Volles Risiko

Autor/Redakteur: Stephan Niedermeier, Gründer und Geschäftsführer der FTAPI Software GmbH/gg

Stephan Niedermeier_sw

E-Mails sind im Grunde so offen wie Postkarten: Auf ihrer Reise vom Absender zum Empfänger kann sie potenziell jeder ohne große Mühe lesen. Wer das verhindern will, muss seine E-Mails verschlüsseln – für Unternehmen eigentlich Pflicht. Schätzungen zufolge werden aber nur zehn Prozent aller geschäftlichen E-Mails verschlüsselt. Die große Mehrheit vertraulicher Nachrichten und sensibler Dokumente wird also tagtäglich ohne jeden Schutz versendet.

Aber warum tun so wenige Unternehmen etwas? Gehen sie damit doch das Risiko ein, dass nicht nur kriminelle Hacker, sondern auch die eigenen Wettbewerber ohne größeren Aufwand Zugang zu geschäftskritischen Informationen haben können.

Viele Unternehmen sehen den Zusammenhang zwischen Datendiebstahl und einer sich verschlechternden Wirtschafts- beziehungsweise Wettbewerbssituation nicht oder wollen ihn nicht sehen, frei nach dem sorglosen Motto “uns passiert sowas nicht”. Oft wird aber auch gar nicht daran gedacht, dass man schon längst Opfer von Datendiebstahl beziehungsweise Industriespionage geworden ist. Schließlich gibt es viele Gründe, warum so etwas passieren kann: zufällig hat ein Wettbewerber mehrere Projekte hintereinander besser berechnet; zufällig gibt es einen Personalwechsel und die Chemie zwischen Produkt-Manager und Ansprechpartner beim Kunden passt nicht mehr; zufällig hat ein anderer Anbieter eine ähnliche Funktionalität in seine Produkte eingebaut. Wenn sich solche “Zufälle” allerdings häufen, sollten bei den für IT-Sicherheit Verantwortlichen die Alarmglocken läuten. Aber häufig werden die Zeichen auch verdrängt und man belässt alles beim Alten – in wirtschaftlich ohnehin schon schwierigen Zeiten.

Über die Motivation dieser “Kopf-in-den-Sand-Stecken-Taktik” kann nur spekuliert werden. Einer der Hauptgründe ist sicherlich, dass Unternehmen vermeintlichen Mehraufwand scheuen. Dabei sollte Datensicherheit eine zentrale Säule jeglicher IT-Strategie sein, und damit ist nicht nur die Einrichtung einer Firewall oder die Vergabe von Zugriffsrechten, sondern eben auch die Verschlüsselung des Datentransfers gemeint. Wer diesen Aspekt ausklammert, handelt mindestens fahrlässig: jede Kette ist schließlich nur so stark wie das schwächste Glied, und unverschlüsselte E-Mails sind ein sehr schwaches Glied. Durch Cyber-Kriminalität verursachte Schäden kosten allein deutsche Unternehmen, konservativ geschätzt, Jahr für Jahr gut 50 Milliarden Euro. Der Aufwand, auch finanzieller Art, für die Einrichtung eines wirkungsvollen E-Mail-Schutzes lohnt sich auf jeden Fall.

In der Vergangenheit war beispielsweise die Ende-zu-Ende-Verschlüsselung von Nachrichten und Dateien eine sehr komplexe Angelegenheit und erforderte tiefergehende Kenntnisse. Heute gibt es Lösungen, die im Gegensatz zu PGP und S/Mime einfach zu handhaben und perfekt in bestehende Systeme integrierbar sind und sich individuell an die Bedürfnisse eines Unternehmens anpassen lassen. Wirkungsvolle Verschlüsselung kann und muss heute so einfach sein, dass sie im Grunde gar nicht auffällt. Denn nur dann wird sie auch von den Nutzern akzeptiert und verwendet.

Festzuhalten bleibt: Die Risiken beim Datenaustausch im Geschäftsleben sind bekannt. Wer dennoch vertrauliche Nachrichten und sensible Daten unverschlüsselt überträgt, spielt russisches Roulette und gefährdet den Fortbestand des Unternehmens. Dazu braucht man gute Nerven.