Risikofaktor Mensch

Wie kann sich der Handel gegen Cyberrisiken wappnen? Darüber diskutieren auf Einladung des HDE Experten aus Wirtschaft, Politik und Gesellschaft im Rahmen der Veranstaltungsreihe Forum Handel 4.0. Ergebnis: Die entscheidende Fehlerquelle bleibt letztlich unkontrollierbar.

Von Jens Gräber 29.03.2019

© Bildschön

Diskutieren über Cybersicherheit (von links): Manuel Höferlin (FDP), Stephan Tromp (HDE), Babett Krokowski (Tedi), Moderator Dominik Grau und Gerhard Schabhüser (BSI).

Den Leitspruch für den Diskussionsabend gibt Gerhard Schabhüser aus: „Wir dürfen keine Angst vor der Digitalisierung haben – aber wir müssen sie richtig organisieren.“ Der Vizepräsident des Bundesamts für Sicherheit in der Informationstechnik (BSI) betont, dass mehr Daten, mehr Geräte, mehr Vernetzung und mehr Tempo beim Datenaustausch zwangsläufig zu mehr Angriffen auf Unternehmen und digitale Infrastruktur führten. Schon jetzt sei die Zahl der Cyberattacken hoch: Rund 28.000 allein an die Bundesverwaltung adressierte E-Mails mit Schadsoftware würden monatlich abgefangen. Und 390.000 im Umlauf befindliche Varianten von Schadprogrammen seien im vergangenen Jahr registriert worden – pro Tag wohlgemerkt. Die Angreifer verfolgen unterschiedliche Ziele: vom Datendiebstahl über Erpressung bis hin zum Lahmlegen einer Institution oder eines Unternehmens.

Schabhüser mahnt: „Cybersicherheit muss Chefsache sein, das ist kein Nerd-Thema.“ Zudem sei Prävention immer kostengünstiger als die Reaktion auf einen Angriff. Entsprechend wirbt Schabhüser für die vom BSI mitinitiierte „Allianz für Cybersicherheit“, in der auch der HDE engagiert ist. Sie biete Unternehmen Hilfe zur Selbsthilfe durch Austausch mit anderen potenziell Betroffenen und Best-Practice-Beispiele für möglichst effektiven Schutz. Stefan Tromp, stellvertretender Hauptgeschäftsführer des HDE, betont, der Verband wolle seinen Beitrag leisten, um Cybersicherheit zu gewährleisten: „Ohne Vertrauen in die Digitalisierung wird keiner diesen Weg beschreiten.“ Insbesondere der Point of Sale sei eine kritische Stelle, etwa im Hinblick auf Bezahlvorgänge. „Wir rufen unsere Mitglieder auf, sich dem Thema zu stellen und Sicherheitslücken zu schließen.“

Naivität der Nutzer

Dass dies nicht einfach ist, weiß Babett Krokowski, Head of Internal Audit beim Nonfood-Discounter Tedi. Denn die Schwachstelle sitzt häufig vor dem Bildschirm. „Das Passwort kann noch so gut sein, wenn es auf einem Zettel steht, den der Mitarbeiter unter seine Tastatur legt, bringt es nicht viel“, sagt sie. Gerade am Arbeitsplatz seien viele besonders sorglos im Hinblick auf IT-Sicherheit – sie glaubten, durch entsprechende Vorkehrungen des Unternehmens geschützt zu sein. „Laut einer Umfrage öffnen 76 Prozent der Befragten verdächtige Mails eher am Arbeitsplatz als zu Hause“, führt Krokowski aus. Mobile Geräte wie Laptops und Smartphones würden zudem häufig vergessen, etwa in Taxis. Ohne Passwortschutz sind die Daten für den Finder problemlos zugänglich. Krokowski spricht von einer „gewissen Naivität“ vieler Nutzer. Schulungen und Ratgeber könnten helfen. BSI-Experte Schabhüser pflichtet ihr bei, sagt aber auch: „Man kann die Leute sensibilisieren, wie man will – am Ende öffnet doch immer irgendein Depp die kritische E-Mail.“

Wenn aber selbst große und finanzstarke Unternehmen ihre IT-Sicherheit nicht vollständig in den Griff bekommen, was können dann kleine Mittelständler tun, um sich zu schützen? Krokowski empfiehlt, Pläne für den Krisenfall zu schmieden. Wichtig sei, schon im Vorfeld Ansprechpartner für den Notfall aufzulisten. Schabhüser wirbt dafür, sich im Zweifel Expertenwissen einzukaufen und Dienstleister mit der IT-Sicherheit zu beauftragen. Die Kosten seien nicht so hoch und es lohne sich in jedem Fall. Tromp betont, der HDE sensibilisiere seine Mitglieder zwar, es liege aber beim einzelnen Händler, die richtigen Maßnahmen zu ergreifen. Letztlich sei das eine ganz normale Investition, wie ein Händler sie etwa auch in den Ladenbau tätige.

Hersteller in Haftung nehmen

Einen anderen Akzent setzt der FDP-Bundestagsabgeordnete Manuel Höferlin, er sieht die Politik in der Pflicht: „Wir müssen klare Regeln setzen. Es kann nicht sein, dass Hersteller von Routern oder anderen IT-Produkten die Geräte, sobald sie erst einmal auf dem Markt sind, nicht mehr pflegen und keine Updates für sie anbieten.“ Allein mit einem Sicherheitssiegel, wie es aktuell gefordert wird, sei dieses Problem nicht zu lösen. „IT-Sicherheit ist kein Zustand, sondern ein Prozess. Darum bedarf es regelmäßiger Überprüfung“, pflichtet ihm Linus Neumann bei.

Der Sicherheitsexperte des Chaos Computer Clubs, der im Auftrag von Unternehmen und Institutionen Sicherheitslücken behebt, sieht ebenfalls den Staat in der Pflicht: Der Markt für IT-Produkte brauche dringend mehr Regulierung und eine klare Regelung der Haftungsfrage. Nur wenn Unternehmen für unsichere Geräte hafteten, könne Sicherheit zu einer Standardeigenschaft von IT-Produkten werden, erklärt Neumann. Zudem sollte der Staat Open-Source-Software fördern – also Software, deren Quellcode einsehbar und damit auf Schwachstellen überprüfbar ist.

Eine Grundsatzfrage müsse jedoch zuvor beantwortet werden: „Wollen wir als Staat und Gesellschaft größtmögliche IT-Sicherheit? Oder wollen wir einige Sicherheitslücken offenhalten, um Verbrecher hacken zu können?“ Blieben – wie vom Bundesinnenministerium gewünscht – Lücken absichtlich offen, sei nie auszuschließen, dass auch Kriminelle sie nutzten.

Ob mit bewusst geplanten Sicherheitslücken oder ohne, Neumanns Blick in die Zukunft machte wenig Hoffnung darauf, dass Cybersicherheit irgendwann ohne Anstrengung für den Nutzer zu haben sein könnte. Von Menschen begangene Fehler seien tatsächlich das größte Problem. „Vielen Anwendern fehlen schon die wichtigsten Basiskompetenzen. Das ist an sich nicht schlimm. Schlimm ist aber, dass wir bislang so wenig dagegen tun.“

Informationen des Forums Handel 4.0 zur IT-Sicherheit finden Sie hier, zur Allianz für Cybersicherheit geht es hier.

Schlagworte: Cybersecurity, Cybersicherheit, Allianz für Cybersicherheit, Cyberrisiken

Kommentare

Ihr Kommentar