ASW-NRW-Jahrestagung 2019 lud nach Bochum ein

Die ASW-NBRW empfing zu ihrer Jahrestagung 2019 beim Sicherheitsspezialisten G Data in Bochum hochkarätige Gäste, darunter den Innenminister von NRW, Herbert Reul. Er sei gekommen, um auf die Bedeutung der Sicherheit und vor allem der IT-Sicherheit aufmerksam zu machen. Reul blieb anschließend noch zu einem zwanglosen Mehraugengespräch wichtiger ASW-Mitglieder. Die hatten zuvor eine echte Neuerung verkündet. Der ASW-NRW benennt sich in ASW-West um.

„Deutsches Know-how ist nach wie vor ein hoch geschätztes Gut. Wir befinden uns daher im Fokus ausländischer Nachrichtendienste. Viele Unternehmen sind in vielen Bereichen des Wirtschaftsschutzes noch nicht gut aufgestellt. Diesen Entwicklungen müssen wir begegnen. Dafür sind alle beteiligten Akteure gefragt“, so Christian Vogt, Vorstandsvorsitzender der ASW West in seiner Begrüßungsrede. „Mittlerweile sind über 800 Millionen Varianten von Schadprogrammen im Umlauf, jeden Tag kommen rund 400.000 neue hinzu. Es ist daher auch logische Konsequenz, dass die Anzahl von erfolgreichen Hackerangriffen steigt.“ Zur Abwehr komme es nicht nur auf die Technik an, sondern auch auf den Menschen.

Der Schirmherr der Veranstaltung, Herbert Reul, referierte zum Thema „Die Bedeutung des Wirtschaftsschutzes für das Land NRW“. NRW hat mit dem BSI und der Hardthöhe in Bonn sowie der Ruhruniversität Bochum (Horst Görtz Institut für IT-Sicherheit) und der Hochschule Gelsenkirchen gleich mehrere hochqualifizierte Standorte der IT-Sicherheit. Die Konkurrenz in München und Dresden schläft allerdings nicht. An der Isar wurden „Code“ und „Zitis“ angesiedelt, Dresden erhielt eine Abteilung des BSI. Gute Gründe für den Minister, die IT-Sicherheit zur Chefsache zu machen. Seine Vorgänger hielten dies meist nicht für nötig.

Burghard Freier, Leiter des Verfassungsschutzes NRW, stellte das jüngst ermittelte „Lagebild Wirtschaftsschutz“ vor und ging in diesem Zusammenhang tiefer ins Detail. Vor allem die rund 720.000 Mittelständler sind bedroht. Während DAX-Unternehmen wie die Telekom Strukturen geschaffen haben, 32.000 Angriffe pro Minuten abzuwehren, sieht es mit den Zulieferern ganz anders aus. Hier fehlt es an Know-how und an den inneren Strukturen.

Die Studie speist sich aus Umfragen welche die Fachhochschule des Mittelstandes (FHM) Bielefeld auf Initiative der „Sicherheitspartnerschaft NRW“ erstellt hat. „Die Studie zeigt, dass viele kleine und mittlere Unternehmen in puncto Sicherheit noch „Luft nach oben“ haben. Sie sind damit ein leichtes Opfer für Wirtschaftsspionage und Cyberangriffe. Ich bin der ASW daher außerordentlich dankbar, dass sie unserem Verfassungsschutz dabei hilft, Unternehmen für diese Gefahren zu sensibilisieren”, so Minister Reul. 77,5 Prozent der befragten Unternehmen verfügten nicht über ein vollständiges Sicherheitskonzept, bei fast genauso vielen Unternehmen waren Kompetenzen für den Ernstfall nicht eindeutig vergeben. „Wenn ein solches Unternehmen durch Ransomware angegriffen wird, ist nicht klar, wer die Betriebs-IT herunterfahren darf“, erläuterte Freier. „In der Praxis bedeutet dies meist, das sich niemand traut, überhaupt etwas zu tun.“ Ein Verschlüsselungstrojaner hätte in solch einem Fall leichtes Spiel. Aber natürlich auch Spione. „Diebstahl ist billiger als Forschung“, so Freier. Digitalisierung und das Internet der Dinge bergen Risiken. „Wer sich digitalisiert, betritt einen Hochrisikoraum. Die Meldungen an die Behörden haben sich verdreifacht. Daher brauchen wir eine tragfähige Aufstellung in der Unternehmenssicherheit, nur ein ganzheitliches System gewährleistet Schutz.“

Sicher die weiteste Anreise hatte Noam Krakover, Chief Strategy Officer (CSO) of the Cyber Division, Israel Aerospace Industries, der in seinem Vortrag „Wie Israel seine Wirtschaft schützt“ darauf hinwies, dass manchmal schon eine Milderung von sicherheitsrelevanten Vorfällen ein Erfolg ist. Daraus solle sich aber eine Überlegenheit gegenüber den Angreifern entwickeln. Ein komplexes Netz von privaten und staatlichen Organisationen soll dies zusammen mit zahlreichen technischen Hilfsmitteln in Israel ermöglichen. Krakover gab hier Einblicke in die Organisationsstruktur des Sicherheitsapparates seines Landes. Trotz allem haben die Kosten der Cyberangriffe in den letzten fünf Jahren um 72 Prozent zugenommen.

Neben besserer Technik und Antivirenprogrammen muss auch der Mensch seinen Beitrag leisten. Die „Cyber Security Awarness Campagne“ des Energieversorgers Innogy SE hat die „human firewall“ zum Ziel, der Mensch soll die Bedrohungen der IT verstehen und schrittweise so geschult werden, dass er ihnen aktiv entgegentreten kann. Leider versagen hier zuweilen auch Führungskräfte und geben leichtfertig ihr Passwort preis. Boris Beuster, Head of Information Security bei der Innogy SE, will das Ziel durch interaktive und interdisziplinäre Mitarbeiterschulung erreichen.

Aus der Praxis berichtete auch Dr. Tilmann Frosch, Geschäftsführer der G Data Advanced Analytics GmbH. „Der Gesamtzustand der Cybersicherheit im deutschen Mittelstand ist prekär. Es herrscht ein Mangel an Awareness und Sicherheitskompetenz in Unternehmen.“ Mit Erpressungstrojanern können die Kleinen am schlechtesten umgehen. „Große Unternehmen sterben an Komplexität, kleine Unternehmen an Ransomware“, so Frosch.

Bei einer Diskussionsrunde debattierten Katharina Geutebrück, Geschäftsführerin der Geutebrück GmbH, Kai Pervölz, Klaus Brisch, Partner der Wirtschaftskanzlei DWF, und Frank Ewald, Senior Vice President, Head of Corporate Security & Crisis Management bei der Deutsche Post DHL Group, über Chancen und Risiken der Digitalisierung für den Mittelstand. Der rigide europäische Datenschutz ist nicht immer von Vorteil, so Geutebrück, weil vieles, was technisch möglich ist, in Europa und vor allem in Deutschland nicht erlaubt sei. Solche Erfahrungen teilten auch die anderen Teilnehmer. Was in den USA, Israel und vor allem China problemlos möglich sei, wäre in Europa undenkbar, so der Ex-Präsident des BND und Moderator der Runde Gerhard Schindler. In den USA würden neuen Mitarbeiter zuweilen auch die Fingerabdrücke abgenommen. In Europa dürfe man so etwas nicht, Videoüberwachung im Betrieb sei vom Gesetzgeber eng begrenzt.

Die Experten in Bochum diskutierten auch die Folgen der noch recht neuen Meldepflicht von kritischen Vorfällen, also vor allem Cyberangriffen. „Was hat mein Unternehmen davon wenn wir etwas melden, wo ist der Rückfluss von Informationen von der Seite der Behörden?“, fragten die Praktiker. Angemahnt wurden Gespräche auf Augenhöhe mit weniger hoheitliches Gehabe. Einer der Gründe könnte sein, dass es in Deutschland kaum einen personellen Austausch zwischen freier Wirtschaft und Behörden gibt, ganz im Unterschied zu den USA. Leider war da Minister Reul bereits in seine Dienstkarosse gestiegen und eilte zum nächsten Termin.

Bernd Schöne