Sicherer Daten austausch - Themenheft Mittelstand-Digital
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Sicherer Datenaustausch
Themenheft Mittelstand-Digital
bmwi.de
Impressum Herausgeber Bundesministerium für Wirtschaft und Energie (BMWi) Öffentlichkeitsarbeit 11019 Berlin www.bmwi.de Stand April 2021 Druck Druck- und Verlagshaus Zarbock GmbH & Co. KG, 60386 Frankfurt Gestaltung PRpetuum GmbH, 80801 München Bildnachweis AdobeStock NicoElNino / Titel pressmaster / S. 13 DsiN / S. 29 Mittelstand 4.0-Kompetenzzentrum Siegen / S. 15 SICP | Universität Paderborn / S. 36 Zentraler Bestellservice für Publikationen der Bundesregierung: E-Mail: publikationen@bundesregierung.de Telefon: 030 182722721 Bestellfax: 030 18102722721 Diese Publikation wird vom Bundesministerium für Wirtschaft und Energie im Rahmen der Öffentlichkeitsarbeit herausgegeben. Die Publikation wird kostenlos abgegeben und ist nicht zum Verkauf bestimmt. Sie darf weder von Parteien noch von Wahlwerbern oder Wahlhelfern während eines Wahl- kampfes zum Zwecke der Wahlwerbung verwendet werden. Dies gilt für Bundestags-, Landtags- und Kommunalwahlen sowie für Wahlen zum Europäischen Parlament.
1
Inhalt
Editorial
........................................................................................................................................................................................................................................................................................................................................................... 2
Ohne sicheren Datenaustausch keine erfolgreiche Digitalisierung ......................................................................... 4
Sichere Kommunikation dank umfassender Verschlüsselung .................................................................................................. 8
Kooperation ohne Schwachstellen ........................................................................................................................................................................................................................ 12
Kleine Schritte für mehr Sicherheit ..................................................................................................................................................................................................................... 15
Geteilte Kapazitäten mit doppeltem Nutzen – aber sicher! .................................................................................................... 18
Digitale Einlasskontrolle sorgt für Sicherheit ....................................................................................................................................................................... 21
Mittelstand-Digital unterstützt regional und thematisch .............................................................................................................. 24
„Wir wollen ermuntern, den ersten Schritt zu tun“ ........................................................................................................................................ 28
Datenaustausch auf Augenhöhe ................................................................................................................................................................................................................................... 31
Der Faktor Mensch ................................................................................................................................................................................................................................................................................................. 35
2 T H E M E N H E F T „ S I C H E R E R DAT E N AU S TAU S C H “
Editorial
Liebe Leserinnen und Leser,
seit Monaten kommunizieren Menschen weltweit Mehr digitale Prozesse bedeuten leider auch
mehr denn je digital, teilen Geschäftsunterlagen Sicherheitsrisiken. Umso wichtiger ist es, durch
über E-Mail oder Video-Calls und arbeiten online einen sicheren Austausch von sensiblen Geschäfts-
gemeinsam an Projekten. Der Austausch vertrau daten die Einfallstore etwa für Hacking-Angriffe
licher Daten in Unternehmen und mit anderen zu verringern. Schon kleine Maßnahmen, wie die
Firmen stellt eine nicht zu unterschätzende Her- konsequente Verschlüsselung von E-Mails oder die
ausforderung dar. Dabei ist es besonders wichtig, Datenübertragung mit einer Datenschleuse, können
neben dem in der Krise oftmals nötigen Pragmatis- hier den Unterschied machen. Gestaltet sich der
mus die Datensicherheit nicht aus den Augen zu Datenaustausch aufgrund einer Vielzahl an betei-
verlieren. Denn der Dauerzustand Homeoffice ligten Parteien komplexer, eignet sich etwa die
wirft auch für Unternehmen mit guter digitaler Blockchain-Technologie.
Infrastruktur neue Fragen der Datensicherheit auf.
Damit die digitale Transformation des deutschen Neben der Einführung technischer Sicherheits-
Mittelstands auf sicheren Beinen steht, müssen maßnahmen ist die Sensibilisierung der eigenen
sich Unternehmerinnen und Unternehmer mit der Mitarbeiterinnen und Mitarbeiter elementar, um
Datensicherheit im eigenen Betrieb befassen. Denn den sicheren Datenaustausch zu gewährleisten.
das Thema ist wichtiger denn je: Dazu gehört auch die Frage nach den Verantwort-
lichkeiten, die sich alle Unternehmen – egal welcher
Größe – stellen sollten.
T H E M E N H E F T „ S I C H E R E R D AT E N AU S TAU S C H “ 3
In diesem Heft finden Sie Anregungen, Informa Wo es welche Angebote gibt, finden Sie ab Seite 24.
tionen und ermutigende Beispiele, wie kleine und Wir wünschen Ihnen eine spannende Lektüre!
mittlere Unternehmen oft schon mit wenigen Maß
nahmen für mehr Datensicherheit sorgen können. Bleiben Sie gesund,
Ihr Bundesministerium für Wirtschaft und Energie
Mit Mittelstand-Digital stärkt das Bundesminis
terium für Wirtschaft und Energie kleine und mitt-
lere Unternehmen dabei, die digitale Zukunft in
Angriff zu nehmen, nachhaltige Konzepte und
sichere Lösungen zu entwickeln und die damit
einhergehenden Chancen für sich zu nutzen.
Die regionalen und thematischen Mittelstand 4.0-
Kompetenzzentren unterstützen mittelständische
Unternehmen dabei, die richtigen Maßnahmen zu
identifizieren, damit der Datenaustausch sicher
gelingt.
4 T H E M E N H E F T „ S I C H E R E R DAT E N AU S TAU S C H “
Ohne sicheren Datenaustausch keine
erfolgreiche Digitalisierung
Erhebliche Datenmengen werden durch die Digita- Sicherheitslücken frühzeitig erkennen und
lisierung bei Unternehmen generiert, gespeichert schließen
und zur Analyse sowie Optimierung bestehender
Prozesse genutzt. Das volle wirtschaftliche Poten- In dieser vernetzten Welt stellt die Sicherheit beim
zial der Daten wird aber erst dann ausgeschöpft, Datenaustausch eine der größten Herausforderun-
wenn diese zwischen verschiedenen Endgeräten, gen für Unternehmen dar. Jedoch trifft etwa die
Mitarbeitenden, Firmen und Behörden sicher aus- Hälfte der deutschen Unternehmen keine Sicher-
getauscht werden können. Heute ist eine Welt ohne heitsvorkehrungen für den Versand von Nachrich-
E-Mails, Cloud-Speicher, Videokonferenzen oder ten (48 Prozent) und nur 22 Prozent der Unter
den Transfer elektronischer Dokumente und Rech- nehmen achten auf verschlüsselte E-Mails. Nur
nungen nur schwer vorstellbar. Die Menge an aus- 19 Prozent verwenden einen Passwortschutz für
getauschten, häufig hochsensiblen Daten steigt die Übertragung von Daten.2
exponentiell.1 Die Gewährleistung eines sicheren
Datenaustauschs intern, zwischen Standorten und Mit dem Beginn der Corona-Pandemie und der
mit anderen Unternehmen ist demnach eine Vor- damit verbundenen Verlagerung der Arbeit ins
aussetzung für die erfolgreiche Digitalisierung. Homeoffice rückt auch für viele kleine und mittlere
Unternehmen das Thema sicherer Datenaustausch
in den Fokus. IT-Sicherheit ist nun nicht nur im
Büro, sondern auch im privaten Arbeitszimmer und
am Küchentisch der Mitarbeiterinnen und Mitar-
beiter erforderlich. Dabei können die veränderten
Arbeitsmethoden und Prozesse zu Unklarheiten
im sicheren Umgang mit Unternehmensdaten,
1 Siehe u. a. Bundesnetzagentur, Jahresbericht 2019, S. 52 und S. 59
2 DsiN-Praxisreport Mittelstand 2020, S. 27
T H E M E N H E F T „ S I C H E R E R D AT E N AU S TAU S C H “ 5
mangelnden Abstimmungen und Intransparenz Ein sicherer Datenaustausch ist für jedes
führen. Zudem haben Cyberkriminelle die Corona- Unternehmen möglich
Pandemie als Chance für sich entdeckt: Laut einer
Umfrage des Antiviren-Spezialisten Bitdefender Mit den richtigen Maßnahmen können Unterneh-
bestätigen 80 Prozent der über 500 befragten IT- men jeder Größe einen sicheren Datenaustausch
Sicherheitsfachleuten aus Deutschland, dass in der gewährleisten. Wichtig ist dabei, dass Verantwort
Krise die Attacken durch Trojaner oder Phishing liche nicht nur die technischen, sondern auch die
zugenommen haben.3 organisatorischen Maßnahmen im Blick haben.
Obwohl die Gefahr mit zunehmender Digitalisie- Durch die Verlagerung der nahezu gesamten privaten
rung der Geschäftsprozesse steigt, reagiert noch und geschäftlichen Kommunikation in den digita-
immer über ein Drittel der Unternehmen (35 Pro- len Raum gewinnen zahlreiche Fragen rund um die
zent) erst im Falle eines Angriffs mit der Definition IT-Sicherheit in Unternehmen an Gewicht: Wie kön-
und Umsetzung geeigneter Schutzmaßnahmen. nen IT-Sicherheitsanalysen durchgeführt werden
Immerhin geben 43 Prozent der befragten Unter- und was muss dabei beachtet werden? Wie können
nehmen ihren Mitarbeiterinnen und Mitarbeitern Daten zwischen Unternehmen sicher ausgetauscht
präventiv konkrete Handlungsanweisungen, zehn werden? Können dabei neue Technologien wie Block-
Prozent trainieren ihre Angestellten regelmäßig für chain helfen? Wie werden Mails sicher verschlüsselt?
den Ernstfall und zwölf Prozent der Unternehmen
verfügen über spezielle Notfallpläne, die sie konti- Kleine und mittlere Unternehmen in Deutschland
nuierlich überprüfen.4 stehen bei diesen Fragestellungen nicht allein da:
Die vom Bundesministerium für Wirtschaft und
Energie geförderten Mittelstand 4.0-Kompetenz-
zentren und die Transferstelle IT-Sicherheit im
Mittelstand unterstützen bei allen Fragen rund um
die Digitalisierung und das Thema IT-Sicherheit.
So gelingt auch in mitunter turbulenten Zeiten
eine sichere Kommunikation.
3 https://veranstaltungen.handelsblatt.com/cybersecurity/angriff-auf-das-homeoffice-kmu-im-fokus, abgerufen am 04.02.2021
4 DsiN-Praxisreport Mittelstand 2020, S. 296 T H E M E N H E F T „ S I C H E R E R DAT E N AU S TAU S C H “
64 83
PROZENT PROZENT
54
PROZENT
der kleinen KMU der großen KMU
finden IT-Sicherheit sehr wichtig. DATENSICHERHEIT:
zentrale
56
Herausforderung
PROZENT für KMU
der deutschen Entschei-
derinnen und Entscheider
sehen im Datenschutz eine
ZAHLEN
große Herausforderung.
61
der mittelständischen Unter-
nehmen schätzen Bedeutung
UND
von Cybersicherheit aktuell als
(sehr) hoch ein.
PROZENT
der mittelständischen Unternehmen
FAKTEN
sehen fehlendes Sicherheits-
50
bewusstsein der Mitarbeitenden
als größte Herausforderung bei
der Abwehr von Cyberrisiken.
16
FAKTOR MENSCH: In
PROZENT
Sensibilisierung PROZENT
ist elementar der Betriebe unter 10 Mitarbeitenden
kümmert sich die Geschäftsleitung
selbst um IT-Fragen.
der KMU bieten ein verpflichtendes
Sicherheitsschulungsprogramm an.
Quellen: WIK (2017) – „Aktuelle Lage der IT-Sicherheit in KMU“/Deloitte Private (2020) – „Cyber Security im Mittelstand“/Cisco (2020) – „Future of Secure Remote Work“/
DsiN-Praxisreport 2020 „Mittelstand@IT-Sicherheit“T H E M E N H E F T „ S I C H E R E R D AT E N AU S TAU S C H “ 7
01
111011
101001010110
64 01
0 11 01
11
1
01
011
00
100 010
01
0
PROZENT
01
00101 1 0
000111100110
01
100
PROZENT
1011110111010
00111100110
der KMU versenden ihre
der deutschen Entscheiderinnen und Daten ausschließlich über
Entscheider sehen den sicheren Austauschplattformen.
Fernzugriff auf Unternehmensdaten
19
100
01010
als größte Herausforderung an.
00
PROZENT
0
00
1101110100 11
01
1011 00
110
0100 111
1100001010001
01
0 0
01
011110011
der KMU schützen übertragene
Daten mit einem Passwort.
100
48
010
56
0 0
0
11
DATENAUSTAUSCH:
sichere 0111 1010
0 00010100 10 0
Übertragungswege 01111001
PROZENT
10
0
1 0 1 1 1 01 0 01 01
der KMU sichern übertragene PROZENT
Daten in Anhängen nicht ab. der Arbeitnehmenden
82
verzichten auf eine
22
PROZENT
111
Verschlüsselung
10
11000010
PROZENT
ihrer E-Mails.
00
100
01
01
1 00
11 1 01
00
10 01
11
01 111
00 000
0100 01 1 1 0 0 0 01 01
der Unternehmen sehen
ein (sehr) großes Potenzial der KMU verschlüsseln E-Mails
in Blockchain zum mit Anhängen oder nutzen
Datenaustausch. eine elektronische Signatur.
Quellen: Cisco (2020) – „Future of Secure Remote Work“/DsiN-Praxisreport 2020 „Mittelstand@IT-Sicherheit“/REDDOXX „Studie E-Mail 2020. Status der E-Mail in Deutschland“/
bitkom (2019) „Blockchain in Deutschland – Einsatz, Potenziale, Herausforderungen“8 T H E M E N H E F T „ S I C H E R E R DAT E N AU S TAU S C H “
Sichere Kommunikation dank
umfassender Verschlüsselung
E-Mails sind oft das Mittel der Wahl, wenn es um Geschäftskommunikation geht. Sind die Nach-
richten nicht umfassend geschützt, entstehen Sicherheitsrisiken. Das Mittelstand 4.0-Kompetenz-
zentrum Magdeburg gibt Tipps, wie E-Mail-Kommunikation sicher gelingt.
Neben dem Telefon sind E-Mails der am häufigsten Der Weg einer E-Mail
genutzte Kommunikationskanal zwischen Unter-
nehmen, ihren Geschäftspartnern und Kunden. „Um E-Mails zu schützen, gibt es vor allem zwei
Aus einer Studie des Bitkom geht hervor, dass drei Wege der Verschlüsselung: Die Transportverschlüs-
von zehn Berufstätigen bereits 2018 mehr als 30 selung und die Inhaltsverschlüsselung“, erklärt
dienstliche E-Mails pro Tag erhielten. Sebastian Nielebock, Experte für den Bereich Safety
& Security beim Mittelstand 4.0-Kompetenzzentrum
Vor allem geschäftliche E-Mails enthalten oft eine Magdeburg. Um zu verstehen, wo beide Verschlüs-
Vielzahl sensibler und schützenswerter Informati- selungsvarianten ansetzen, ist es wichtig, den Weg
onen. Dabei müssen gesetzliche Datenschutzvorga- einer E-Mail vom Sender zum Empfänger nachzu-
ben erfüllt werden. Damit E-Mails nicht zum Ein- vollziehen.
fallstor für Viren oder andere Malware und damit
zum Sicherheitsrisiko werden, muss die Kommuni-
kation via E-Mail geschützt werden. Mit einfachen E-Mail E-Mail
Provider A Provider B
Mitteln kann festgestellt werden, welche Verschlüs- Sendende Empfangende
selungsmöglichkeiten bereits genutzt werden und Person Person
wo noch Nachholbedarf besteht.
Angreifende Person
Der Weg einer unverschlüsselten E-MailT H E M E N H E F T „ S I C H E R E R D AT E N A U S TAU S C H “ 9
Nach dem Klick auf den „Senden“-Button prüft das Unterwegs geschützt: Die Transport
Mailprogramm (E-Mail-Client) des Absenders im verschlüsselung
Hintergrund verschiedene Parameter und leitet sie
an den Mailserver des eigenen E-Mail-Providers Bei der Transportverschlüsselung werden die in der
weiter. Dieser Mailserver ist ein Programm für E-Mail übertragenen Daten auf den einzelnen
Empfang, Speicherung, Verarbeitung und Weiter- Übermittlungsabschnitten, also der Kommunika-
leitung von E-Mails. Der Mailserver überprüft im tion des E-Mail-Clients mit dem Server oder beim
nächsten Schritt, ob die Zieladresse korrekt ist, die Austausch zwischen den verschiedenen Servern,
Größe der Mail den Richtlinien entspricht und ob verschlüsselt. Damit sind sie für Dritte nicht ein-
Spam, Viren oder sonstige Malware enthalten sind. sehbar.
Ist dies nicht der Fall, speichert der eigene Mailser-
ver die Mail und sucht den Mailserver des Empfan-
E-Mail E-Mail
genden. Ist dieser gefunden, wird die Mail in meh- Provider A Provider B
rere kleine Datenpakete unterteilt und Stück für Sendende Empfangende
Person Person
Stück an den Mailserver der Zieladresse weiterge-
leitet. Dieser Mailserver prüft nun seinerseits die Die Transportverschlüsselung
Mail auf Größe, Spam und Viren. Zeigt die Nach-
richt keine besonderen Auffälligkeiten, speichert
der Mailserver des Empfangenden die Mail. Ist die „Die meisten E-Mail-Provider bieten die Transport-
Mail nun verfügbar, wird die Empfängerin oder verschlüsselung kostenlos an, meist ist sie sogar
der Empfänger benachrichtigt und die Mail in das automatisch integriert“, sagt Nielebock. Ob E-Mail-
Mailprogramm heruntergeladen. Programme diese Verschlüsselung bereits nutzen,
erkennt man daran, dass als Verbindungssicherheit
Das Problem: Wenn die E-Mail nicht verschlüsselt TLS (für Transport Layer Security) oder SSL (für
ist, haben potenzielle Angreiferinnen oder Angrei- Secure Sockets Layer) eingestellt ist.
fer an unterschiedlichen Punkten die Möglichkeit,
auf die Daten der E-Mail zuzugreifen, sie zu lesen,
zu verändern oder ganz zu löschen. Deshalb wird
in der Regel auf zwei Arten der Verschlüsselung
von E-Mail-Kommunikation zurückgegriffen.10 T H E M E N H E F T „ S I C H E R E R D AT E N A U S TAU S C H “
Alle Inhalte, immer geschützt: Die Inhalts PGP, von nahezu allen E-Mail-Programmen und
verschlüsselung auch auf Smartphones standardmäßig unterstützt.
Die Transportverschlüsselung ist bereits ein erster,
wichtiger Schritt beim sicheren Datenaustausch. Echtheit bestätigen durch digitale Signatur
Da die Daten bei dieser Art der Verschlüsselung
allerdings auf den jeweiligen Servern von Senden- Eine weitere Möglichkeit, sowohl den Inhalt einer
den und Empfangenden weiterhin unverschlüsselt Mail vor Manipulation zu schützen als auch ihrer
vorliegen, sollte zusätzlich ein weiteres Verschlüs- Absenderin oder ihren Absender zu verifizieren,
selungsverfahren eingesetzt werden: die Inhalts- ist das Verfahren der digitalen Signatur. Dadurch
verschlüsselung. können beispielsweise digital nicht-signierte
Phishingmails, bei denen Betrügende im Namen
von Unternehmen E-Mails versenden, um an Zah-
E-Mail E-Mail
Provider A Provider B lungsinformationen oder andere sensible Daten
Sendende Empfangende der Empfängerinnen und Empfänger zu gelangen,
Person Person
von Userinnen und Usern besser als Betrug identi-
Die Inhaltsverschlüsselung fiziert werden.
Bei der Inhaltsverschlüsselung, oft auch als Ende- Aus technischer Sicht basiert die elektronische Sig-
zu-Ende-Verschlüsselung bezeichnet, werden die natur von E-Mails auf dem Prinzip der asymmetri-
Inhalte der Nachricht bereits beim Sendenden schen Verschlüsselung. Der digitale Absendende
umfassend verschlüsselt und erst durch das Pro- besitzt dabei sowohl einen privaten als auch einen
gramm des Empfangenden wieder in Klartext öffentlichen Schlüssel. Beim Versand einer Mail
übersetzt. Damit ist der Zugriff von unbefugten erzeugt das Mailprogramm des Absendenden auto-
Dritten nahezu unmöglich. Gängige Verfahren der matisch eine so genannte Prüfsumme des Mailin-
Inhaltsverschlüsselung sind PGP (Pretty Good Pri- haltes. Diese Prüfsumme wird mit dem privaten
vacy) und S/MIME (Secure/Multipurpose Internet Schlüssel verschlüsselt und automatisch an die
Mail Extensions). S/MIME wird, im Gegensatz zu Mail angehängt.T H E M E N H E F T „ S I C H E R E R D AT E N AU S TAU S C H “ 11
Der oder die digitale Empfangende ist im Besitz Bereits vermeintlich einfache Handgriffe wie die
eines öffentlichen Schlüssels (entweder weil dieser Wahl eines starken und komplexen Passwortes für
vom Absendenden mitgesandt wurde oder weil er den Zugriff auf das E-Mail-Konto oder die Wah-
oder sie den Schlüssel aus einem öffentlichen Ver- rung des Datenschutzes bei ausgedruckten Mails
zeichnis bezieht). Mithilfe dieses Schlüssels wird machen einen bedeutsamen Unterschied.
die Prüfsumme der erhaltenen Mail entschlüsselt
und anschließend erneut berechnet. Stimmen die Ob und welche dieser Verschlüsselungsarten
Ergebnisse überein, ist sicher, dass die Mail echt ist bereits vom beauftragten E-Mail-Provider einge-
und nicht manipuliert wurde. setzt werden, können KMU durch einen Blick in
die Einstellungen ihres E-Mail-Kontos herausfin-
den. Bei Unsicherheiten kann auch eine direkte
Umfassender Schutz braucht verschiedene Nachfrage beim gewählten IT-Dienstleister weiter-
Werkzeuge helfen.
Um sensible Daten umfassend zu schützen, gibt es Das Mittelstand 4.0-Kompetenzzentrum Magde-
viele unterschiedliche Werkzeuge. Hier lohnt sich burg unterstützt gerne bei weiteren Fragen zum
eine Prüfung, welche Tools bereits eingesetzt wer- Thema E-Mail-Verschlüsselung.
den und wo noch Nachholbedarf besteht. Klar ist
aber, dass zum optimalen Schutz auch der eigene
Umgang mit E-Mails hinterfragt werden sollte.
Kontaktinformationen zum Zentrum
Magdeburg12 T H E M E N H E F T „ S I C H E R E R DAT E N AU S TAU S C H “
Kooperation ohne Schwachstellen
Das Mittelstand 4.0-Kompetenzzentrum IT-Wirtschaft entwickelt Werkzeuge zur Selbst
befähigung und zur Erhöhung der Security Awareness.
Für eine sichere und vertrauensvolle Zusammenarbeit zwischen IT-Unternehmen braucht es
klare Regeln und passende Werkzeuge. Das Mittelstand 4.0-Kompetenzzentrum IT-Wirtschaft
zeigt, welche Schwachstellen es gibt, und hilft bei Lösungen.
IT-Sicherheit im Allgemeinen und der sichere Aus- Klare Konzepte von Anfang an
tausch von Daten im Besonderen sollten als ein
wichtiger Grundpfeiler für eine erfolgreiche Unter- „Sicherer Datenaustausch fängt mit rechtlichen
nehmensführung verstanden werden, um Unter- und organisatorischen Regelungen und einer Eini-
nehmenswerte zu schützen. Werden keine umfas- gung auf einheitliche Sicherheitsstandards aller
senden Sicherheitsmaßnahmen ergriffen, geraten beteiligten Akteure an. Das ist für die gute Zusam-
Unternehmen schnell in Schwierigkeiten. Deshalb menarbeit unverzichtbar“, sagt Prof. Dr. Andreas
lohnt es sich, genau hinzuschauen und gegebenen- Johannsen vom Mittelstand 4.0-Kompetenzzent-
falls Fachleute zur Unterstützung hinzuzuziehen – rum IT-Wirtschaft, der Experte für das Thema
so wie das Mittelstand 4.0-Kompetenzzentrum IT- IT-Schnittstellen und Datensicherheit ist.
Wirtschaft. Für das Kompetenzzentrum sind der
sichere Austausch und die Arbeit mit Daten über Bei der Bildung der Konsortien zwischen den mittel
Unternehmensgrenzen hinweg eines der Kernthe- ständischen Unternehmen kennen sich die Akteure
men seiner Arbeit: Es unterstützt kleine und mitt- untereinander oft noch nicht – sie müssen aber
lere IT-Unternehmen bei der Bildung von Projekt- direkt viele Daten miteinander teilen. Deshalb sollte
konsortien, die übergreifende IT-Lösungen für zu Beginn einer solchen Kooperation eine Vertrau-
andere mittelständische Unternehmen entwickeln. lichkeitsvereinbarung (Non-Disclosure-Agreement)
sowie eine Informationssicherheitsrichtlinie ge
schlossen werden. Sie sichert den Partnerinnen
und Partnern zu, dass alle Informationen, die imT H E M E N H E F T „ S I C H E R E R DAT E N A U S TAU S C H “ 13
weiteren Verlauf der Zusammenarbeit ausgetauscht jeweils zur Schwachstelle werden können. Dazu
werden, vertraulich behandelt und damit nicht offen- gehören E-Mails, externe Speichermedien wie
gelegt werden. Ist die Basis der Zusammenarbeit USB-Sticks oder Festplatten. Bei Mails sind mehrere
geklärt, geht es darum, den gegenseitigen Austausch Verschlüsselungsmöglichkeiten zum Schutz der
von Daten im gemeinsamen Projekt voranzubringen. Datenübertragung (wie auf Seite 8/9) möglich,
und auch das Problem extern eingeschleppter Mal
ware lässt sich vergleichsweise leicht über so
API, E-Mail, USB-Sticks: Schwachstellen genannte Datenschleusen lösen. Nähere Informa
beim Thema Datenaustausch tionen zur Datenschleuse finden Sie ab Seite 21.
Das Teilen der Daten innerhalb von Projektkonsor- Eine der gängigsten Varianten des Datenaustausches,
tien erfolgt oft auf unterschiedlichen Wegen, die vor allem bei Unternehmen der IT-Wirtschaft,
Zur vertrauensvollen Zusammenarbeit zwischen IT-Unternehmen gehört auch der sichere Datenaustausch über Unternehmensgrenzen hinweg.14 T H E M E N H E F T „ S I C H E R E R DAT E N A U S TAU S C H “
ist die Datenübertragung via Programmierschnitt- Damit erleichtern sie den Arbeitsalltag enorm,
stellen (application programming interface, kurz: können aber schnell zum Einfallstor für Hacker
API). Über diese Schnittstellen können Daten abge- werden. Um bei dieser Art der Datenübertragung
rufen und Prozesse automatisiert initiiert werden. optimalen Schutz zu gewährleisten, hat das Kom-
Die Systeme tauschen sich also selbstständig mitei- petenzzentrum IT-Wirtschaft einen offenen
nander aus und benötigen nicht für jeden Austausch Schnittstellenkatalog entwickelt.
eine Person, die den Befehl zum Austausch gibt.
Ein alltäglicher Bestellprozess in einem Onlineshop Bereit zur Kooperation? Tools und Checklisten
kann hier als Beispiel dienen: Eine Nutzerin oder
ein Nutzer bestellt über die Weboberfläche eines Um zu prüfen, wie es um das eigene IT-Sicherheits-
Onlineshops ein Produkt. Das System des Online- konzept bestellt ist, wie die Zusammenarbeit aus
shops kann via Schnittstellen automatisiert bei sehen könnte und auf welchem Wege Daten am
anderen Systemen notwendige Informationen ein- sichersten untereinander ausgetauscht werden
holen oder Aktionen initiieren. Das kann beispiels- können, hat das Mittelstand 4.0-Kompetenzzentrum
weise die Bonitätsprüfung der bestellenden Person IT-Wirtschaft zahlreiche digitale Tools wie den
sein oder die Zahlungsabwicklung über einen Dritt Schnittstellenkatalog und Vorlagen aus dem Bereich
anbieter. Auch die Beauftragung einer Spedition ist Recht und Datenschutz für die Zusammenarbeit
darüber möglich. All diese Prozesse laufen dank von Konsortien entwickelt und stellt sie auf seiner
API automatisiert und in Sekunden ab. Website itwirtschaft.de bereit. Zudem steht Interes-
sierten die App IT2match als Basistool des Koope-
rationsaufbaus zur Verfügung.
Kontaktinformationen zum Zentrum
IT-WirtschaftT H E M E N H E F T „ S I C H E R E R D AT E N AU S TAU S C H “ 15 Kleine Schritte für mehr Sicherheit Viele Unternehmen realisieren zu spät, dass ihre Daten schlecht geschützt sind. Dabei sorgen oft bereits kleine Maßnahmen für bedeutend mehr Sicherheit. Das Mittelstand 4.0-Kompetenzzentrum Siegen hat der Theodor Stephan KG gezeigt, wie es geht. Ein Klick auf den Dateianhang einer verdächtigen Mit der Unterstützung von Nico Vitt, dem IT-Sicher E-Mail kann bereits ausreichen, um in eine Cyber- heitsbeauftragten des Kompetenzzentrums, hat die Falle zu tappen, die ein Firmennetzwerk lahmlegt – Theodor Stephan KG eine IT-Analyse durchgeführt. und damit manchmal sogar den gesamten Betrieb. „Wir haben uns genau angesehen, wie hier gearbei- Eine ganze Reihe deutscher Unternehmerinnen tet wird und wie die IT-Infrastruktur aussieht“, und Unternehmer musste diese Erfahrung bereits erklärt Vitt. Im Rahmen der IT-Sicherheitsanalyse machen, wie der DsiN-Praxisreport Mittelstand wurde besprochen, wie groß der Schaden wäre, 2020 zeigt: Fast die Hälfte aller Unternehmen in wenn etwas nicht mehr funktionieren würde. Deutschland hat bereits einen Hackerangriff erlebt. „Alle Teile, wo ein Ausfall besonders schwer wiegt, In drei von vier Fällen führten die Angriffe zu schädlichen Auswirkungen und in vier Prozent der Fälle sogar zu schweren Belastungen innerhalb der Betriebe, etwa hohem finanziellen Mehraufwand, über mehrere Wochen lahmgelegten Systemen oder Imageschädigungen. Solche Gefahrenszena- rien haben auch Arndt Nikolaus Loh zum Handeln bewegt. Der Geschäftsführer der Theodor Stephan KG GmbH & Co. KG Ton- und Kaolinbergbau in Burbach kennt Fälle von zwei Betrieben, die durch Cyberattacken 14 Tage arbeitsunfähig gemacht wurden. Um seinem Betrieb ein ähnliches Schick- sal zu ersparen und die Sicherheit der Betriebsda- ten generell zu verbessern, hat er sich an das Mit- telstand 4.0-Kompetenzzentrum Siegen gewandt. IT-Sicherheitsanalyse bei der Theodor Stephan KG in Burbach
16 T H E M E N H E F T „ S I C H E R E R D AT E N AU S TAU S C H “
sollten zuerst angegangen werden“, rät der IT- tigt man lediglich ein digitales Zertifikat, das
Sicherheitsbeauftragte. Auf Basis des IT-Grund- wenige Euro im Jahr kostet. Auch den Versand von
schutzes des Bundesamtes für Sicherheit in der Dateien über E-Mail ganz zu vermeiden und statt-
Informationstechnik konnte er dem Unternehmen dessen dezidierte Datenplattformen oder den haus
konkrete Empfehlungen geben. Dazu gehören auch eigenen Server zum Datenaustausch zu nutzen,
wichtige Hinweise für einen sicheren Datenaus- kann sich sicherheitstechnisch lohnen. (Lesen Sie
tausch. hierzu auch den Artikel „Sichere Kommunikation
dank umfassender Verschlüsselung“ zum Thema
E-Mail-Kommunikation auf Seite 8/9.)
E-Mail-Postfächer stellen das größte
Sicherheitsrisiko dar Doch alle technischen Sicherheitsmaßnahmen nut-
zen wenig, wenn nicht auch die Mitarbeiterinnen
E-Mails und andere digitale Kommunikationstools und Mitarbeiter bzgl. eines sicheren Datenaustauschs
sind nach wie vor die größte Schwachstelle in den geschult werden. Das weiß auch Nico Vitt, der mit
IT-Systemen vieler Firmen. Nur etwas mehr als die dem Theodor-Stephan-Personal über den Umgang
Hälfte der im Rahmen der DsiN-Studie5 befragten mit E-Mails, etwaige Sicherheitslücken und das
Unternehmen treffen Sicherheitsvorkehrungen für richtige Vorgehen im Risikofall diskutierte. Ebenso
den Versand von Nachrichten. Nur jedes fünfte ist zu beachten, dass Cyberkriminalität nicht die
Unternehmen achtet auf verschlüsselte E-Mails. einzige Gefahr für Unternehmensdaten darstellt.
Ein gefundenes Fressen für Cyber-Kriminelle, die IT-Systeme müssen auch gegen potenzielle Unfall
so sensible Daten ausspähen oder Schadsoftware in szenarien geschützt werden. Vitt stellte etwa fest,
die IT-Systeme einschleusen können. Dabei genü- dass der Serverraum der Firma in einem leicht
gen schon einige Klicks im E-Mail-Programm, um zugänglichen Bereich auch äußeren Gefahren wie
eine handelsübliche Transportverschlüsselung zu Wasser und Feuer ausgesetzt war. Alle Daten wären
erreichen. Auch hochwertigere Lösungen kosten in so im schlechtesten Fall auf einen Schlag vernichtet.
aller Regel wenig Aufwand. Um etwa die Verschlüs- Der Server sollte stattdessen an einem Ort frei von
selungstechnologie S/MIME zu nutzen und damit Gefahrenquellen platziert werden, zum Beispiel
Ende-zu-Ende-Verschlüsselung zu erzielen, benö- in einem höhergelegenen Raum, der zudem gut
5 DsiN-Praxisreport Mittelstand 2020, S. 27T H E M E N H E F T „ S I C H E R E R D AT E N AU S TAU S C H “ 17
gegen unbefugten Besuch gesichert ist – ein einfa- sicherung entstanden. Der Server wird nun jeden
cher Ratschlag, der von Arndt Nikolaus Loh gleich Tag ausgelesen. Die dabei befüllten externen Fest-
umgesetzt wurde. platten bleiben nicht im Firmengebäude. Eventuell
verlorene Daten können so problemlos wiederher-
gestellt werden. „Selbst wenn uns jetzt nachts die
Im Notfall hilft ein Backup Firma abbrennen würde – die Daten wären noch da.
Das beruhigt uns sehr“, resümiert Loh. Vor allem
Sollte es dennoch einmal zu schwerwiegenden hat er während der Zusammenarbeit mit dem Mit-
technischen Problemen kommen, verfügt die Firma telstand 4.0-Kompetenzzentrum eines gelernt: Der
nun auf Anraten des Kompetenzzentrums über ein Schutz der betriebsinternen Daten lässt sich auch
Back-up der Daten. Im Rahmen der Zusammen Schritt für Schritt durch kleine Maßnahmen
arbeit ist ein neues Konzept für die externe Daten- bedeutend verbessern.
Kontaktinformationen zum Zentrum
Siegen18 T H E M E N H E F T „ S I C H E R E R DAT E N AU S TAU S C H “ Geteilte Kapazitäten mit doppeltem Nutzen – aber sicher! Digitale Zwillinge sind Grundlage für Gemeinschaftsproduktionen, bei denen Daten sicher in der Blockchain geteilt werden. Nach dem Motto „Gemeinsam sind wir stark“ können sich Unternehmen zusammentun, um im Wettbewerb zu bestehen. Dafür müssen sie aber wissen, wer passende Maschinen mit freien Kapazitäten hat – und Daten sicher teilen können. Eine digitale Plattform kann vermitteln. Die Blockchain sorgt für die notwendige Datensicherheit. Wie das System funktioniert, hat das Mittelstand 4.0-Kompetenzzentrum Ilmenau durchgespielt. „Sharing Economy“ ist das Stichwort, das vor allem Unternehmen A aber nicht besitzt. An dieser Stelle für kleine und mittlere Unternehmen interessant kommt Unternehmen B ins Spiel, das die Weiter- sein kann. Sich mit der Konkurrenz zusammen verarbeitung übernehmen kann, weil es die passende zuschließen, ist aber mit Risiken verbunden. Denn Maschine hat und noch dazu die Kapazitäten. wer gibt schon gern Betriebsgeheimnisse aus der Hand? Aber ohne Datenaustausch geht es nicht, und „Ziel unseres Projektes war es, eine Art Marktplatz der soll noch dazu möglichst sicher sein. Hier kann zu schaffen, auf dem Unternehmen und deren die Integration einer Blockchain für Sicherheit sor- Maschinen als ‚Digitale Zwillinge‘ agieren“, erläutert gen. Das Mittelstand 4.0-Kompetenzzentrum in Mathias Eiber vom Ilmenauer Kompetenzzentrum Ilmenau hat als Beispiel die additive Fertigung von dieses Konzept der kooperativen Wertschöpfung. Kleinserien mithilfe des so genannten Lichtbogen- Jedes Unternehmen kann Teil dieses Netzwerks draht-Auftragschweißens durchgespielt: Auftrag- werden. Es muss sich nur eine „Digitale Identität“ nehmer A fertigt ein Teil, bei dem ein Metalldraht zulegen. In diese digitale Visitenkarte stellt es seine mit einem Lichtbogen in einem 3D-Druck-Verfah- Maschinen ein, die als so genannter „Digitaler Zwil- ren aufgeschmolzen wird – Schicht für Schicht. ling“ fungieren. Dieser Zwilling verfügt über Meta- Dieser Rohling muss bearbeitet werden. Für Gewinde daten, die beschreiben, was die Maschine kann und oder Bohrungen sind Maschinen notwendig, die wann sie freie Kapazitäten hat.
T H E M E N H E F T „ S I C H E R E R D AT E N A U S TAU S C H “ 19
Blockchain als neutraler, sicherer und Verfügung stellen. Sie brauchen außerdem die
verlässlicher Vermittler Sicherheit, dass der Auftrag möglichst reibungslos
abgewickelt wird. Deshalb hat das Mittelstand 4.0-
Nun möchten die Unternehmen ihre Daten aber Kompetenzzentrum Ilmenau die digitalen Abbilder
nicht allen am Fertigungsprozess Beteiligten zur in eine Blockchain integriert.
Auftraggeber Auftragnehmer 1 Auftragnehmer 2
Prozess: Konstruktion Prozess: Additive Fertigung Prozess: CNC-Bearbeitung
Ergebnis: 3D-CAD-Modell Ergebnis: Rohprodukt Ergebnis: Fertiges Produkt
Fertiges Produkt
Auftrag Auftragsdaten Prozessdaten Auftragsdaten Prozessdaten
Smart Contract CAD-Daten Dokumentation CAD-Daten Dokumentation
Blockchain Abgleich mit
Auftragsdaten
Digitaler Digitaler Digitaler Digitaler
Zwilling Zwilling Zwilling Zwilling
Maschinen Maschinen Maschinen Maschinen
Kapazität Kapazität Kapazität Kapazität
Das Prinzip Blockchain, verbunden mit Digitalen Zwillingen, am Beispiel des Kompetenzzentrums Ilmenau20 T H E M E N H E F T „ S I C H E R E R DAT E N AU S TAU S C H “
In der Blockchain werden z. B. CAD-Modelle des allen bestätigt werden. Da die Blockchain doku-
Produkts, das gefertigt werden soll, hinterlegt. Ver- mentiert, wer wann was gemacht hat, lässt sich
knüpft werden außerdem Materiallisten, Prüfproto auch feststellen, wo Fehler passiert sind.
kolle und vertragliche Unterlagen. Die eigentlichen
Daten sind dezentral auf den jeweiligen Rechnern Unternehmen, davon ist Mathias Eiber überzeugt,
der Blockchain-Teilnehmer abgelegt. Jede Informa- profitieren im Ilmenauer Modell gleich doppelt:
tion bildet einen Block. Für jeden neu angefügten „Sie können eigene freie Kapazität auf einem unab-
Block wird ein Hash, einem digitalen Fingerabdruck hängigen Marktplatz anbieten und so ihre Maschi-
gleich, berechnet. Zusätzlich enthält er den Hash nen besser auslasten. Sie können aber auch Aufträge,
des vorherigen Blocks. Über die Hashs werden die die ihre eigenen zeitlichen und technischen Kapa-
Blöcke zu einer Kette verbunden: der Blockchain. zitäten übersteigen, unkompliziert und sicher über
Auf jedem Rechner ist dieselbe Kette mit denselben das Netzwerk abwickeln, größere Aufträge anneh-
Links zu den eigentlichen Daten abgespeichert. Die men oder von einer Teilfertigung profitieren.“
Teilnehmenden sehen nicht alle Daten, wohl aber Transparent, smart und sicher.
jede Transaktion. Jede veränderte Kette muss von
Kontaktinformationen zum Zentrum
IlmenauT H E M E N H E F T „ S I C H E R E R D AT E N AU S TAU S C H “ 21
Digitale Einlasskontrolle sorgt für
Sicherheit
Mit einer Datenschleuse können Daten sicher in Unternehmen übertragen werden.
Daten gelangen auf unterschiedlichen Wegen ins Unternehmen: unter anderem auf USB-Sticks
und Speicherkarten oder per E-Mail. Damit Schadprogramme, die oft über Speichermedien un
bemerkt eingeschleust werden, nicht das ganze Unternehmen lahmlegen, gibt es die so genannte
Datenschleuse.
Software-Updates, Präsentationen oder Vertriebs- mals nicht aufrechterhalten lässt, ohne einen prak-
und Marketingunterlagen – die Liste von extern ins tikablen Ersatzweg anzubieten.
System eingespeisten Dateien ist oft lang. Ebenso
wie die Wege, auf denen die Daten ins Unterneh- „Eine Datenschleuse zur Sicherheitsprüfung von
men gelangen: Mitarbeitende, Dienstleistende oder Dateien ist eine Möglichkeit, unternehmensfremde
die Kundinnen und Kunden bringen oft USB-Sticks, Speichermedien durch eine zentrale Dateiablage
Festplatten oder andere Speichermedien mit, um oder freigegebene Speichermedien zu ersetzen, ohne
ihre eigenen Dateien auf fremden Rechnern zu dass die eigene Infrastruktur in Gefahr gerät“, er
nutzen. Software-Updates werden, vor allem bei läutert Christopher Tebbe vom Mittelstand 4.0-
Unternehmen mit mehreren Standorten, zum Teil Kompetenzzentrum Hannover.
per Fernwartung eingespielt. Neben den gewünsch-
ten Dateien kommt dann allzu häufig auch Malware
mit in das Unternehmenssystem und richtet dort Kleines Mittel, große Wirkung
zum Teil erhebliche Schäden an.
Bei einer Datenschleuse handelt es sich um einen
Viele Unternehmen greifen daher zu rigorosen Dateiablage-Server mit einem oder mehreren Anti-
Maßnahmen und verbieten den Einsatz von mit Schadsoftware-Lösungen. Eingehende Dateien
gebrachten Speichermedien grundsätzlich. In der werden auf diesem Server geprüft und, wenn keine
Praxis zeigt sich aber, dass sich dieses Verbot oft- Schadsoftware gefunden wurde, zur weiteren22 T H E M E N H E F T „ S I C H E R E R DAT E N AU S TAU S C H “
Nutzung freigegeben. So kann durch dieses einfache, menlogos in Auftrag zu geben. Dazu lädt er Dateien
aber effektive System verhindert werden, dass Mal- in die Datenschleuse hoch. Die auf der Datenschleuse
ware Schäden in Systemen anrichtet und dadurch laufenden Programme nehmen eine Prüfung auf
Worst-case-Szenarien wie Produktionsausfälle oder Schadsoftware vor. Geht von der hochgeladenen
Dateiverschlüsselungen die Folge sind. Datei keine Bedrohung aus, kann die Mitarbeiterin
des Unternehmens die Daten nach Prüfung abho-
Beispielhaft lässt sich der Funktionsablauf der len und sie guten Gewissens verwenden. Wurde
Datenschleuse so beschreiben: Ein Kunde möchte Schadsoftware gefunden, gibt es mehrere Möglich-
mit einem Unternehmen Daten teilen, beispiels- keiten: Die Datei wird entweder in Quarantäne ver-
weise um in einer Druckerei den Druck seines Fir- schoben oder direkt gelöscht. In beiden Fällen steht
Über eine Datenschleuse wird sichergestellt, dass beim Datenaustausch keine Schadprogramme ins Unternehmen gelangen.T H E M E N H E F T „ S I C H E R E R D AT E N AU S TAU S C H “ 23
sie aber zur Nutzung nicht zur Verfügung. Je nach Sicherheit zum Selbermachen
Konfiguration der Datenschleuse kann ein Admi-
nistrator benachrichtigt werden und das Ergebnis Eine Datenschleuse kann sowohl vom Unternehmen
der Analyse prüfen. Wurde die betreffende Datei selbst als auch durch Dienstleistende betrieben
fälschlicherweise als Schadsoftware identifiziert, werden. Soll die Datenschleuse im eigenen Unter-
kann sie wieder freigeben und somit auch genutzt nehmen eingerichtet werden, ist dazu lediglich ein
werden. eigener Server mit der Datenschleusensoftware vor
Ort oder im Rechenzentrum notwendig. Hat das
Datenschleusen gibt es in verschiedenen Varianten: Unternehmen keine eigene IT-Abteilung, bieten
Sie sind für Daten, die via Download oder Mail ins zahlreiche Dienstleistende unterschiedliche Modelle
System kommen, und für Dateien verfügbar, die auf einer Datenschleuse an. Diese reichen von einer
USB-Sticks, Festplatten oder sogar noch Disketten digitalen Schleuse, auf die über eine Weboberfläche
gespeichert mitgebracht werden. zugegriffen werden kann, bis hin zu physischen
Terminals, an die Speichermedien direkt angedockt
werden können.
Kontaktinformationen zum Zentrum
Hannover24 T H E M E N H E F T „ S I C H E R E R DAT E N AU S TAU S C H “
Mittelstand-Digital unterstützt regional
und thematisch
26 Mittelstand 4.0-Kompetenzzentren unterstützen Wie können kleine und mittlere Unternehmen den
kleine und mittlere Unternehmen in ganz Deutsch sicheren internen und externen Austausch von
land bei der Digitalisierung. Kompetent und an Daten gewährleisten und so die Digitalisierung
bieterneutral informieren sie nicht nur theoretisch vorantreiben? Die Mittelstand 4.0-Kompetenzzent-
über Chancen und Herausforderungen der digita- ren unterstützen mit ihrer umfassenden Expertise
len Transformation, sondern bieten in ihren Lern- bei der Konzeption und Umsetzung passender
und Demonstrationsfabriken auch die Möglichkeit, Maßnahmen.
digitale Technologien in der betrieblichen Praxis zu
testen. In der aktuellen Situation haben sie zudem M
ittelstand 4.0-Kompetenzzentrum
ihr Onlineangebot weiter ausgebaut. Augsburg
• Grundlagen IT-Sicherheit beim Datenverkehr
Die 18 regionalen Mittelstand 4.0-Kompetenzzent- im Netz
ren haben unterschiedliche Schwerpunktthemen, • Gesicherte Datenübertragung im EU-konformen
angefangen bei additiver Fertigung und digitalen Datenraum (GAIA-X)
Geschäftsmodellen über IT-Sicherheit bis hin zu
Wissensmanagement und digitalem Zahlungsver- M
ittelstand 4.0-Kompetenzzentrum Berlin
kehr. • Praxisnahe Workshops zu IT-Sicherheitsmaß-
nahmen in KMU
Die acht thematischen Zentren leisten jeweils an • Identifikation von und Handlungsempfehlun-
mehreren Standorten deutschlandweit gezielte gen zur Schließung von IT-Sicherheitslücken
Unterstützung für einzelne Branchen (Handel,
Handwerk, Baugewerbe, IT- und Textilwirtschaft) M
ittelstand 4.0-Kompetenzzentrum Bremen
bzw. Themen (eStandards, Kommunikation und • Sichere Cloud-Anwendungen, -Konzepte und
Usability). Methoden für geschützte Datenübertragungen
• Data Governance im WertschöpfungsnetzwerkT H E M E N H E F T „ S I C H E R E R D AT E N AU S TAU S C H “ 25
M
ittelstand 4.0-Kompetenzzentrum M
ittelstand 4.0-Kompetenzzentrum
Chemnitz Hamburg
• Datenschutz und IT-Sicherheit in der Produktion, • Technologieradar zur durchgängigen Datennut-
Organisation und Kommunikation zung: Vorstellung aktueller Technologien zum
• Sicherer Datenaustausch durch Verschlüsselung sicheren Datenaustausch
• Einsatz von Blockchain-Anwendungen, u. a. für
M
ittelstand 4.0-Kompetenzzentrum Cottbus adaptive Supply Chain und Smart Contracts
• BSI IT-Grundschutz, insbesondere Schulung
und Informationen zu relevanter technischer M
ittelstand 4.0-Kompetenzzentrum
Infrastruktur, organisationaler und prozessualer Hannover
Einbettung, Sensibilisierung und Befähigung • Bedrohungslage, Awareness, Schutzkonzepte
der Mitarbeitenden (Schulung, Webinar, Firmengespräch, Projekt)
• Einschätzung IT-Sicherheitsstatus, Konzeptio-
M
ittelstand 4.0-Kompetenzzentrum nierung von Schutzmaßnahmen (Firmenge-
Darmstadt spräch, Projekt)
• Identifikation der zu schützenden Werte sowie
Bewertung der Unternehmensinfrastruktur M
ittelstand 4.0-Kompetenzzentrum Ilmenau
hinsichtlich möglicher Risiken • Prozessdatenweitergabe und kooperative Wert-
• Entwicklung ganzheitlicher Sicherheitsmaß- schöpfung mit Blockchain
nahmen gegen unbefugte Zugriffe auf Unter- • Ortsunabhängiger und sicherer Zugriff auf Pro-
nehmenssysteme duktionsdaten und -technik durch Cloud-
Lösungen
M
ittelstand 4.0-Kompetenzzentrum
Dortmund
• Unterstützung bei Auswahl, Identifikation und
Implementierung von Blockchain-Technologien
im Unternehmen
• Datensicherheit und Datensouveränität im Kon-
text des International Data Space und GAIA-X26 T H E M E N H E F T „ S I C H E R E R DAT E N AU S TAU S C H “
M
ittelstand 4.0-Kompetenzzentrum M
ittelstand 4.0-Kompetenzzentrum Rostock
Kaiserslautern • „Der elektronische Arztbrief“ (eArztbrief –
• Unterstützung bei der Einführung von schnelle und sichere Übermittlung medizinischer
Systemen zum Datenmanagement, Informationen)
z. B. ERP- und DMS-Systeme • „Die elektronische Patientenakte“ (ePA –
• Unterstützung bei der Entwicklung von jederzeit verfügbare persönliche Gesundheits-
Apps zum sicheren unternehmensinternen und Krankheitsinformationen)
Datenaustausch
M
ittelstand 4.0-Kompetenzzentrum
M
ittelstand 4.0-Kompetenzzentrum Kiel Saarbrücken
• Identifikation möglicher Angriffspunkte, • Industrial IT-Security: Grundlagen, Organisa-
Analyse und Aufzeigen passender Schutz tion und Prozesse, Faktor Mensch, notwendige
mechanismen technische Maßnahmen
• Vernetzung kritischer Systeme, bspw. von • Sicherheit im Homeoffice: Situations- und Risi-
Medizingeräten koanalyse, Maßnahmen für sicheres Arbeiten
M
ittelstand 4.0-Kompetenzzentrum Lingen M
ittelstand 4.0-Kompetenzzentrum Siegen
• Datensicherheit und der Faktor Mensch als • IT-Sicherheitsstrategie
Grundlage für die Resilienz von Wertschöp- • Begleitung bei der Einführung von Sicherheits-
fungsketten im Bereich des Datenaustauschs Frameworks im Unternehmen
• Datensouveränität beim/und Cloud Computing
M
ittelstand 4.0-Kompetenzzentrum
M
ittelstand 4.0-Kompetenzzentrum Stuttgart
Magdeburg • Einstieg in das Thema „Informationssicherheits-
• Sichere Datenübertragung: Effiziente Erfassung, management“ (Basis: ISO 27001/2, IT-Grund-
Übertragung und Analyse von Prozess schutz)
informationen • Bündelung von Angeboten zu Informationssi-
• Informationssicherheit: Informationen rund cherheit und Infos zum sicherheitsrelevanten
um E-Mail-Verschlüsselung und Signierung Lagebild für KMU
zur InformationssicherheitT H E M E N H E F T „ S I C H E R E R D AT E N AU S TAU S C H “ 27
K
ompetenzzentrum Digitales Handwerk M
ittelstand 4.0-Kompetenzzentrum
• „Routenplaner – Cybersicherheit im Handwerk“ Kommunikation
– Handbuch für den sicheren Datenaustausch • Sichere Übermittlung von Daten mithilfe
und eine geeignete Infrastruktur der Blockchain-Technologie, z. B. durch Smart
• Digitalisierungsprojekt „Zertifizierte IT-Sicher- Contracts
heit“ mit dem E-CHECK IT • Vertrauen in digitale Technologien durch
IT-Sicherheit
M
ittelstand 4.0-Kompetenzzentrum eStan-
dards M
ittelstand 4.0-Kompetenzzentrum Planen
• Sichere Datenübertragung mit Distributed- und Bauen
Ledger-Technologien (z. B. Blockchain), Ver • Hinweise und Informationen zu Datensicherheit
trauensumgebungen und digitalem Identitäts- und Datenübergabe in BIM-Projekten,
management insbesondere in Auftraggeberinformations
• Einsatz im Rahmen von Plattformökonomie, anforderungen (AIA)
Datenökonomie und Maschinendatenaustausch
M
ittelstand 4.0-Kompetenzzentrum Textil
M
ittelstand 4.0-Kompetenzzentrum Handel vernetzt
• Finanz- und Paymentprozesse im Online-Handel • Valider Datenaustausch zwischen Industrie und
• Schnittstellen zwischen gängigen IT-Systemen Handel
im Handel • Sicherer Datenaustausch mithilfe smarter Sen-
sorsysteme
M
ittelstand 4.0-Kompetenzzentrum
IT-Wirtschaft M
ittelstand 4.0-Kompetenzzentrum
• Vorlagen, Leitfäden, Tools und Online-Angebote Usability
zu Datenschutz und IT-Sicherheit für die • Analyse und Optimierung von Usability und
Kooperationsbildung von IT-KMU User Experience bei Mensch-Maschine-Schnitt-
• Aufzeigen von Risiken und Lösungen in Live- stellen für sicheren Datenaustausch
Demos im Security-Lab • Wissenstransfer zur Gestaltung und Testung von
sicheren digitalen Systemen und agilen Arbeits-
prozessen28 T H E M E N H E F T „ S I C H E R E R DAT E N AU S TAU S C H “
„Wir wollen ermuntern, den ersten
Schritt zu tun“
Das letzte Jahr hat viele Unternehmen zur Digitali-
sierung ihrer Arbeitsprozesse gezwungen. Lösungen,
die auf sichere Dateninfrastrukturen setzen, standen
bei den großen Herausforderungen nicht immer
oben auf der Prioritätenliste. Auch Unternehmen,
die bereits vor der Pandemie über eine gute digitale TISiM-Leiterin Sandra Balz spricht im Interview
Infrastruktur und einen sicheren Datentransfer im darüber, was die größten Schwachstellen der Betriebe
Betrieb verfügten, sehen sich durch den Dauerzu- im Bereich des sicheren Datenaustauschs sind und
stand Homeoffice nun vor neue Fragen hinsicht- wie die Transferstelle bei der Bekämpfung hilft.
lich der Datensicherheit gestellt. Denn auch im
Homeoffice tauschen Mitarbeiterinnen und Mitar- Welche Sicherheitslücken begegnen Ihnen am
beiter vertrauliche Nachrichten untereinander in häufigsten bei kleinen und mittleren Unternehmen,
E-Mails, digitalen Transfer-Lösungen und Kollabo- wenn es um das Thema Datenaustausch geht?
rationstools aus. Auch sensible Daten werden so mit
der Kundschaft oder zwischen Mitarbeitenden geteilt. SANDRA BALZ: Der Praxisreport Mittelstand 2020
von Deutschland sicher im Netz e. V. (DsiN) zeigt,
Unternehmen, die in Sachen IT-Sicherheit nach- dass jeder vierte Betrieb über keinerlei Datensiche-
rüsten möchten, bietet die Transferstelle für IT- rungen verfügt und nur jedes fünfte Unternehmen
Sicherheit im Mittelstand (TISiM) Unterstützung an. auf verschlüsselte E-Mails achtet. Besonders in klei-
Anfang des letzten Jahres wurde diese vom Bundes- nen und mittleren Unternehmen haben wir häufig
ministerium für Wirtschaft und Energie als ein das Problem, dass die IT-Sicherheit in den Händen
Angebot von Mittelstand-Digital ins Leben gerufen. von nicht gesondert qualifizierten Mitarbeitenden
Bundesweit hilft die TISiM Selbstständigen, freibe- liegt. Bei 45 Prozent der Unternehmen unter zehn
ruflich tätigen Personen, kleineren Unternehmen Mitarbeitenden kümmert sich die Chefin oder der
sowie Handwerksbetrieben dabei, passgenaue Chef selbst um die IT-Sicherheit. Hier braucht es ein
IT-Schutzmaßnahmen zu finden und umzusetzen. fache und verständliche Unterstützungsangebote.T H E M E N H E F T „ S I C H E R E R D AT E N AU S TAU S C H “ 29
Wie unterstützt die TISiM die Unternehmen?
SANDRA BALZ: Die Sensibilität von Unternehmen
für das Thema IT-Sicherheit hat deutlich zuge-
nommen. Auch stehen bereits viele Angebote für
IT-Sicherheit und Datenschutz bereit. Die Betriebe
wissen jedoch oft nicht, welche davon die richtigen
für ihren konkreten Bedarf sind. Die Transferstelle
IT-Sicherheit im Mittelstand bündelt und sortiert Sandra Balz ist Leiterin der
Transferstelle IT-Sicherheit im
diese Angebote, um sie anschließend zielgerichtet Mittelstand.
an kleine und mittlere Unternehmen sowie Hand-
werksbetriebe und Selbstständige zu vermitteln.
Denn: die Unternehmens-individuellen Vorausset-
Wie sieht diese Vermittlung konkret aus? zungen sind ausschlaggebend für die Ausgestaltung
der IT-Sicherheit. Hier geht es beispielsweise um
SANDRA BALZ: Bei TISiM bauen wir sowohl auf die Frage, ob ein Unternehmen bereits über eine
digitale als auch analoge Informationskanäle. eigene IT-Abteilung verfügt oder bei null anfängt.
TISiM ist eine bundesweite Anlaufstelle, die regio-
nal agieren kann. Um Unternehmen regionale Das Herzstück der Transferstelle ist der so genannte
Ansprechpersonen zur Seite zu stellen, gibt es die Sec-O-Mat. Als Suchmaschine für IT-Sicherheit hält
TISiM-Regional-Standorte, die in den IHK angesie- er zahlreiche Angebote und Handlungsempfehlun-
delt sind – weitere TISiM-Regional-Standorte sind gen bereit und stellt sie in passgenauen TISiM-
unter anderem bei den Mittelstand 4.0-Kompetenz Aktionsplänen zur Verfügung. Die Unternehmen
zentren und Handwerkskammern geplant. Dort werden damit Schritt für Schritt bei der Umsetzung
informieren die TISiM-Trainerinnen und -Trainer begleitet und anbieterneutrale Hilfs- und Weiter-
über die Angebote der Transferstelle. TISiM-Trainer bildungsangebote werden angezeigt. Eine Beta-
werden in der TISiM-Workshopreihe dazu befähigt, Fassung des Sec-O-Mat steht bereits online zur
die TISiM-Leistungen zu vermitteln und anwenden Verfügung.
zu können – so stehen Unternehmen Ansprechper-
sonen direkt vor Ort zur Verfügung.Sie können auch lesen
