Städteregion: Datensicherheit in der Region lässt zu wünschen übrig

Städteregion: Datensicherheit in der Region lässt zu wünschen übrig

100-prozentige Sicherheit gibt es nicht — schon gar nicht im Internet. Die Misere beim Datenschutz ist mit der NSA-Affäre Mitte 2013 wieder einmal ins Zentrum der Aufmerksamkeit gerückt. In der Städteregion Aachen als IT-Hochburg ist das Thema immer aktuell — sollte man meinen. Tatsächlich sieht die Realität in vielen Fällen aber völlig anders aus.

Die Statistik der hiesigen Industrie- und Handelskammer spricht eine unmissverständliche Sprache: In der Region stehen 9300 Beschäftigte in der Informations- und Telekommunikations-Branche in Lohn und Brot.

Damit zählt der Sektor hier zu den stärksten Wirtschaftszweigen. 2,5 Prozent beträgt ihr Anteil an den sozialversicherungspflichtig Beschäftigten im Kammerbezirk Aachen, zu dem beispielsweise auch der Kreis Düren zählt, — leicht über dem Landesdurchschnitt von 2,47 Prozent.

Die Städteregion Aachen übertrifft diese Werte mit 5,4 Prozent locker. Damit zeige sich „zum einen die starke Konzentration und zum anderen die Bedeutung des Informations- und Telekommunikationssektors für die Region“, heißt es im Branchenprofil der IHK.

Hoher Schutz ist hoher Aufwand

Davon ist die Absicherung gegen Datenspionage aber nicht abhängig. Die ist in der Region nicht ausreichend. Dr. Oliver Grün, Vorsitzender des Bundesverbands des IT-Mittelstands in Deutschland mit Sitz in Aachen: „Die IT-Sicherheit ist in Deutschland generell, auch in der Städteregion, verbesserungswürdig.”

Beispielhaft zeigte sich das im „Projekt Pentesting“ der Fachhochschule Aachen. Zwei Studententeams prüften jeweils zwei bis drei kleine und mittelständische Unternehmen im Hinblick auf die Sicherheit ihrer Daten. Ergebnis: „Häufig haben die Unternehmen keine konkrete Vorstellung, welchen Schutzbedarf ihre Daten haben.

Klar ist, je höher der Schutzbedarf, desto höher ist der notwendige Aufwand“, erklärt Hans Höfken, Leiter der Rechenzentrale des Fachbereichs Elektrotechnik und Informationstechnik der Fachhochschule. Der Schutzbedarf müsse gut eingeschätzt werden. Testdetails verrät Höfken nicht, die sind geheim. Erkennbar aber war: Nicht alle Unternehmer wussten die Bedeutung des Themas richtig einzuschätzen.

Sogar die Ansicht, bisher sei nichts geschehen und an den gespeicherten Daten habe ohnehin niemand Interesse, war vertreten. Das aber ist ein Irrglaube.

Persönliche Daten nutzen so gut wie immer auch irgendjemand anderem, wenn an sie heranzukommen ist. Und jeder ist betroffen. Die Daten des Mandanten beim Anwalt, digitalisierte Patientenakten des Hausarztes, Produktpläne einer Firma — ganz zu schweigen von scheinbar banalen Datensätzen wie privaten Anschriften — für die meisten Informationen gibt es einen Markt.

Von virtuellen Angriffen betroffen sind meist nicht die großen Unternehmen. Oliver Grün: „80 Prozent aller Angriffe zielen auf kleine und mittelständische Firmen, weil Großunternehmen in der Regel die Ressourcen haben, sich gegen die Bedrohung zu schützen.“

Grün mahnt, dass sich der Anwalt in der Kanzlei, der Arzt in der Gemeinschaftspraxis und der Unternehmensvorstand um die Sicherheit der Daten kümmern müssen: „IT-Sicherheit ist nichts für die IT-Abteilung allein, sondern muss Chefsache sein.“ Ein Punkt, den die Unternehmensführung oft nicht auf dem Schirm habe.

Die Krux: Das eine, richtige Konzept zur IT-Sicherheit in Unternehmen gibt es nicht. Jedes System hat spezielle Anforderungen, die individuell abgesichert werden müssen. Das ist auch der Grund, warum es Unternehmern je nach Schutzbedarf wenig bis gar nichts nutzt, sich an Maßnahmen anderer Firmen zu orientieren.

Problem erkannt, nicht gebannt

Eine breite Basis potenziell bedrohter Unternehmen, viele betroffene Nutzer und trotzdem ist der Datenschutz im Schnitt auf einem, diplomatisch ausgedrückt, ausbaufähigen Niveau. Muss man also die Hoffnung fahren lassen, dass Unternehmen sich um den Schutz von Daten bemühen und Datenschutz, auch im privaten Rahmen, gelingt? Die Antwort lautet Ja und Nein.

Nutzer werden sich auf die Lage einstellen müssen, nicht umgekehrt — so sieht Oliver Grün die Zukunft: „Es wird nicht so sein, dass wir in ein paar Jahren ein wirksames, weltweites Datenschutzabkommen haben, sondern man wird sich darauf einstellen, sich abgesichert in einem ungeschützten Internet zu bewegen.“ Eine Erkenntnis, die mit der NSA-Affäre in vielen Köpfen reife.

Das „Projekt Pentesting“, durchgeführt vor Bekanntwerden der NSA-Machenschaften, hat gezeigt, dass auch Unternehmen sich in steigendem Maße mit der Datensicherheit befassen. „Gemeldet haben sich über 20 Firmen aus Aachen und Umgebung“, sagt Hans Höfken. Mehr, als bei dem Test berücksichtigt werden konnten. Alleine die Zahl der Interessenten verdeutliche, dass die IT-Sicherheit bei den Firmen angekommen sei.

Außerdem: „Seit der Affäre haben wir einen deutlichen Anstieg von Anfragen bezüglich Seminaren und Schulungen über Email-Sicherheit festgestellt. Hier liegen Steuerberater und Anwälte, die sehr vertrauliche Informationen mit ihren Mandanten austauschen, weit vorne.“

Lösungen sind verfügbar

Mit dem Aufwand, Daten adäquat zu schützen, steigen auch die Kosten, merkt Höfken an. In Unternehmen ein wichtiger Punkt. Unabhängig von der Kostenseite kann aber jedes Unternehmen etwas tun, denn „häufig können schon einige Änderungen, die nicht unbedingt immer teuer sein müssen, die Sicherheit deutlich steigern.“

Als Beispiel nennt er die Verschlüsselung im Datenverkehr. „Kein verantwortungsvoller Firmenchef würde wichtige Geschäftsdaten per Postkarte versenden. Bei Emails scheint das aber immer noch völlig normal zu sein.“ Wichtig sei, so der Fachmann, dass IT-Sicherheit von den Mitarbeitern in ihr tägliches Arbeitsleben übernommen werde. Dazu gehören Schulungen.

IT-Sicherheit dürfe nicht als Projekt, das einmal durchgeführt und dann beendet ist, aufgefasst werden, sondern als Prozess, der kontinuierlich verbessert und auf den Prüfstand gestellt wird. Oliver Grün weist darauf hin, die Daten auf Servern in Deutschland zu speichern. Nur dann greife das deutsche Grundgesetz und Datenschutzrecht.

Ralf Koenzen ist Geschäftsführer von Lancom, einer Firma aus Würselen, die vor allem Router herstellt, auch Geräte, die höchsten Sicherheitsstandards genügen. Er ist der Ansicht, dass sich Unternehmen in der Region wie im Rest der Republik unzureichend gegen Eindringlinge aus dem Internet absichern.

„Das ist auch kein Wunder“, sagt er, „weil sich das Gefühl für die Bedeutung erst einmal entwickeln muss. Bisher war es so, dass viele gesagt haben ‚es könnte sein, theoretisch, aber so genau weiß man es ja nicht‘. Wenn man gesagt hat ‚Mensch, im ganzen Internet wird permanent gesucht und eingebrochen‘, dann hieß es, man übertreibe.“

Jetzt werde klarer: So unbegründet waren die Befürchtungen nicht. Nun setze langsam ein gewisses Umdenken ein. Das Unternehmen selbst schützt sich und seine Produkte gegen Angriffe übers Netz, indem beispielsweise die Menge der Software, die auf den Firmen-Computern läuft, in Grenzen gehalten wird.

Die Systeme in der Entwicklung sind physikalisch getrennt — es gibt PCs, mit denen die Mitarbeiter ins Internet können und Rechner, die keinen Anschluss ans Netz haben. Hardware-Produktion und „Projekt Pentesting“ der Fachhochschule machen beispielhaft deutlich, dass sich die Branche in der Städteregion Aachen dem Thema Datenschutz widmet.

Runder Tisch „IT-Strategie“

Oliver Grün vom Bundesverband des IT-Mittelstands fordert die Unternehmen und die Forschung aber auf, noch aktiver zu werden und neue Chancen zu nutzen. Eine Riesenlücke, Produkte und Projekte zum Thema praxistaugliche Datensicherheit zu entwickeln, habe sich aufgetan.

Bis zu diesem Zeitpunkt sei die nicht wirklich besetzt. Für die Städteregion Aachen, die Konzentration an Know-how mit Unternehmen und Hochschulen, sieht er das Potenzial, diese Lücke zu besetzen. Schließlich habe das Silicon Valley „bewiesen, dass räumliche Nähe erhebliche Innovationen freisetzt“.

Grün hält einen städteregionalen Runden Tisch für sinnvoll, um eine IT-Strategie für die Region zu entwickeln. So, wie es auch die Bundesregierung für Deutschland tut. Teilnehmer könnten in diesem Fall die Hochschulen, Städte und die IHK sein.

Und der Nutzer? Mit Blick auf die Zukunft bleibt er zwischen Hoffen und Bangen, zwischen Abhängigkeiten und Selbstverantwortung haften. Abhängig von Unternehmen in vielfacher Hinsicht muss er darauf hoffen, dass Datensicherheit in den Firmen künftig eine größere Rolle spielt. Aber auch der Otto-Normal-User selbst wird nicht umhin kommen, sich selbst mit dem Thema zu beschäftigen, wenn er sich im Netz bewegt.

Mehr von Aachener Zeitung