Fördermaßnahmen zur Verbesserung der IT-Sicherheit bei KMU im Freistaat Sachsen

Transkript

1 WIK Bericht Studie für das Staatsministerium für Wirtschaft, Arbeit und Verkehr Sachsen Fördermaßnahmen zur Verbesserung der IT-Sicherheit bei KMU im Freistaat Sachsen Autoren: Dr. Franz Büllingen Annette Hillebrand WIK Wissenschaftliches Institut für Infrastruktur und Kommunikationsdienste GmbH Rhöndorfer Str Bad Honnef Bad Honnef, den 3. April 2014

2

3 IT-Sicherheit bei KMU im Freistaat Sachsen I Inhaltsverzeichnis Abbildungsverzeichnis II 1 Management Summary 1 2 Hintergrund der Studie 6 3 Aktuelle Entwicklungen 8 4 Methodik 10 5 Bedeutung von IT und IT-Sicherheit für KMU im Freistaat Sachsen 12 6 Einschätzung der Bedrohungslage für sächsische KMU 15 7 Maßnahmen zur Erhöhung der IT-Sicherheit 18 8 Investitionen in IT-Sicherheit 20 9 IT-Sicherheit und Unternehmensstrategien Spezifische Hemmnisse für die Erhöhung der IT-Sicherheit in KMU in Sachsen Handlungsoptionen und Maßnahmen 25 Literatur 31

4 II IT-Sicherheit bei KMU im Freistaat Sachsen Abbildungsverzeichnis Abbildung 5-1: Genutzte Informations- und Kommunikationslösungen in KMU in Deutschland 12 Abbildung 6-1: IT-Sicherheitsvorfälle in KMU 15 Abbildung 7-1: Technische IT-Sicherheitsmaßnahmen in KMU 18 Abbildung 8-1: Abbildung 8-2: Geplante Höhe von Investitionen in IT-Sicherheit (2011; alle Angaben in Prozent) 20 Geplante Höhe der Investitionen in IT-Sicherheit Anteil am IT- Budget nach Unternehmensgröße (2011; alle Angaben in Prozent) 21

5 IT-Sicherheit bei KMU im Freistaat Sachsen 1 1 Management Summary 1. Die Weltmarktorientierung deutscher KMU hat zur Folge, dass die Ausstattung mit IKT annähernd eine Flächendeckung erreicht hat und auch beim Zugang zum Internet, bei der Gestaltung des eigenen Webauftritts und beim Einsatz mobiler Anwendungen in die Geschäftsprozesse eine Vollversorgung besteht. Die Kehrseite dieser Vollversorgung beim IKT-Einsatz besteht darin, dass KMU damit zugleich allen Formen der digitalisierten Wirtschaftskriminalität in Form von Spam, Malware, Datendiebstahl, Konkurrenzausspähung, Sabotage etc. ausgesetzt sind. Diese Bedrohungslage gewinnt dadurch an Brisanz, dass das Gros von KMU immer stärker wissensbasiert arbeitet und eigene Forschung und Entwicklung betreibt. 2. Laut BKA sind Angriffsziele typischerweise die Automobilindustrie und ihre Zulieferer, Elektronik- und Software-Unternehmen, der Maschinenbau sowie Medien und Verlage. Dieser Befund gilt in besonderem Maße für Branchen mit hochspezialisiertem Know-how, die nicht zuletzt auch im Bundesland Sachsen angesiedelt sind. Es handelt sich bei den hier vertretenen Branchen vor allem in den Großräumen Dresden und Leipzig überwiegend um IT-affine Wirtschaftszweige wie das verarbeitende Gewerbe (insbesondere Herstellung von Metallerzeugnissen, Maschinenbau), das Gesundheits- und Sozialwesen sowie um den Handel und das Baugewerbe. Darüber hinaus befinden sich einige hochinnovative Unternehmen im Raum Dresden, die etwa im Bereich der Mikroelektronik, der Plasma- und Elektronenstrahltechnik, im Sondermaschinenbau oder in der Softwareentwicklung zu den weltweit führenden Unternehmen ( Hidden Champions ) gehören. 3. KMU sehen sich vor wachsenden Herausforderungen, das von ihnen erarbeitete Know-how und die relevanten Informationen vor unbefugten Zugriffen zu schützen. Der Informationssicherheit, das heißt der Gewährleistung von Vertraulichkeit, von Integrität und Verfügbarkeit von Daten, kommt daher mehr denn je eine Schlüsselrolle zu. Die Bedeutung der Informationssicherheit nimmt aber auch deshalb zu, weil sich die Angriffsprofile der Angreifer verschoben haben von ungerichteten Hackeraktivitäten hin zum gezielten Datendiebstahl. Im Zuge der Professionalisierung der Internetkriminalität und der Konkurrenzspionage geht es darum, systematisch an jede Form von Daten zu gelangen, die sich gewinnbringend weiterverwenden oder weiterverkaufen lassen. 4. Der Freistaat Sachsen hat vor diesem Hintergrund WIK mit einer Kurzstudie beauftragt um zu untersuchen, ob und auf welche Weise KMU in Sachsen unterstützt werden können, angemessene Vorkehrungen im Bereich der IT-Sicherheit zu treffen und in welcher Form und durch welche Maßnahmen die politischen Institutionen hierbei in möglichst effizienter Weise Hilfestellung leisten können. 5. Mit Blick auf die Methodik wurde in einem ersten Schritt die Ergebnisse einer BMWi-Studie zur IT-Sicherheit in KMU in Deutschland aus dem Jahr 2012 aus-

6 2 IT-Sicherheit bei KMU im Freistaat Sachsen gewertet. Die Auswertung der Daten zeigt, dass 54 sächsische Unternehmen befragt wurden. Die Betriebsgrößenstruktur in Sachsen weicht dabei nicht wesentlich von der im übrigen Bundesgebiet ab. Insofern kann für das vorliegende Gutachten ohne Abstriche auf die Ergebnisse dieser Studie rekurriert werden. 6. In einem zweiten Schritt wurden die Ergebnisse auf telefonische Expertengespräche abgestützt, um stärker mögliche landesspezifische Aspekte abbilden zu können. Diese Telefonate wurden mit einschlägigen Akteuren in den Städten Leipzig, Chemnitz und Dresden geführt. Ziel der Gespräche war es, evtl. Besonderheiten der Wirtschaftsstruktur aufzunehmen sowie Einschätzungen zur Nutzung, den Nutzungsmöglichkeiten und Einsatzhemmnissen von IT- Sicherheitsanwendungen sowie den damit verbundenen Handlungserfordernissen zu erfassen. Auf Basis der standardisierten Interviews wurden Handlungsempfehlungen für die Politik und die Marktakteure abgeleitet. 7. Die Experten unterstreichen, dass die Awareness angesichts der hohen Komplexität sowohl größenabhängig als auch branchenabhängig sehr unterschiedlich ausfällt. Es lassen sich in Sachsen in Bezug auf die Umsetzung von IT- Sicherheitsmaßnahmen derzeit fünf Gruppen von Unternehmen unterscheiden: Als besonders sicherheitssensibel gelten die Unternehmen der gewerblichen Wirtschaft, die in weitreichende Zulieferer- oder Konzernstrukturen eingebunden sind. Diese können aufgrund ihrer Ressourcenausstattung die notwendigen IT-Sicherheitsmaßnahmen ergreifen und haben einen eher geringen (zusätzlichen) Informationsbedarf. Im Wesentlichen zählen die Betriebe der Automobilzulieferer, der Textilindustrie, des Sozial- und Gesundheitswesens sowie die in Sachsen ansässigen wissenschaftlich-technologischen Institute zu dieser Gruppe. Besonders hervorzuheben sind in diesem Zusammenhang auch alle Unternehmen, die im weitesten Sinne mit der Entwicklung und Herstellung von Hardware (z. B. Chips) im Bereich der Mikroelektronik sowie Software befasst sind. Sachsen verfügt im Bereich der Mikroelektronik über das größte Cluster von Unternehmen in Europa und seine Bedeutung soll künftig noch verstärkt werden, um die Verfügbarkeit bei IKT zu sichern bzw. diese von anderen internationalen Standorten zurückzuholen. Diese Unternehmen gelten daher in Bezug auf mögliche Konkurrenzspionage als besonders gefährdet. Zwar wird das IT-Sicherheitsniveau dieser Betriebe als hoch eingeschätzt, mit Blick auf die zunehmenden Angriffspotenziale jedoch als kontinuierlich weiterentwicklungswürdig beurteilt. Dies gilt auch für die korrespondierenden Institute und Lehrstühle an den Hochschulen wie etwa der TU Dresden. Die sog. Hidden Champions verfügen über eigene Netzwerke und besitzen, da sie zu den hochinnovativen Anwendern von IT-Lösungen zählen, ein ver-

7 IT-Sicherheit bei KMU im Freistaat Sachsen 3 gleichsweise hohes IT-Sicherheitsbewusstsein. Ihre Bereitschaft, in IT- Sicherheit zu investieren, wird von den Experten als hoch eingeschätzt. Bei den mittelgroßen Unternehmen werden im Zuge des NSA-Skandals aktuell grundlegende Verunsicherungen diagnostiziert. Als besonders problematisch wird auch der Diebstahl mobiler Endgeräte (möglicherweise durch die Nähe zu den östlichen Grenzen) eingeschätzt. IT-Trends wie bring your own device und Mobile Business treiben aktuell die Integration mobiler Geschäftsanwendungen in die Betriebsprozesse voran. In diesen Unternehmen wird der Bedarf für IT-Sicherheitsmaßnahmen daher als sehr groß eingeschätzt, während gleichzeitig die Ressourcen- und Informationsdefizite als gravierend einzustufen sind. Die Masse der Kleinstunternehmen wird ebenfalls als erheblich verunsichert betrachtet und hat zum großen Teil noch keinerlei Maßnahmen ergriffen. Die letzten beiden Gruppen, die rund 90 Prozent aller Unternehmen in Sachsen umfassen, gehören demnach zu den derzeit akut gefährdeten Unternehmen. Sie verfügen zwar über ein diffuses Bewusstsein hinsichtlich der Bedrohungslage, sie haben aber bisher daraus nur geringe investive, organisatorische und personelle Konsequenzen gezogen. Bei den allermeisten Unternehmen kann demnach eine tiefgreifende Umsetzungslücke diagnostiziert werden. 8. Generell kann festgehalten werden, dass die wirtschaftliche Bedeutung der IT- Sicherheit für Unternehmen und insbesondere für KMU am Wissensstandort Sachsen deutlich zugenommen hat und alle Experten dringend (weitere) Maßnahmen auf der Ebene des Bundeslandes für erforderlich halten, die sich komplementär zu Aktivitäten auf der Ebene der Bundesbehörden oder der Wirtschaftsverbände verhalten. Dabei geht es darum, ein möglichst hohes IT- Sicherheitsniveau zu einem Alleinstellungsmerkmal der Wirtschaftsstruktur des Freistaates Sachsen zu machen ( IT-Sicherheit als Produktionsfaktor ). 9. Ein entsprechendes Förderprogramm zum Themenfeld IT-Sicherheit im Freistaat Sachsen wird als geeigneter und erforderlicher Ansatz angesehen, um entsprechende Aktivitäten anzustoßen, zu koordinieren und breitenwirksam zu kommunizieren, da ihm eine wichtige Signalwirkung zukommt. Hierbei kann u.a. auf die Initiative Sicheres Unternehmen zurückgegriffen werden, die seit einigen Jahren die Umsetzung eines möglichst hohen Sicherheitsniveaus in mittelständischen Unternehmen zum Ziel hat. 10. Folgende Handlungsempfehlungen erscheinen für KMU im Freistaat Sachsen in der Sicht der Experten besonders bedeutsam: Awareness schaffen gegenüber den (potenziellen und sich künftig verschärfenden) IT-Risiken sowie Entscheider und Geschäftsleiter sensibilisieren in Bezug auf ihre Verantwortung bzgl. des Themas gemäß dem Motto; IT-

8 4 IT-Sicherheit bei KMU im Freistaat Sachsen Sicherheit muss Chefsache sein. Dies bedeutet, dass KMU etwa im Rahmen einer Informationskampagne motiviert werden müssen, konkrete Zuständigkeiten und Rollenverteilungen innerhalb der Unternehmen festzulegen. Dies kann von der Umsetzung schriftlicher Verhaltensanweisungen reichen bis hin zu detaillierten und erprobten Notfallplänen. Schulungen des Personals durchführen. Schulungsmaßnahmen sind ein wichtiger Weg, um das Personal in eine betriebliche IT-Sicherheitsstrategie miteinzubeziehen und für konkrete unternehmensbezogene Sicherheitsanforderungen zu sensibilisieren. Ziel hierbei muss die Einführung eines umfassenden Informations-Sicherheits-Management-Systems (ISMS) in jedem Betrieb sein, mit dessen Hilfe konkrete Regeln, Verfahren und Abläufe festgelegt werden, um die Angemessenheit bestehender Maßnahmen jederzeit überprüfen, nachbessern oder optimieren zu können. Awareness schaffen für die zu schützenden unternehmenseigenen Werte und Daten als Voraussetzung für die Erstellung angemessener Schutzprofile: Unternehmenseigene Werte erkennen und schützen lernen. Diese Handlungsmaßnahme bedeutet, dass KMU Hilfestellung erhalten und lernen müssen, Schwachstellen- und Sicherheitsanalysen für ihren Betrieb durchführen zu können, damit wirtschaftlich, technisch und organisatorisch sinnhafte Maßnahmen umgesetzt werden. Es geht darum, durch die systematische Definition des Status Quo in einem Unternehmen einen Aufsatzpunkt für kontinuierliche Prüfschritte zu schaffen. Unternehmen motivieren, IT-Sicherheit als dauerhaften Prozess zu betrachten, bei dem alle Maßnahmen immer wieder auf den Prüfstand zu stellen sind und nachjustiert werden müssen. Oft reichen einfache Maßnahmen aus, um ein vergleichsweise hohes Schutzniveau zu schaffen wie z. B. durch die Verschlüsselung von s. Im Rahmen einer Marketingkampagne Informationen bezüglich der konkreten Bedrohungslage verbreiten, um Schreckensszenarien zu vermeiden und um IT-Sicherheit positiv zu besetzen. KMU sollen motiviert werden, die Umsetzungslücke zu schließen und höhere Investitionen zu tätigen. Dabei ist der Einsatz z. B. von IT-Sicherheitszertifikaten (z. B. Trusted Shop) ein wichtiger Schritt, im Markt einen Wettbewerbsvorteil durch ein Alleinstellungsmerkmal zu erlangen. Hierbei kann auf die einschlägigen und positiven Erfahrungen der Initiative Sicheres Unternehmen zurückgegriffen werden. Leicht verständliche und sprachlich niederschwellige Informationen in dialogischen Formaten (z. B. Workshops, Seminare, Webinare) anbieten und verbreiten: IT-Sicherheit als dauerhaft notwendigen Dialog begreifen. Zugang zu Orientierungshilfen (kurze und präzise Materialien wie Checklisten oder Leitfäden) vereinfachen und verbessern: Lotsendienste zur Auswahl nützlichen Wissens in der Informationsflut leisten.

9 IT-Sicherheit bei KMU im Freistaat Sachsen 5 Proaktive und lokale Informationsangebote im Zusammenspiel mit Kammern, Wirtschaftsförderern, Verbänden, Hochschulen und ebusiness-lotsen erstellen etwa durch die Vergabe von Auszeichnungen und Preisen für Best Practice-Beispiele (z. B. IT-Sicherheitslösungen für das Handwerk, das Gesundheitswesen; attraktive, regionale Cloud-Lösungen mit Zertifikat). Anreize für den Dialog aller Akteure setzen etwa durch überregionale Veranstaltungen und Förderprogramme: Wirtschaftliche Bedeutung der IT- Sicherheit herausstellen durch Wiedererkennbarkeit und Ansprechpartner bei Kammern, Verbänden oder den ebusiness-lotsen. IT-Sicherheit als Querschnittsthema in alle Maßnahmen zur Wirtschaftsförderung insbesondere von KMU integrieren, da Innovations- und Veränderungsprozesse im IT-Bereich (wie z. B. Mobile Business, Cloud Computing, E-Commerce, Online Marketing, Social Media etc.) fast immer auch mit neuen Anforderungen an IT-Sicherheitsmaßnahmen verbunden sind. Maßnahmen fördern, die etwa branchenspezifisch (z. B. Gesundheitsbereich, Maschinenbau, Logistik) die Entwicklung von Best Practice-Lösungen zum Ziel haben und die damit anderen KMU als Vorbild dienen können. Lernen durch Nachahmung ist der wichtigste Ansatz gerade bei KMU, um Veränderungs- und Innovationsprozesse anzustoßen. Lösungen müssen anschau- und anfassbar sein, um zu einer möglichst hohen Verbreitung zu gelangen. Ausdehnung aller Maßnahmen zur Erhöhung der IT-Sicherheit auf relevante Institute und Lehrstühle an den Hochschulen bzw. den Forschungseinrichtungen des Landes.

10 6 IT-Sicherheit bei KMU im Freistaat Sachsen 2 Hintergrund der Studie Im Zuge der Globalisierung des Wettbewerbs sowie der Digitalisierung aller Wirtschaftsprozesse ergeben sich insbesondere für kleine und mittlere Unternehmen (KMU) wichtige Chancen, aber auch große Herausforderungen bei der Absicherung bzw. der Verbesserung ihrer Marktposition durch den Einsatz moderner Informations- und Kommunikationstechnologien (IKT). Die hohe Weltmarktorientierung deutscher KMU hat zur Folge, dass die Ausstattung mit IKT flächendeckend ist und inzwischen auch beim Zugang zum Internet, bei der Gestaltung eines eigenen Webauftritts und auch bei der Integration mobiler Anwendungen in die Geschäftsprozesse annähernd von einer Vollversorgung gesprochen werden kann. Die Kehrseite dieser Vollversorgung beim IKT-Einsatz besteht darin, dass KMU damit zugleich allen Formen der digitalisierten Wirtschaftskriminalität in Form von Spam, Malware, Datendiebstahl, Konkurrenzausspähung, Sabotage etc. ausgesetzt sind. 1 Der Verfassungsschutz geht von einem Schadenspotenzial von über 50 Mrd. Euro für das Jahr 2011 bei deutschen Unternehmen aus. Die durch diese hohe Zahl zum Ausdruck kommende Bedrohungslage gewinnt insbesondere dadurch an Bedeutung, dass das Gros von KMU in Deutschland immer stärker wissensbasiert arbeitet und auch, in einem Umfang von heute rund 10 Mrd. Euro in eigene Forschung und Entwicklung investiert. Das hierdurch generierte Wissen über innovative Prozesse, Komponenten, Produkte und Dienstleistungen bildet einen zentralen Eckpfeiler der internationalen Wettbewerbsvorteile vieler Unternehmen. Nach Unterlagen des Bundeskriminalamtes sind Angriffsziele typischerweise die Automobilindustrie und ihre Zulieferer, Elektronik- und Software-Unternehmen, der Maschinenbau, Medien und Verlage, aber auch forschungsintensive Hochschuleinrichtungen. Die in diesen Branchen und Institutionen vorhandenen immateriellen Vermögenswerte liegen meistens in elektronischer Form z. B. als Konstruktionspläne, Prozess- und Verfahrensdokumentationen, Software-/Quellcodes, Produktspezifikationen, Kundendaten oder in Form von Text, Bild und Ton vor. 2 Dieser Befund gilt in besonderem Maße für Branchen mit hochspezialisiertem Knowhow, die in Deutschland nicht zuletzt auch im Bundesland Sachsen in erheblicher Zahl angesiedelt sind. Es handelt es sich bei den in Sachsen hauptsächlich vertretenen Branchen vor allem in den Großräumen Dresden und Leipzig zu einem wichtigen Anteil um IT-affine Wirtschaftszweige wie die Hersteller von Mikroelektronik, das verarbeitende Gewerbe (insbesondere Herstellung von Metallerzeugnissen, Maschinenbau), das Gesundheits- und Sozialwesen sowie des Weiteren um den Handel und das Baugewerbe, in denen der Hauptteil der Erwerbstätigen beschäftigt ist. 1 Gemäß der Cybercrime Convention des Europarates aus dem Jahr 2001 gelten folgende Straftaten als Cybercrime: 1. Straftaten gegen die Vertraulichkeit, Unversehrtheit und Verfügbarkeit von Computerdaten und Systemen, 2. computerbasierte Fälschung und Betrug. 2 Vgl. BKA (o.j.), Cybercrime. Handlungsempfehlungen für die Wirtschaft in Fällen von Cybercrime, Wiesbaden.

11 IT-Sicherheit bei KMU im Freistaat Sachsen 7 Darüber hinaus haben sich eine beträchtliche Zahl von KMU u. a. als Zulieferer für Großunternehmen zu Know-how-Trägern erster Güte entwickelt, die im Zuge ihres Differenzierungsbestrebens ihrer Wertschöpfung in vielen Bereichen wie z. B. dem Maschinenbau, der Elektroindustrie oder der Pharmazie eine hohe Wettbewerbsfähigkeit erlangt und es in ihrem Segment sogar zur Weltmarktführerschaft gebracht haben. Einige dieser sog. Hidden Champions befinden sich ebenfalls im Raum Dresden und gehören etwa im Bereich der Plasma- und Elektronenstrahltechnik, im Sondermaschinenbau oder in der Softwareentwicklung zu den heute weltweit führenden Unternehmen. KMU sind aufgrund ihrer Betriebsgröße und den damit verbundenen finanziellen und personellen Restriktionen (geringe Kapitalausstattung, kaum eigenes IT-Personal) überproportional hohen IT-Risiken ausgesetzt. In Europa werden laut Definition Unternehmen mit unter 250 Mitarbeitern und weniger als 50 Mio. Euro Umsatz zu den KMU gezählt. Bei den rund 3,6 Mio. Unternehmen in Deutschland handelt es sich überwiegend um KMU (99,7 Prozent). Diese Struktur findet sich analog auch im Freistaat Sachsen. Von den dort im Jahr 2011 gezählten Unternehmen haben lediglich 483 Unternehmen mehr als 250 Beschäftigte. 3 90,7 Prozent aller Unternehmen beschäftigen 0-9 Mitarbeiter, 7,5 Prozent Mitarbeiter und 1,6 Prozent Mitarbeiter. Diese Verteilung unterstreicht einmal mehr die mittelständische Wirtschaftsstruktur und damit deren Verletzlichkeit durch die gegebenen oder teilweise selbstverursachten IT-Risiken. KMU sehen sich daher bei der Implementierung von IT-gestützten Geschäftsprozessen vor wachsenden Herausforderungen, das von ihnen erarbeitete Know-how und die relevanten Daten vor dem unbefugten Zugriffen Dritter zu schützen. Dazu zählt in nicht geringem Umfang das eigene Personal, das häufig aus Unwissenheit, mangelnder Qualifikation oder nachlässigem Verhalten nicht unerhebliche Schäden verursacht. Der Informationssicherheit, das heißt der Gewährleistung von Vertraulichkeit, von Integrität und Verfügbarkeit von Daten, kommt daher eine wirtschaftliche Schlüsselrolle zu. Die Bedeutung der Informationssicherheit nimmt aber auch deshalb zu, weil sich die Angriffsprofile der Angreifer verschoben haben weg von der Verursachung von (ehemals) ungerichteten Hard- und Softwareschäden hin zum gezielten Datendiebstahl. Im Zuge der Professionalisierung der Internetkriminalität und der Konkurrenzspionage geht es darum, systematisch an jede Form von Daten zu gelangen, die sich gewinnbringend weiterverwenden oder weiterverkaufen lassen. Oft sind hierbei, wie unten dargelegt, auch staatliche Institutionen aktiv, die mit hohem Ressourceneinsatz flächendeckend und systematisch vorgehen. Der Freistaat Sachsen hat vor diesem Hintergrund das WIK mit einer Kurzstudie beauftragt um zu untersuchen, auf welche Weise KMU in Sachsen unterstützt werden können, angemessene Vorkehrungen im Bereich der IT-Sicherheit zu treffen und in welcher 3 Statistisches Landesamt des Freistaates Sachsen (2013): Statistischer Bericht, Auswertung aus dem sächsischen Unternehmensregister, 31. Mai 2013, Kamenz, August 2013, S. 11.

12 8 IT-Sicherheit bei KMU im Freistaat Sachsen Form und durch welche Maßnahmen die politischen Institutionen hierbei in möglichst effizienter Weise Hilfestellung leisten können. 3 Aktuelle Entwicklungen Im Sommer 2013 haben die britische Zeitung Guardian und die US-amerikanische Washington Post damit begonnen, basierend auf den Unterlagen des Amerikaners Edward Snowden, einem ehemaligen Berater der National Security Agency (NSA), aufzuzeigen, wie allumfassend die NSA und andere westliche Nachrichtendienste wie etwa die britische GCHQ Government Communications Headquarters die weltweit stattfindende elektronische Kommunikation überwachen. Seitdem wurde sowohl für Regierungen als auch für private Wirtschaftsunternehmen offengelegt, dass das Mitschneiden des Datenverkehrs praktisch jederzeit und überall im Internet möglich erscheint. Das NSA-Strategieprogramm PRISM sowie das Programm Mystik sollen eine umfassende Überwachung aller Kommunikationsaktivitäten von Personen innerhalb und außerhalb der USA ermöglichen, TEMPORA ist die Bezeichnung des britischen GCHQ für eine nachrichtendienstliche Operation zur Überwachung des weltweiten Datenverkehrs. Sollten die in den offengelegten Dokumenten enthaltenen Informationen authentisch sein, was bislang von bundesdeutschen IT-Experten nicht bestritten wird, dann ist von folgenden Tatbeständen auszugehen: 4 dem direkten Zugriff auf die Smartphones aller führenden Hersteller einschließlich der Telefonbücher sowie der Kommunikation, dem Zugang zum Netz der belgischen Genossenschaft SWIFT, über die Tausende Banken ihre Transaktionen abwickeln, dem Ausleiten vollständiger Datenströme des Internetverkehrs direkt an den Unterseekabeln, der systematischen Erfassung aller internationalen Verbindungsdaten durch das Programm Mystic, dem Zugriff (in Echtzeit durch XKeyScore) auf Datenbanken mit s, Online- Chats und Browser-Chroniken, dem systematischen Zugriff auf Anbieter von Datenbanken bzw. Cloud-Diensten (in den USA). Die Liste dieser wenigen Beispiele kann noch erheblich weiter fortgeführt werden mit Blick auf die in vielen Ländern (etwa USA, China, Russland) behördlich vorgegebenen 4 Eine Liste über die im Zeitverlauf veröffentlichten Snowden-Dokumente und die möglichen Schlussfolgerungen dazu findet sich unter

13 IT-Sicherheit bei KMU im Freistaat Sachsen 9 Aufklärungspflichten gegenüber ausländische Ergebnissen von FuE-Aktivitäten. Die Zusammenhänge und möglichen Überwachungsverfahren dürften für die meisten Unternehmen jedoch zu komplex sein, um die eigenen Risiken genauer abschätzen zu können. Um zu verhindern, dass das Vertrauen in den elektronischen Datenverkehr und die Telekommunikations- und Internetbranche dauerhaft beschädigt wird und dadurch die unbestreitbaren Effizienzvorteile moderner IT-Lösungen insbesondere auch für KMU nicht ausgeschöpft werden, fordern IT-Branchenverbände und politische Institutionen bundesweit eine dauerhafte und nachhaltige Verstärkung von IT-Sicherheitsmaßnahmen. Wie groß der Handlungsbedarf trotz vielfältiger Anstrengungen in der Vergangenheit hierbei noch ist, zeigt eine aktuelle Umfrage des BITKOM 5 zur CeBIT 2014 unter Geschäftsführern von KMU mit mehr als 50 Mitarbeitern. Danach beabsichtigt nur ein Viertel der deutschen Unternehmen, ihre IT-Sicherheit infolge der NSA-Affäre erhöhen und zusätzliche Investitionen tätigen zu wollen. Zur Erklärung dieses Verhaltens mutmaßen Experten bereits seit längerem, dass KMU mit vielen, der IT-Sicherheit dienenden Maßnahmen, häufig überfordert sind und in der Regel konkrete Hilfestellungen sowie vorbildhafte Lösungen benötigen, um technisch adäquate und wirtschaftlich sinnvolle Maßnahmen umzusetzen. Daher entwickelt sich die Verbesserung der IT-Sicherheit insbesondere in KMU zu einer der wichtigsten politischen Herausforderungen. Diese werden zum einen auf der Ebene der Bundesregierung angegangen. Die BMWi- Task Force IT-Sicherheit in der Wirtschaft, die im März 2013 beschlossene Leitlinie zur IT-Sicherheit des IT-Planungsrats, das vom Bundesministerium des Innern (BMI) geplante Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme, die Förderung von Cyber Security Projekten unter dem Programm Horizon 2020 der Europäischen Kommission sind nur einige Beispiele dafür, dass das Thema IT-Sicherheit von den Behörden des Bundes intensiv verfolgt wird. Dies gilt auch für entsprechende Aktivitäten im Rahmen des BMWi-Förderprogramms Mittelstand Digital, in dessen Rahmen sog. ebusiness-lotsen KMU u. a. auch mit Expertise im Bereich der IT-Sicherheit unterstützen. 6 Im Freistaat Sachsen sind drei dieser ebusiness-lotsen aktiv. Ihre Standorte befinden sich in Leipzig, in Dresden und in Chemnitz. 7 5 BITKOM Pressemitteilung v , IT-Sicherheit: Fast ein Drittel der Unternehmen verzeichnet Cyberangriffe, Berlin. 6 Vgl. Mittelstand-Digital. IKT-Anwendungen in der Wirtschaft (2013), (Hg.) BMWi, Berlin. 7 Im Rahmen der Initiative "ekompetenz-netzwerk für Unternehmen" des Bundesministeriums für Wirtschaft und Energie (BMWi) stellen bundesweit 38 regionale ebusiness-lotsen anbieterneutrale und praxisnahe IKT-Informationen für Unternehmen, insbesondere für KMU und Handwerk zur Verfügung. Drei davon befinden sich in Sachsen (Leipzig, Chemnitz und Dresden). Weitere Informationen unter

14 10 IT-Sicherheit bei KMU im Freistaat Sachsen Zum anderen denken aber auch die meisten Bundesländer darüber nach, ihre Maßnahmen zur Steigerung der IT-Sicherheit in KMU zu erhöhen bzw. zu intensivieren. 8 Zu den wichtigen Lehren aus der Vergangenheit gehört, dass sich mit wachsender räumlicher Nähe zu den KMU die Wirksamkeit derartiger Maßnahmen erhöht. Deshalb sind Ansätze zur Steigerung der IT-Sicherheit insbesondere auch die Sache der einzelnen Bundesländer, um bis hinunter in die einzelnen Regionen eine dringend notwendige Verhaltensänderung der Unternehmen anzustoßen und zu begleiten. KMU sind bei der Umsetzung von IT-Sicherheitsmaßnahmen auf konkrete Vorbilder sowie Best Practice-Beispiele angewiesen, um sich in der wachsenden Komplexität von Lösungsangeboten und deren praktischer Umsetzung zurechtzufinden. Sie benötigen daher direkt an ihren Standorten und in den Kammerbezirken vor Ort konkrete Unterstützung. Diese Einschätzung wurde von allen von uns befragten Experten uneingeschränkt zum Ausdruck gebracht. 4 Methodik Zu den Vorgaben des Auftraggebers bei der Durchführung der Studie gehört es, für deren Ausarbeitung in wirtschaftlich und zeitlich vertretbarem Umfang empirische Daten als Grundlage für die Analyse und die daraus abzuleitenden Handlungsempfehlungen zu beschaffen. Daher wurden in einem ersten Schritt die Ergebnisse der bereits verfügbaren BMWi- Studie zur IT-Sicherheit in kleinen und mittleren Unternehmen (KMU) in Deutschland (BMWi / WIK 2012) im Hinblick auf übertragbare Aussagen zur Sicherheitslage sächsischer KMU ausgewertet. Diese Studie basiert auf einer Fallzahl von N = 955. Die statistische Auswertung der Datenlage zeigte, dass in der Befragung sächsische Unternehmen in der Größenordnung bis 500 Mitarbeiter (MA) befragt wurden. Die Anzahl der Antworten (n=54) lässt erste Schlüsse zu, für aussagekräftige Ergebnisse können die allgemeinen Erkenntnisse auf Basis der Daten aus der BMWi / WIK-Studie herangezogen werden. Dieses Vorgehen erscheint mit Blick auf die gegebene Fallzahl der BMWi / WIK-Studie ohne Abstriche zulässig, da die Auswertung der vorhandenen Daten unserer Erhebung zeigt, dass die Betriebsgrößenstruktur im Freistaat Sachsen nicht sehr wesentlich von Der ebusiness-lotse in Leipzig verfügt über besonders ausgeprägte Erfahrungen im Bereich IT-Sicherheit, da er bereits viele Jahre in der Fördermaßnahme Netzwerk elektronischer Geschäftsverkehr (NEG) aktiv war. 8 Vgl. z. B. die Initiativen IT-Sicherheitstag NRW und die Landesinitiative secure-it.nrw, IT-Sicherheit hessen-it oder das Sicherheitsforum BW.

15 IT-Sicherheit bei KMU im Freistaat Sachsen 11 der im übrigen Bundesgebiet abweicht. 9 Im Mittel haben sächsische KMU, wie bereits ausgeführt, eine ähnlich Verteilung der Betriebsgrößen wie in anderen Bundesländern. Im Handwerk ist in weiten Teilen, insbesondere auch in der Region Leipzig, eine Betriebsgröße von unter 10 Mitarbeitern in der überwiegenden Mehrzahl der KMU (mehr als 90 Prozent) gegeben. Insofern kann für das vorliegende Gutachten problemlos zum Einen auf die Ergebnisse der BMWi / WIK Studie rekurriert werden. In einem zweiten Schritt wurden die Ergebnisse auf der qualitativen Methodik telefonbasierter Expertengespräche abgestützt, um stärker die landesspezifischen Aspekte abbilden zu können. Diese Telefonate wurden mit einschlägigen Akteuren in den Städten Leipzig, Chemnitz und Dresden geführt. Ziel der Expertengespräche mit den Vertretern der Industrie- und Handelskammern (IHKn), Handwerkskammern (HWKn), ebusiness-lotsen und dem Sächsischen Verband für Sicherheit in der Wirtschaft e.v. war es, evtl. Besonderheiten der Wirtschaftsstruktur aufzunehmen sowie Einschätzungen zur Nutzung, den Nutzungsmöglichkeiten und Einsatzhemmnissen von IT-Sicherheitsanwendungen sowie den damit verbundenen Handlungserfordernissen aus Sicht von KMU als aktuelle und potenzielle Anwender entsprechender IT-Sicherheitslösungen zu erfassen. Auf Basis der standardisierten Interviews mit Hilfe eines Interviewleitfadens wurden daraus Handlungsempfehlungen für Politik und Marktakteure abgeleitet. Folgende Personen und Einrichtungen wurden von Ende Februar bis Mitte März 2014 kontaktiert und standen für die durchschnittlich einstündigen Interviews zur Verfügung: Frau Anett Fritzsche, ebusiness Lotse Mittelsachsen und HWK zu Leipzig, Herr Dr. Gert Ziener, IHK zu Leipzig, Abteilungsleiter Wirtschafts- und Standortpolitik, Herr André Rößler, ebusiness-lotse Dresden und Projekt Akademie Sachsen, Bildungswerk der Sächsischen Wirtschaft ggmbh, Herr Ulrich Goedecke, ebusiness-lotse Dresden und HWK Dresden, Beauftragter für Innovation und Technologie, Frau Dagmar Lange, ebusiness-lotse Chemnitz und IHK Chemnitz, Herr Torsten Gerlach, ebusiness-lotse Chemnitz und HWK Chemnitz, Herr Andreas Nenner, Vorsitzender Sächsischer Verband für Sicherheit in der Wirtschaft e.v. 9 Auf Besonderheiten, wie sie von den befragten Experten herausgestellt wurden, wird jeweils in den weiteren Ausführungen eingegangen. Um ein hochvalides Bild der Unternehmensstruktur in Sachsen zu erhalten, empfehlen wir die Durchführung einer Repräsentativerhebung.

16 12 IT-Sicherheit bei KMU im Freistaat Sachsen 5 Bedeutung von IT und IT-Sicherheit für KMU im Freistaat Sachsen In Bezug auf die wirtschaftliche Bedeutung von IT und IT-Sicherheit für den sächsischen Mittelstand können im statistischen Vergleich mit der Gesamtsituation von KMU in Deutschland keine wesentlichen Unterschiede festgestellt werden. Alle in der BMWi / WIK Studie 2012 befragten sächsischen Unternehmen verwenden E- Mail zur Kommunikation und über 80 Prozent setzen Online-Banking ein. Der Austausch mit Kunden und Lieferanten erfolgt in 64 Prozent der Unternehmen elektronisch. Das Outsourcing von IT-Anwendungen bzw. die Nutzung von Cloud-Computing liegt mit 64 Prozent bzw. 7 Prozent nur leicht unter dem Bundesdurchschnitt. Abbildung 5-1: Genutzte Informations- und Kommunikationslösungen in KMU in Deutschland Quelle: BMWI/WIK-Studie 2012 Auch die im Rahmen der Studie befragten Experten haben vor dem Hintergrund ihrer langjährigen Tätigkeit bestätigt, dass keine Unterschiede zu den allgemeinen Trends im Bundesgebiet festzustellen sind. Der Einsatz von IT folgt branchenüblichen Bedarfen und ist im Mittelstand allgemein auch in Sachsen weit verbreitet.

17 IT-Sicherheit bei KMU im Freistaat Sachsen 13 Dasselbe gilt für die Bedeutung von IT-Sicherheit in Unternehmen. 62 Prozent der KMU in Sachsen messen dem Thema IT-Sicherheit im Unternehmen eine sehr hohe oder hohe Bedeutung zu Prozent gehen immerhin noch von einer mittleren Bedeutung aus. Dies bedeutet, dass grundlegend ein Bewusstsein über die wirtschaftliche Bedeutung der Informationssicherheit bei den meisten Unternehmen vorhanden ist. Allerdings wiesen die Experten besonders darauf hin, dass die Awareness für das Thema angesichts der hohen Komplexität sowohl größenabhängig als auch branchenabhängig sehr unterschiedlich ausfällt. In Regionen mit einem hohen Anteil an Kleinstunternehmen (weniger als 10 Mitarbeiter (MA)) kann demnach strukturell von einem geringeren Bewusstsein für IT-Sicherheitsrisiken ausgegangen werden. Dies gilt zum Beispiel für das Handwerk, aber etwa auch für Handels- oder Gaststättenbetriebe. Beispielsweise sind im Gebiet der HWK Leipzig bei 93 Prozent der Handwerksunternehmen weniger als 5 MA beschäftigt. Aus Sicht der Experten in Sachsen lassen sich in Bezug auf die Umsetzung von IT- Sicherheitsmaßnahmen derzeit vier Gruppen von Unternehmen unterscheiden: 1. Als besonders sicherheitssensibel gelten Unternehmen der gewerblichen Wirtschaft, die in weitreichende Zulieferer- oder Konzernstrukturen eingebunden sind und größere Teile der Wertschöpfung übernommen haben. Diese können jedoch aufgrund ihrer guten Ressourcenausstattung auch häufig die notwendigen Maßnahmen ergreifen und haben einen eher geringen (zusätzlichen) Informationsbedarf. Im Wesentlichen zählen die größeren Betriebe der Automobilzulieferer, der Textilindustrie, des Sozial- und Gesundheitswesens sowie die zahlreichen, in Sachsen ansässigen wissenschaftlich-technologischen Institute zu dieser Gruppe. Zu dieser Gruppe gehören auch IT-Unternehmen, die z. B. im Silicon Saxony e. V. 11 organisiert sind (u. a. Chipindustrie). 2. Die sog. hidden champions bilden eigene Netzwerke und besitzen, da sie in der Regel zu den hochinnovativen Anwendern von IT-Lösungen zählen, ein vergleichsweise hohes IT-Sicherheitsbewusstsein. Ihre Bereitschaft, in IT- Sicherheit zu investieren, wird von den Experten vergleichsweise hoch eingeschätzt. 3. Bei den mittelgroßen Unternehmen (den typischen mittelständischen Unternehmen in Sachsen mit durchschnittlich 70 MA ) werden im Zuge des NSA- Skandals aktuell besonders grundlegende Verunsicherungen diagnostiziert. Als 10 Falls nicht anders angegeben, beziehen sich im Weiteren alle statistischen Angaben auf die BMWi / WIK-Studie Der Silicon Saxony e. V. verbindet über 300 Hersteller, Zulieferer, Dienstleister, Hochschulen, Forschungsinstitute und öffentliche Einrichtungen am Wirtschaftsstandort Sachsen. Damit ist das Branchennetzwerk für Mikro- und Nanoelektronik, Software, Applikationen, Smart Systems und Energy Systems das erfolgreichste in Europa. Nach Aussagen der Kammern und ebusiness-lotsen decken die in diesem Netzwerk organisierten Unternehmen ihren Informations- und Beratungsbedarf vorrangig innerhalb der eigenen Gruppe und mit professionellen externen Dienstleistern.

18 14 IT-Sicherheit bei KMU im Freistaat Sachsen besonders wichtiger Augenöffner spielt in dieser Gruppe aktuell der Diebstahl mobiler Endgeräte, auf denen unternehmenswichtige Daten gespeichert sind. Hierfür wurde von den Experten u. a. die Nähe zu den östlichen Landesgrenzen verantwortlich gemacht. IT-Trends wie bring your own device (BYOD) und Mobile Business treiben aktuell die Integration mobiler Geschäftsanwendungen in vielen Unternehmen voran. In diesen Unternehmen wird der Bedarf für IT- Sicherheitsmaßnahmen daher als sehr groß eingeschätzt, während gleichzeitig die Ressourcen- und Informationsdefizite als besonders gravierend einzustufen sind. 4. Die Masse der Kleinstunternehmen wird ebenfalls als erheblich verunsichert betrachtet, hat aber zum großen Teil noch keinerlei Maßnahmen ergriffen und ist daher als besonders gefährdet anzusehen. Die Gruppen 3 und 4, die rund 90 Prozent aller Unternehmen in Sachsen umfassen dürften, gehören demnach zu den akut gefährdeten Unternehmen. Sie verfügen zwar, wie bereits ausgeführt, über ein Bewusstsein hinsichtlich der Bedrohungslage, sie haben aber bisher daraus nur geringe Konsequenzen gezogen. Auch dieser Befund ist wenig spezifisch für die Situation im Freistaat Sachsen, sie trifft vielmehr auf alle kleinen und mittleren Unternehmen in Deutschland zu. Des Weiteren zeigt sich in den Gesprächen mit den Experten, dass diese die Awareness für IT-Risiken insbesondere in Abhängigkeit von folgenden Faktoren zu sehen ist: 1. dem ständig wachsenden Einsatz mobiler Endgeräte: Wie unsere Erhebung zur BMWi / WIK-Studie zeigt, verwenden bundesweit 88 Prozent der KMU mobile Endgeräte, im Handwerk sind es sogar 96 Prozent. Die Zunahme von Laptops, Tablets, Mobiltelefonen und Smartphones in Unternehmen und das weit verbreitete BYOD bergen Sicherheitsprobleme, deren sich die meisten Geschäftsführer und Inhaber durchaus bewusst sind. Ein Beleg dafür ist, dass Veranstaltungen der Kammern und ebusiness-lotsen zu diesen Themen in der Regel stark besucht sind und auch konkrete Nachfragen zur Beratung an die Kammern herangetragen werden. Allerdings besteht eine erhebliche Umsetzungslücke bei der Implementierung entsprechender Maßnahmen (Gerätemanagement, Einrichtung von Tunnelverschlüsselungen (VPN), Fernwartung, Nutzungspolicies, Mitarbeiterschulung, etc.). 2. dem allgemeinen Sicherheitsgefühl : Das Thema Sicherheit in der Wirtschaft wird in Sachsen u. a. vom Sächsischen Verband für Sicherheit in der Wirtschaft e.v. betreut. Allgemeine Sicherheitsrisiken wie Diebstahl, Zugangs- und Brandschutz werden immer mehr auch in Verbindung mit den zu schützenden IT- Infrastrukturen gebracht. Die besonderen regionalen Gegebenheiten als Grenzregion führen in den Medien manchmal zu einer hoch sensibilisierten Einschätzung der potenziellen Gefahren. Dies wird zum Teil auf IT-Sicherheitsbelange übertragen, insbesondere in Bezug auf den Diebstahl mobiler Endgeräte.

19 IT-Sicherheit bei KMU im Freistaat Sachsen 15 6 Einschätzung der Bedrohungslage für sächsische KMU IT-Sicherheitsvorfälle in mittelständischen Unternehmen treten besonders häufig im Bereich Ausfall der Technik, Malware, Spam und Datenverlust (versehentlich veränderte Daten oder sonstiger Datenverlust) auf. Abbildung 6-1: IT-Sicherheitsvorfälle in KMU Quelle: BMWi / WIK-Studie 2012 Als Hauptursache gelten in KMU ein Ausfall der Technik, Irrtum, Nachlässigkeit oder Unwissen eigener Mitarbeiter sowie die absichtliche Manipulation der IT oder Daten durch Außentäter (41 Prozent). Nur 11 Prozent der KMU halten es aber für möglich, dass die IT-Sicherheitsvorfälle auf Spionage durch Nachrichtendienste oder Wettbewerber zurückzuführen sind. Die von uns kontaktierten Experten halten diese Zahl für deutlich zu niedrig, gelten doch vor allem innovative Mittelständler als Hauptangriffsziel auf diesem Gebiet. Besonders bei KMU, die eigene Forschung und Entwicklung betreiben, dürfte die Dunkelziffer hoch sein. Demnach dürften die Unternehmen der im vorangehenden Kapitel vorgestellten Gruppen 1 und 2 einem besonders hohem Gefährdungsrisiko ausgesetzt sein, da sie als Angriffsziele besonders attraktiv sind. Trotz der vergleichsweise hohen Awareness für die IT-Sicherheitsrisiken in diesen beiden Unter-

20 16 IT-Sicherheit bei KMU im Freistaat Sachsen nehmensgruppen raten die Experten dringend zu neuerlichen und vertiefenden Sensibilisierungsmaßnahmen. Forschung und Entwicklung (FuE) nimmt im Mittelstand in Sachsen eine besondere Bedeutung ein und unterliegt laut Aussagen der Experten hohen Sicherheitsrisiken. Eine aktuelle Analyse der Forschungs- und Entwicklungspotenziale im Wirtschaftssektor des Freistaates Sachsen 2009 bis 2012, erlaubt eine sehr positive Bewertung des Bestandes und der Struktur der FuE betreibenden Unternehmen und externen Industrieforschungseinrichtungen sowie ihres FuE-Potenzials. 15,4 Prozent der KMU in Sachsen betreiben Forschung und Entwicklung, 12 davon in der Mehrzahl in der Region um Dresden (mehr als die Hälfte der FuE-Beschäftigten sind hier tätig), um Chemnitz (rund ein Drittel) und Leipzig (rund 12 Prozent der FuE- Beschäftigten). Das FuE-Personal der Wirtschaft ist im Laufe von zehn Jahren um mehr als ein Drittel gewachsen. Die sächsische Wirtschaft wendete 2012 insgesamt rund 1,2 Mrd. Euro für FuE auf. Im Hinblick auf die (potenziellen) Risiken durch Konkurrenz- und Wirtschaftsspionage erscheint es daher überaus plausibel, dass diese Unternehmen einer besonderen Gefährdung ausgesetzt sind. Innovative Unternehmen und sog. Hidden Champions 13 zählen nachweislich zu den bevorzugten Zielen ausländischer Nachrichtendienste 14 für Aktivitäten der Wirtschaftsspionage. Von Konkurrenzspionage ist ebenfalls auszugehen, auch wenn dazu weder öffentliche Einschätzungen noch konkrete Statistiken vorliegen. Die bereits zitierte Studie des BKA geht davon aus, dass mehr als 40 Prozent aller deutschen Unternehmen bereits Ziel eines Angriffs geworden sind. Ein Versuch, die von den KMU in Deutschland bemerkten Spionageangriffe zu erfassen, ist bedauerlicherweise auch in der BMWi / WIK-Studie fehlgeschlagen, da die Unternehmen ganz offenbar nicht bereit sind, diese sensiblen Informationen preiszugeben. Die mit den Akteuren in Sachsen geführten Gespräche haben ergeben, dass in Einzelkontakten durchaus Erfahrungen in diesem Bereich berichtet werden, jedoch aus Befürchtungen vor Rufschädigungen keine Bereitschaft besteht, diese öffentlich zu machen. Die befragten Experten gehen sogar davon aus, dass betroffene Unternehmen niemals öffentlich dazu Stellung nehmen würden. 12 Euronorm (2014): Analyse der FuE-Potenziale im Wirtschaftssektor des Freistaates Sachsen 2009 bis 2012, Plan 2013, Studie im Auftrag des Sächsischen Staatsministeriums für Wissenschaft und Kunst, S. 7ff. 13 Vgl. H. Simon (2007): Hidden Champions des 21. Jahrhunderts, Frankfurt/Main. Weltweit geht Simon von rd hochinnovativen Mittelständlern aus, davon befinden sich in Deutschland. 14 Zum Beispiel aus China oder der russischen Föderation: Da die ökonomische Entwicklung Chinas von großer Bedeutung für die innere Stabilität ist, bemühen sich die Nachrichtendienste auch um sensible Informationen aus der Wirtschaft wie z. B. aktuelle Forschungsergebnisse und technische Neuentwicklungen. In der Vergangenheit wurden in deutschen Firmen wiederholt illegale Ausspähungsaktivitäten festgestellt. Verfassungsschutzbericht 2013, S. 393f.

21 IT-Sicherheit bei KMU im Freistaat Sachsen 17 Es ist daher nicht verwunderlich, dass auf politischer Ebene immer wieder der Ruf nach einer Meldepflicht laut wird, weil die Behörden naturgemäß an einem validen Bild über das Ausmaß von Cybercrime interessiert sind. Der aktuelle Verfassungsschutzbericht widmet der elektronischen Informationsbeschaffung und den Risiken für Unternehmen ein eigenes Kapitel, in dem darauf hingewiesen wird, dass diese Methode wichtig geworden ist und immer häufiger Daten ausgespäht, kopiert oder verändert werden. Die Übernahme einer fremden elektronischen Identität, der Missbrauch oder die Sabotage fremder IT-Infrastrukturen sowie die Übernahme von computergesteuerten netzgebundenen Produktions- und Steuereinrichtungen wurde bereits mehrfach beobachtet. Die Angriffe erfolgen von außen über das Internet oder über manipulierte Hardwarekomponenten. 15 Die Landesämter für Verfassungsschutz betreiben seit einigen Jahren Aufklärungs- und Beratungsarbeit, veröffentlichen aber ebenfalls keine detaillierten statistischen Daten. Einen Anhaltspunkt über das Ausmaß können die Angaben des Bundesamtes für Sicherheit in der Informationstechnik (BSI) bieten. Danach gehen in das deutsche Regierungsnetz 70 s mit Malware pro Stunde ein, täglich werden etwa 5 gezielte Spionageangriffe beobachtet und es werden rund Zugriffsversuche pro Monat aus dem Regierungsnetz auf manipulierte Websites unterbunden. 16 Ein für derlei Aktivitäten hinreichend attraktives Wirtschaftsunternehmen dürfte einer ähnlichen Anzahl von gezielten Angriffen pro Tag ausgesetzt sein. Im Erfolgsfall muss schlimmstenfalls davon ausgegangen werden, dass die gesamten FuE-Investitionen des Unternehmens verloren gehen und damit u. U. auch überlebenswichtige Chancen in Wachstumsmärkten abhanden kommen Vgl. Verfassungsschutzbericht 2013, S. 377f. 16 BSI (2013), S Vgl. dazu einen Bericht an den amerikanischen Kongress, der ausführt, dass jährlich Milliardenbeträge durch Spionage im FuE-Bereich verloren gehen, da hier von einem Totalverlust der Investitionen auszugehen ist (Office of the National Counterintelligence Executive (2011): Foreign Spies stealing US economic secrets in cyberspace. Report to Congress on Foreign Economic Collection and Industrial Espionage, , October 2011).

22 18 IT-Sicherheit bei KMU im Freistaat Sachsen 7 Maßnahmen zur Erhöhung der IT-Sicherheit Insgesamt wird die technische Basis-Sicherheit in KMU als ausreichend eingeschätzt, die organisatorischen und personellen Maßnahmen jedoch als unzureichend. Dieses zentrale Ergebnis der BMWi / WIK-Studie 2012 wurde durch die Experten einhellig bestätigt. Technische Sicherheit wird heute durch den Einsatz von IT-Produkten mit integrierten Sicherheitsmerkmalen befördert. Virenschutz, Firewalls, Passwort-Verwendung, Erstellen von Backups, Spamfilter und das regelmäßige Verwenden von Patches und Updates für Software ist bei Unternehmen, die IT einsetzen nahezu flächendeckend vorhanden. Abbildung 7-1: Technische IT-Sicherheitsmaßnahmen in KMU Quelle: BMWi / WIK-Studie 2012 Verschlüsselungsmaßnahmen (Dateien, Notebook-Festplatten, s) werden nur selten vorgenommen. Hier sehen rund 10 Prozent der KMU Handlungsbedarf, eine Zahl, die nach Einschätzung der mit IT-Sicherheitsberatung befassten Kammern und ebusiness-lotsen deutlich zu niedrig liegt, da Kryptographie nachweislich wirksam gegen die zahlreichen, in letzter Zeit öffentlich gewordenen Überwachungsmöglichkeiten ist.

23 IT-Sicherheit bei KMU im Freistaat Sachsen 19 Die Experten fordern in diesem Bereich Sensibilisierungsmaßnahmen sowie Beratung und Schulung, vor allem für die kleinen und mittleren Unternehmen, die nicht durch Zuliefererstrukturen oder besonderes Risikobewusstsein im Bereich FuE für diese technischen Maßnahmen ausgerüstet sind. Als Erklärung für die mangelnde Umsetzung wird angeführt, dass Schutzmaßnahmen häufig einer einfachen und unkomplizierten Nutzung entgegenstehen. Die Usability von IT-Sicherheitstools liegt deutlich im Argen und könnte etwa ein Ansatzpunkt für die Sensibilisierung von Anbietern sein, hier verbesserte Produkte z. B. für eine durchgängige Verschlüsselung anzubieten. Weitere technische Maßnahmen stehen weniger im Fokus der Experten, sie weisen darauf hin, dass im Bereich der organisatorischen Maßnahmen starker Handlungsbedarf besteht. Nur 63 Prozent der KMU informieren regelmäßig die Unternehmensleitung über den Stand der IT-Sicherheit. 51 Prozent sensibilisieren ihre Mitarbeiter, 43 Prozent haben Notfallpläne für IT-Ausfälle entworfen. Nur etwa ein Drittel haben schriftliche Regeln für die Beschaffung und Verwendung mobiler Endgeräte bzw. für IT-Sicherheit im Allgemeinen verfasst. Schulungen setzen nur 31 Prozent für ihr Sicherheitspersonal und nur 19 Prozent für alle Mitarbeiter ein. Diese Zahlen verdeutlichen, dass gerade im Bereich organisatorischer Maßnahmen ein großer Handlungsbedarf für KMU existiert. Hinsichtlich der personellen Maßnahmen ist aufgrund der Größenstruktur der KMU nur etwa jedes fünfte Unternehmen mit einer eigenen IT-Abteilung ausgestattet. Immerhin geben 71 Prozent an, Mitarbeiter mit IT-Sicherheitskenntnissen zu beschäftigen, dies erscheint jedoch für eine wirksame Umsetzung von technischen und organisatorischen Maßnahmen zu wenig, wenn diese Mitarbeiter nicht auch mit Entscheidungskompetenzen ausgestattet sind bzw. ausgestattet werden können. In der Regel ist in den mittelständischen Unternehmen formal die Leitung auch für die IT-Sicherheit verantwortlich und nur in größeren Betrieben bzw. in besonders IT-affinen Branchen sind eigene IT-Verantwortliche beschäftigt, die diesen Bereich mit abdecken. Die Experten verweisen darauf, dass Führungskräfte und die Unternehmensleitungen sich jedoch häufig zu wenig ihrer Verantwortung für die Organisation dieser Prozesse bewusst sind gemäß dem Leitmotto: IT-Sicherheit ist Chefsache. IT-Sicherheitsberater der Kammern treffen daher in der Praxis vor allem Betriebe an, in denen keine konkreten personellen Zuständigkeiten festgelegt sind.

24 20 IT-Sicherheit bei KMU im Freistaat Sachsen 8 Investitionen in IT-Sicherheit Obwohl das Wissen über Cyberkriminalität in KMU weit verbreitet ist, scheint sich dies nicht unmittelbar in einer entsprechenden Investitionsbereitschaft niederzuschlagen. Hierbei ist zu berücksichtigen, dass die Datenlage bei diesem Thema weniger aussagekräftig ist als bei anderen IT-Sicherheitsthemen: Rund ein Viertel der befragten Unternehmen sind bei der Frage nach den Investitionen in die IT-Sicherheit eine Antwort schuldig geblieben. Insbesondere die größeren Unternehmen haben hierzu kaum Angaben gemacht, da entsprechende Ausgaben offenkundig als Betriebsgeheimnis behandelt werden. Abbildung 8-1: Geplante Höhe von Investitionen in IT-Sicherheit (2011; alle An gaben in Prozent)

25 IT-Sicherheit bei KMU im Freistaat Sachsen 21 Abbildung 8-2: Geplante Höhe der Investitionen in IT-Sicherheit Anteil am IT- Budget nach Unternehmensgröße (2011; alle Angaben in Pro zent) Insgesamt kann festgestellt werden, dass KMU pro Jahr rund Euro für IT- Sicherheit ausgeben. Dies entspricht einem Anteil von rund 14 Prozent ihres IT- Budgets.