(openPR) Die Sicherheitsanforderungen an die IT-Sicherheit und die IT-Organisation, aber auch an die Unternehmensprozesse werden zu immer größeren Herausforderungen.
Fast täglich erfahren wir in den Medien von Veruntreuungen, Unterschlagungen oder Diebstahl von hochwertigen Wirtschaftsgütern oder Geldern. Es werden Ein- und Ausgangsrechnungen manipuliert, Belege gefälscht und Banküberweisungen unberechtigterweise zum eigenen Vorteil verändert. Gewohnheit ist es schon fast geworden, auch über das Ausspionieren unserer Politiker durch die NSA zu hören, zu sehen oder zu lesen.
Wesentlich seltener lesen wir über Fälle von Industriespionage. Doch jetzt hören wir davon im Rahmen der NSA-Veröffentlichungen. Aber ist das nicht eigentlich noch ziemlich weit weg? Ganz sicher nicht, es wird nur wesentlich weniger darüber berichtet. Aber woran liegt es im Wesentlichen, dass solche kriminellen Handlungen sehr oft und sehr leicht möglich sind?
Die Möglichkeiten sind hausgemacht, um es auf den Punkt zu bringen. Teilweise, wie ein Bespiel zeigt, werden durch falsch verstandene Schutzmaßnahmen im Rahmen des Bundesdatenschutzgesetzes der Kriminalität Tür und Tor geöffnet.
Der Betriebsrat eines Industrieunternehmens hat darauf bestanden, dass Überwachungssysteme mit ihren automatischen Protokollen von nicht berechtigten Zugriffen auf den Datenbestand des Unternehmens abgeschaltet wurden. Das war natürlich so nicht gewollt. Es sollte aus den Häufigkeiten der Zugriffe der Mitarbeiter auf die von ihnen zu bearbeitenden Daten und Dateien keine Rückschlüsse auf das Arbeitspensum und die Arbeitszeiten des Einzelnen geschlossen werden können. Ein zu vertretender Gedanke, meint man zunächst. Aber eine unbeabsichtigte und nicht bedachte Folge der Aufhebung der IT-Systemzugriffskontrollen war, dass unter anderem auch Zugriffe von außen durch fremde Dritte nicht mehr gesperrt und solche Zugriffe auch nicht mehr protokolliert wurden. So bemerkten die IT-Mitarbeiter erst im Nachhinein, dass über Nacht riesige Datenmengen aus dem IT-System ausgelesen und übertragen wurden. Die vom Betriebsrat zum Schutz von mitarbeiterbezogenen Daten geforderte Aufhebung eines Zugriffs- und Protokollschutzes hatte nun die Auswirkung, dass der Zugriff von außen auf den gesamten Datenbestand des Unternehmens nicht verhindert wurde und wegen fehlender Protokolle auch nicht mehr nachvollzogen werden konnte.
Was wollte der Eindringling in dem Unternehmensdatenbestand sehen? Die Produktdaten, die kaufmännischen Werte, die Kalkulation oder gar die so besonders schutzwürdigen mitarbeiterbezogenen Daten?
Im Nachhinein darüber zu spekulieren ist zwecklos. Viel wichtiger ist die Erkenntnis: Der Vorgang hätte verhindert werden können!
Wie auch schon im Artikel der RP vom 7.02.2014 bemerkt, lässt die Sensibilität einzelner Unternehmen und Mitarbeiter noch immer sehr zu wünschen übrig. Was muss, vielleicht auch direkt dem einzelnen Unternehmen oder dem einzelnen Mitarbeiter, noch alles geschehen, bis das Risikobewusstsein der wachsenden Kriminalität angepasst ist?
Darüber hinaus ist es mit dem professionellen Einsatz von CA- oder CMS-Analyse- und Control Tools ohne Weiteres möglich, auch oder besonders unter Beachtung des Schutzes personenbezogener Daten (BDSG) die Datenbestände und die IT-Prozesse vor unberechtigten Zugriffen Dritter zu schützen, bzw. Auffälligkeiten in diesem Zusammenhang frühzeitig zu erkennen, um Vorsorgemaßnahmen ergreifen zu können.
