Sich sicher zu fühlen ist ein hohes Gut. Warum sonst wird so bereitwillig in Alarmanlagen, Schlösser und bissige Hunde investiert. Wenn es allerdings um Online-Sicherheit geht, wird das Portemonnaie nur zögerlich gezückt. Geld und Zeit in etwas zu investieren, dessen tatsächlicher Nutzen ungewiss ist – das stößt den Entscheidern offensichtlich sauer auf.
Kleine und mittelständische Unternehmen sind häufig nicht davon überzeugt, dass ein solcher Schaden durch Hacker sich auch tatsächlich ökonomisch beziffern lässt – schließlich gehen so vornehmlich Kundendaten verloren. Kundendaten = Problem des Kunden, so könnte man meinen. Große Unternehmen hingegen verstehen unter IT-Sicherheit vor allem den Aspekt der Compliance. Sofern sie nur möglichst akribisch Checklisten abhaken, meinen sie rechtlich auf der sicheren Seite zu sein. Dies mag zwar durchaus eine Haftung der Geschäftsführung ausschließen – sicherer wird ihr System durch ein solches Vorgehen allerdings nicht.
Hackerangriff lässt Sony nackt dastehen
Diese Haltung zum Thema IT-Sicherheit wird durch den jüngsten Sony-Hack bis ins Mark erschüttert. Was dem Unternehmen kürzlich widerfahren ist, versieht die unternehmerische Datensicherheit schon bald nun mit einem gut lesbaren Preisschild. Sony Pictures Entertainment wurde gehackt, und zwar richtig. Die Kriminellen haben den virtuellen Datensafe vollständig geplündert. 26 große Archivdateien mit geschäftlicher Korrespondenz, Verträgen, Gehaltsabrechnungen, Fotos und brandneuen Hollywood Blockbustern kursieren bereits im Netz. Durch die fahrlässige Haltung des Unternehmens zum Thema Sicherheit wurden Mitarbeiter und Geschäftspartner entblößt und so größtmöglicher Schaden verursacht. Nun kann jede Mail nachgelesen und jede Strategie durchkreuzt werden, dazu sind viele tausend Passwörter bekannt und selbst die Handy- und Sozialversicherungsnummern vieler Hollywoodgrößen werden schon bald die Runde machen.
Vom Wert der IT-Security
Angesichts der zahlreichen, erfolgreichen Hacks gegen Sony in den letzten Jahren stellt sich die Frage, was das Unternehmen aus seinen Fehlern gelernt hat – offenbar nicht viel. Im weiteren Verlauf dieses Online-Krimis wird sich zeigen, ob und inwieweit Sony für diesen Hack bluten muss. Eines ist jedoch sicher: dieser Hack wird dazu beitragen, dass die IT-Sicherheit zukünftig ein Budget bekommen wird. In wenigen Monaten wird man nämlich den konkreten monetären Schaden des GAUs begutachten können – nämlich dann, wenn klar ist, welche Konsequenzen Sonys Geschäftspartner aus dieser Sache gezogen haben.
Dass es ausgerechnet Sony erwischt hat, ist im Übrigen wenig verwunderlich. Die Firma fällt schon seit Jahren als absolut unbelehrbar in Sachen Datensicherheit auf. Dass von Unternehmensseite nun versucht wird, dieses IT-Debakel den Nordkoreanern in die Schuhe zu schieben, ringt der Hackerszene nur ein müdes Lächeln ab. Dort wird davon ausgegangen, dass es sich bei den Tätern um Hacker ohne politische Agenda handelt; seien es Insider oder aber Externe.
IT-Sicherheit geht 2015 jeden Geschäftsführer an
Die Problematik ist aber beileibe nicht auf Elektronikkonzerne beschränkt. Auch andere Unternehmen, insbesondere Banken und weitere Geheimnisträger, sind sehr anfällig für derlei Sicherheitsdurchbrüche. Der bayrische Datenschutzbeauftragte sieht das offenbar ähnlich und scannte kürzlich die Mailserver mehrerer tausend Firmen in Bayern, um deren Sicherheit zu überprüfen. Anschließend bekamen etliche Firmen Post in der sie darauf hingewiesen wurden, dass ihre Mailserver nicht den datenschutzrechtlichen Anforderungen genügen (§ 9 Satz 1 BDSG). Die meisten der kontaktierten Unternehmen haben eingelenkt und ihre Server daraufhin abgesichert. Sollte es zu einem Streitfall kommen, würden Gerichte mit der Frage betraut, so die bayrischen Datenschützer.
Während der Gesetzgeber im Jahre 2012 noch zurückhaltend in puncto Web-Sicherheit agierte, werden mit dem neuen IT-Sicherheitsgesetz nun die Haftungsbedingungen für Firmen verschärft. Der Zwang zu einem professionellen Umgang mit IT-Sicherheit wird dadurch erhöht, denn für fahrlässige Datensicherheit ist die Geschäftsführung eines Unternehmens nun haftbar. Noch bleibt Zeit sich auf diese neue Herausforderung vorzubereiten, doch die Aktionen der bayrischen Datenschützer zeigen bereits jetzt sehr anschaulich, dass die Behörden gewillt sind, die Einhaltung der neuen Regelungen zu kontrollieren.
Better safe than sorry – Vorsicht ist besser als Nachsicht
Wir wissen, dass IT-Security für die meisten eine lästige Aufgabe ist. Der Fall von Sony zeigt jedoch, dass Sie ein zögerliches Handeln in Sachen Datensicherheit teuer zu stehen kommen kann. Daher macht es Sinn, das Kind gar nicht erst an den Brunnen zu lassen und präventiv tätig zu werden. Fundierte Beratung, Security Review Services, regelmäßige Update-Zyklen und Testings minimieren das Risiko einem Hackerangriff zum Opfer zu fallen. Lassen Sie die Profis ran – wir freuen uns über Ihre Kontaktaufnahme!