Signum Consulting startet in diesem Jahr mit einer Initiative zu den Themenfeldern Digitalisierung und IT-Sicherheit.
Den Auftakt macht Herr Dr. Peter Tabeling, Lead IT Architect für die gematik GmbH. Diese ist maßgeblich beteiligt an der Digitalisierung des Gesundheitswesens in Deutschland mit Produkten wie der elektronischen Gesundheitskarte oder der elektronischen Patientenakte.
Herr Dr. Tabeling war Dozent am Hasso-Plattner-Institut Potsdam und befasste sich im Folgenden in leitender Position mit der Digitalisierung von Unternehmensprozessen. Seit 2018 entwickelt er bei der gematik Systemarchitekturen für sichere e-Health-Anwendungen und begleitet deren Umsetzung. Er ist Autor und Gutachter wissenschaftlicher Fachartikel und Bücher.
Interview, Teil I:
- Herr Tabeling, befinden sich deutsche Unternehmen in puncto IT-Sicherheit in der Steinzeit / Mittelalter / Moderne / Postmoderne?
Steinzeit und Mittelalter haben wir sicherlich hinter uns. Zur IT-Sicherheit haben wir heute ein fundiertes Wissen, wie diese erreicht oder zumindest verbessert werden kann. Wir sind nicht auf „Alchemie“ angewiesen, sondern können auf anerkannte technische und organisatorische Mittel zurückgreifen. In diesem Sinne haben wir also auch die Aufklärung schon durchlaufen. Wie in vielen Bereichen gilt aber auch hier, dass das alleinige Wissen – etwa über Datenverschlüsselung – bedeutungslos ist, wenn man es nicht konsequent anwendet und stattdessen am falschen Ende spart oder gar auf das Prinzip Hoffnung setzt. Probleme der IT-Sicherheit sind meines Erachtens oft darauf zurückzuführen, dass zunächst nur auf Nutzen und Funktionen von IT-Lösungen geblickt wird und zu spät auf die IT-Sicherheit.
- Laut Bitkom Wirtschaftsstudie (05.08.2021) sind deutsche Unternehmen mehr denn je von Angriffen in Form von Diebstahl, Industriespionage oder Sabotage betroffen. Auch die Zahl der Cyberattacken nimmt stark zu. Worin sind Ihrer Meinung nach die Ursachen dieser Entwicklung begründet?
Zunächst muss man festhalten, dass gemäß dieser und anderer Studien Wirtschaftskriminalität allgemein zunimmt. Woran dies liegt, ist für mich schwer zu beurteilen. Dass hier anteilig Cyberattacken eine wachsende Bedeutung haben, dürfte dagegen einfach mit der zunehmenden Digitalisierung zusammenhängen. Wertschöpfung etwa findet verstärkt durch automatisierte Prozesse statt, sensible und geschäftskritische Informationen werden zunehmend digital statt analog verarbeitet und verwahrt. Viele Cyberattacken sind im Kern immer noch Diebstahl, Industriespionage oder Sabotage – nur dass diese in Zeiten der Digitalisierung auf anderem Wege erfolgen. Digitalisierung eröffnet leider nicht nur neue Chancen für Unternehmen, sondern auch für Kriminelle. Dessen muss man sich bewusst sein und sollte sich entsprechend schützen. Wo früher Werkschutz, hohe Zäune oder abschließbare Aktenschränke halfen, können heute z. B. Firewalls, kryptographische Verfahren wie Verschlüsselung und digitale Signaturen gegen Angriffe schützen. Dies muss ergänzt werden durch organisatorische Maßnahmen.
- Das Budget für IT-Sicherheit ist in der Pandemie gestiegen. Wie können sich Unternehmen gegen Angriffe schützen und besser aufstellen? Welche Trends sehen Sie hier, z. B. Know-how-Schutz, Prüfung von potenziellen Mitarbeitern und Freelancern, ISO27001?
Neben dem schon erwähnten Einsatz von Technik sind ergänzende organisatorische Maßnahmen sehr wichtig, denn erst durch das Gesamtpaket entsteht Sicherheit. Technische Maßnahmen allein genügen nicht, wenn z. B. Mitarbeiter nicht hinreichend sensibilisiert und mit neuen Risiken vertraut sind. Ein per se sicheres Passwort bietet wenig Schutz, wenn es auf einem unter der PC-Tastatur „versteckten“ Zettel steht. Die von Ihnen genannte Studie weist darauf hin, dass „Social Engineering“ bei Cyberattacken eine große Rolle spielt – also das Ausnutzen des „Faktors Mensch“ als das schwächste Glied der Sicherheitskette. Somit kommen ganzheitlichen Ansätzen wie der IS027001 und dem IT-Grundschutz (BSI) eine große Bedeutung zu. Der von Ihnen angesprochene Know-how-Schutz stellt hier ein typisches Ziel dar. Beispielsweise wird der Schutz vor Wirtschaftsspionage bei Auslandsreisen betrachtet und geeignete Gegenmaßnahmen werden empfohlen. Neben vielen anderen Aspekten wird dem Thema Personal tatsächlich ein eigenes Kapitel gewidmet. Hier bilden die Sicherstellung und Prüfung der Qualifikation des Personals wichtige Bausteine.
