16.03.2015
Kriminalität im Internet

Neuer „Quick-Check“ für die Cybersicherheit von Mittelständlern

Unternehmen sehen sich verstärkt Hackerangriffen ausgesetzt. Vor allem kleine Firmen offenbaren noch große Sicherheitslücken. Eine Tochter des Gesamtverbandes der Deutschen Versicherungswirtschaft hilft mit einem Zertifizierungsverfahren dabei, diese aufzuspüren.

Wer sich mit dem Thema Brandschutz befasst, trifft unweigerlich auf die VdS Schadenverhütung GmbH (VdS). Das Prüfinstitut testet seit Jahrzehnten Anlagen und Produkte auf ihre Sicherheit, vergibt Qualitätssiegel und begutachtet die Funktionsfähigkeit komplexer Löschsysteme. Der Brandschutz bildet traditionell das Kerngeschäft der VdS.

Nun begibt sich die Prüfstelle in ein neues Geschäftsfeld, bei dem es gewissermaßen um den Brandschutz des 21. Jahrhunderts geht: Die VdS steigt in das Geschäft mit Cyber-Security ein. Auf der Computermesse CeBIT stellte sie am Montag ihr Analysetool „Quick-Check“ vor. „Der ‚Quick-Check‘ ist eine automatisierte Selbstauskunft, der Unternehmen einen ersten Überblick über ihr IT-Sicherheitsniveau gibt“, sagt VdS-Geschäftsführer Robert Reinermann. Der Online-Test mit 39 Fragen richtet sich vor allem an kleine und mittelständische Betriebe.

Doch dabei soll es nicht bleiben. Der Schnelltest dient nur als Basis für weitere Angebote. Aufbauend auf den Ergebnissen bietet die VdS künftig einen Prüfbericht („Quick-Audit“) an, der den aktuellen IT-Sicherheitsstatus eines Unternehmens dokumentiert. Zusätzlich können sich die Unternehmen zertifizieren lassen: Die VdS hat gemeinsam mit dem Projektzentrum Hannover IT ein neues Prüfverfahren für Informationssicherheit entwickelt, das mit einem Zertifikat (VdS 3473) verbunden ist. „Unser Testat bestätigt, dass ein Unternehmen vor den wichtigsten Cyber-Gefahren geschützt ist und die dafür nötigen Maßnahmen umsetzt“, sagt Reinermann. Es sorge damit für mehr Vertrauen bei Lieferanten und Kunden.

GDV-NEWSLETTER

Bleiben Sie auf dem Laufenden

Der GDV-Newsletter bietet einen aktuellen Überlick über die wichtigsten Themen der Versicherungswirtschaft – immer mittwochs in Ihrem E-Mail-Postfach.
Hier abonnieren

Mit ihrem neuen Angebot reagiert die VdS – eine Tochtergesellschaft des Gesamtverbands der Deutschen Versicherungswirtschaft (GDV) – auf die wachsende Bedeutung von IT-Sicherheit für die Wirtschaft. Denn mit der zunehmenden Vernetzung der Industrie steigt die Gefahr von Cyberattacken. Die Bedrohungen sind vielfältig: Dazu gehört der Diebstahl von Kundendaten, der Raub von Geschäftsgeheimnissen, Computerbetrug oder gar Angriffe, die zu einer langen Betriebsunterbrechung führen können. Laut einer Studie der US-Denkfabrik CSIS summiert sich der weltweite Schaden durch Cyberkriminalität auf bis zu 575 Milliarden Dollar pro Jahr.

Auch deutsche Unternehmen stehen im Fadenkreuz. Laut einer Umfrage der Wirtschaftsberatungsgesellschaft KMPG verzeichneten im vergangenen Jahr 40 Prozent der Firmen Angriffe auf ihre IT-Systeme. 2013 waren es noch 27 Prozent. Und die Attacken beschränken sich keineswegs auf Großkonzerne. „Es besteht immer noch der Fehleindruck, Großunternehmen seien aufgrund der vermeintlich größeren finanziellen Ausbeute häufiger Ziel von Cyberangriffen. Die Realität zeigt, dass kaum ein Tag vergeht, an dem nicht auch Cyberangriffe auf kleine, mittelgroße und große Unternehmen verübt werden“, sagt Jens Krickhahn von der Allianz.

Gerade der Mittelstand weist aber noch erhebliche Sicherheitslücken auf. Obwohl das Bewusstsein für die Gefahren durch Cyberkriminalität wächst, schützen die Firmen ihre IT-Systeme nur unzureichend. Laut dem Sicherheitsmonitor 2014, der auf einer Umfrage unter 1500 kleinen und mittelständischen Unternehmen beruht, gibt es gerade einmal in einem Drittel der Firmen ein ganzheitliches IT-Sicherheitskonzept, das auch von der Geschäftsleitung getragen wird. Gemessen an der zunehmenden Digitalisierung attestiert der Bericht sogar einen Rückgang des Schutzniveaus im Vergleich zu den Vorjahren. Eine große Schwachstelle ist beispielsweise die schlecht geschützte E-Mail-Kommunikation.

Laut Reinermann gibt es bislang noch keine praxistauglichen Sicherheitsstandards, an denen sich kleine und mittlere Unternehmen festhalten können. Die bestehenden Zertifizierungen für IT-Sicherheit richteten sich vor allem an Behörden und Großkonzerne. „Von den kleinen und mittelständischen Unternehmen sind diese Anforderungen meist nicht zu erfüllen“, sagt Reinermann. Denn sie verfügten nicht über die personellen und finanziellen Möglichkeiten.

Die Sicherheitslücken bei mittelständischen Unternehmen machen es auch den Versicherern schwer, passende Produkte zum Schutz vor Cyberkriminalität anzubieten. Dazu müssen sie die Risiken des jeweiligen Betriebes sicher abschätzen können, was bislang – wenn überhaupt – nur mit großem Aufwand möglich ist. Abhilfe schaffen könnte ein etabliertes Schutzkonzept, das ein gewisses Sicherheitsniveau belegt – ähnlich den Brandschutzbestimmungen für Gebäude. Darin sieht auch VdS-Chef Reinermann einen weiteren Vorteil seines neuen Zertifikats: „Damit bieten wir eine Möglichkeit an, Risiken zu bewerten. Und das könnte die Basis für individuellen Versicherungsschutz sein.“

Noch sind die Arbeiten am Zertifizierungsverfahren nicht abgeschlossen. Nach der CeBIT startet die VdS zunächst ein vierwöchiges Konsultationsverfahren, um anderen die Gelegenheit zu geben, die Prüfrichtlinien zu kommentieren. Bis zu den ersten Zertifizierungen werden nach Einschätzung von Reinermann noch fünf bis sechs Monate vergehen. Danach muss sich zeigen, ob das neue Prüfsiegel vom Markt angenommen wird. Und die VdS das Renommee erlangt, das sie anstrebt: ein Brandschützer im 21. Jahrhundert.

Text: Karsten Röbisch

Mehr zum Thema:
>> Cebit 2015: Versicherungswirtschaft setzt zur Cebit neue Maßstäbe
>> GDV-Pressemitteilung: Versicherungscloud nach internationalen Sicherheitsstandards zertifiziert