie die besten und ausgeklügelsten Sicherheitskonzepte durch Unachtsamkeit und Naivität ausgehebelt werden. Ein gutes Beispiel war dieses Jahr der französische Fernsehsender TV5Monde, bei dem im Interview an der Pinnwand im Hintergrund die Passwörter für Twitter und andere Social-Media-Kanäle zu sehen waren.

com! professional: Hat der Trend zu Virtualisierung und Cloud-Computing die IT eher sicherer oder unsicherer gemacht?

Fliehe: Ich glaube, dass Cloud-Computing eine Menge neuer Anwendungsmöglichkeiten und Arbeitsmodelle geschaffen hat, sodass die Produktivität insgesamt gestiegen ist. Gleichzeitig sind damit auch neue Risiken entstanden. Man muss genau hinschauen, welcher Anbieter mir den nötigen Schutz bieten kann. Hat man einen guten, vertrauenswürdigen Cloud-Anbieter gefunden, dann kann man von dessen Sicherheitsstandards nur profitieren.

com! professional: Was bringt das neue IT-Sicherheitsgesetz? Wird es die IT für Unternehmen wirklich sicherer machen?

Fliehe: Ja, in mehrerer Hinsicht. Sobald in der Unternehmens-IT kommerzielle Webseiten oder Shops betrieben werden, gelten jetzt Sicherheitsstandards nach Stand der Technik, die durch den Betreiber umzusetzen sind. Das ist der eine Punkt. Zweitens wird die Verantwortung der Telekommunikationsanbieter nun klar definiert. Sobald ein Provider Informationen darüber hat, dass sich ein Kunde Schadsoftware eingefangen hat, muss er den Kunden benachrichtigen. Das gilt auch für Unternehmenskunden. Insofern glaube ich schon, dass das IT-Sicherheitsgesetz an vielen Stellen einen Beitrag dazu leistet, die Infrastruktur und auch die Daten besser zu schützen. Im Hinblick auf die im Gesetz erwähnten kritischen Infrastrukturen müssen wir die einzelnen Maßnahmen im Rahmen einer Rechts­verordnung noch ausgestalten, aber auch da gilt die Vorgabe, mehr für IT-Sicherheit zu tun und Mindestniveaus zu definieren. Wir sind also noch nicht ganz am Ziel, aber die Richtung stimmt.