Informationssicherheit

Studienbericht 2018 des Digitalverbandes Bitkom

„Spionage, Sabotage und Datendiebstahl – Wirtschaftsschutz in der Industrie“ – Teil 2

Der Digitalverband Bitkom hat zum dritten Mal nach 2016 untersucht, wie es um die deutsche Industrie beim Thema Wirtschaftsschutz bestellt ist. Im ersten Teilunserer Auswertung gaben wir Ihnen eine Zusammenfassung über die betroffenen Unternehmen und die ihnen entstandenen Schäden. Heute werfen wir einen Blick auf die Täter sowie mögliche Schutzmaßnahmen.

Wer sind die Täter?

Geht es um die Frage, wer dem Unternehmen einen Schaden zugefügt hat, ist die Hauptantwort mit 61 Prozent: ehemalige MitarbeiterIinnen. Deutlich abgeschlagen mit 29 Prozent folgen auf dem zweiten Rang Privatpersonen oder Hobbyhacker und mit 22 Prozent Konkurrenzunternehmen. Dieses Ergebnis macht deutlich, wie wichtig es ist, MitarbeiterInnen beizei-ten für IT-Sicherheit und Datenschutz zu sensibilisieren, denn es kann laut Bitkom nicht davon ausgegangen werden, dass es sich bei den 61 Prozent explizit um absichtliche Vergehen handelte.
Kommt es zu Angriffen von außen, finden diese zu 36 Prozent ihren Ursprung in Deutschland, gefolgt von Russland mit 24 Prozent und China mit 18 Prozent. 

Informationssicherheit - Angriffe

Wie wurden Vorfälle entdeckt?

Auch hier spielen MitarbeiterIinnen die größte Rolle. Denn in 61 Prozent der Fälle waren sie es, die zuerst auf Veränderungen aufmerksam wurden. Auch eigene IT-Sicherheitssysteme sind gute Indikatoren (40 Prozent). Ähnlich geeignet sind interne Ermittlungseinheiten bzw. eine interne Revision, die Hinweise gibt (38 Prozent). Was für die Unternehmen überhaupt nicht relevant war, waren Hinweise aus den Medien, Internetforen oder der Öffentlichkeit. Die Informationsquote aus diesen Quellen liegt bei 0 Prozent. 


Wurden die Vorfälle gemeldet?

Hier ist das Ergebnis sehr erfreulich. 78 Prozent der Unternehmen erstatteten Strafanzeige, 29 Prozent machten eine freiwillige Meldung und 13 Prozent machten eine verpflichtende Meldung im Rahmen des IT-Sicherheitsgesetzes (Mehrfachnennungen möglich). Am häufigsten wandten sich die Unternehmen hierfür an Polizeibehörden (90 Prozent). 
Unternehmen, die auf das Einschalten staatlicher Stellen verzichtet hatten, taten dies aus Angst vor einem Imageschaden (38 Prozent) bzw. weil sie davon ausgingen, dass der/die Täter sowieso nicht gefasst würden (38 Prozent). Auch den Aufwand, um diese Stellen einzuschalten, empfanden 37 Prozent der Befragten als zu hoch. 

 

Welche Sicherheitsmaßnahmen setzen Unternehmen ein?

Alle befragten Unternehmen nutzen Passwortschutz auf allen Geräten, Firewalls, Virenscanner und erstellen regelmäßig Backups von Dateien. 91 Prozent verschlüsseln ihre Netzwerkverbindungen. Was eher selten zum Einsatz kommt, sind Penetrationstests (24 Prozent) oder sogar verschlüsselter E-Mail-Verkehr (36 Prozent). Gesamt gesehen, verwendet bisher nur eine verschwindende geringe Zahl der Unternehmen Künstliche Intelligenz oder Maschinelles Lernen, um zum Beispiel Anomalien aufzudecken. Nur 48 Prozent der Unternehmen sind der Meinung, dass sich diese Methode überhaupt zum Schutz vor Sabotage, Industriespionage oder Datendiebstahl eignet. 

Bei den organisatorischen Sicherheitsvorkehrungen legen 100 Prozent der Unternehmen Zugriffsrechte für bestimmte Informationen fest und bei 80 Prozent von ihnen gibt es klare Regeln für den Umgang mit schützenswerten Informationen. Bei den Zugriffsrechten auf bestimmte Räume im Unternehmen, also die Möglichkeit, diese physisch zu betreten, schützen sich jedoch nur 77 Prozent. Auch regelmäßige Sicherheitsaudits werden nur in 34 Prozent der Unternehmen durchgeführt. Immerhin lassen sich 49 Prozent nach ISO 27001 oder dem BSI Grundschutz o. ä. zertifizieren. Hier besteht dennoch Handlungsbedarf. 


Und wie steht es um den Faktor Mensch?

Auch hier gibt es eindeutiges Verbesserungspotenzial, denn das Personal spielt eine entscheidende Rolle bei der Unternehmenssicherheit. So hält jedes der befragten Unternehmen qualifizierte IT-Sicherheitskräfte im Einsatz gegen Angriffe für geeignet. Auch Schulungen der MitarbeiterInnen zu Sicherheitsthemen sind für 80 Prozent der Unternehmen wichtig, leider führen nur 59 Prozent diese auch durch. 59 Prozent der Unternehmen machen Background-Checks, beispielsweise von Social-Media-Profilen, bevor sie eine sensible Position besetzen und 58 Prozent bestellen einen Sicherheitsverantwortlichen. 22 Prozent der Unternehmen setzen anonyme Hinweissysteme ein, über die MitarbeiterInnen Missstände oder Versäumnisse melden können, ohne sich selbst zu belasten.

Als Schutzmaßnahme ist der Mensch unverzichtbar. 
Wie ist das in Ihrem Unternehmen?



DIE KOMPLETTE STUDIE (PDF)

TEIL 1