Sicherer Daten austausch - Themenheft Mittelstand-Digital
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Impressum Herausgeber Bundesministerium für Wirtschaft und Energie (BMWi) Öffentlichkeitsarbeit 11019 Berlin www.bmwi.de Stand April 2021 Druck Druck- und Verlagshaus Zarbock GmbH & Co. KG, 60386 Frankfurt Gestaltung PRpetuum GmbH, 80801 München Bildnachweis AdobeStock NicoElNino / Titel pressmaster / S. 13 DsiN / S. 29 Mittelstand 4.0-Kompetenzzentrum Siegen / S. 15 SICP | Universität Paderborn / S. 36 Zentraler Bestellservice für Publikationen der Bundesregierung: E-Mail: publikationen@bundesregierung.de Telefon: 030 182722721 Bestellfax: 030 18102722721 Diese Publikation wird vom Bundesministerium für Wirtschaft und Energie im Rahmen der Öffentlichkeitsarbeit herausgegeben. Die Publikation wird kostenlos abgegeben und ist nicht zum Verkauf bestimmt. Sie darf weder von Parteien noch von Wahlwerbern oder Wahlhelfern während eines Wahl- kampfes zum Zwecke der Wahlwerbung verwendet werden. Dies gilt für Bundestags-, Landtags- und Kommunalwahlen sowie für Wahlen zum Europäischen Parlament.
1 Inhalt Editorial ........................................................................................................................................................................................................................................................................................................................................................... 2 Ohne sicheren Datenaustausch keine erfolgreiche Digitalisierung ......................................................................... 4 Sichere Kommunikation dank umfassender Verschlüsselung .................................................................................................. 8 Kooperation ohne Schwachstellen ........................................................................................................................................................................................................................ 12 Kleine Schritte für mehr Sicherheit ..................................................................................................................................................................................................................... 15 Geteilte Kapazitäten mit doppeltem Nutzen – aber sicher! .................................................................................................... 18 Digitale Einlasskontrolle sorgt für Sicherheit ....................................................................................................................................................................... 21 Mittelstand-Digital unterstützt regional und thematisch .............................................................................................................. 24 „Wir wollen ermuntern, den ersten Schritt zu tun“ ........................................................................................................................................ 28 Datenaustausch auf Augenhöhe ................................................................................................................................................................................................................................... 31 Der Faktor Mensch ................................................................................................................................................................................................................................................................................................. 35
2 T H E M E N H E F T „ S I C H E R E R DAT E N AU S TAU S C H “ Editorial Liebe Leserinnen und Leser, seit Monaten kommunizieren Menschen weltweit Mehr digitale Prozesse bedeuten leider auch mehr denn je digital, teilen Geschäftsunterlagen Sicherheitsrisiken. Umso wichtiger ist es, durch über E-Mail oder Video-Calls und arbeiten online einen sicheren Austausch von sensiblen Geschäfts- gemeinsam an Projekten. Der Austausch vertrau daten die Einfallstore etwa für Hacking-Angriffe licher Daten in Unternehmen und mit anderen zu verringern. Schon kleine Maßnahmen, wie die Firmen stellt eine nicht zu unterschätzende Her- konsequente Verschlüsselung von E-Mails oder die ausforderung dar. Dabei ist es besonders wichtig, Datenübertragung mit einer Datenschleuse, können neben dem in der Krise oftmals nötigen Pragmatis- hier den Unterschied machen. Gestaltet sich der mus die Datensicherheit nicht aus den Augen zu Datenaustausch aufgrund einer Vielzahl an betei- verlieren. Denn der Dauerzustand Homeoffice ligten Parteien komplexer, eignet sich etwa die wirft auch für Unternehmen mit guter digitaler Blockchain-Technologie. Infrastruktur neue Fragen der Datensicherheit auf. Damit die digitale Transformation des deutschen Neben der Einführung technischer Sicherheits- Mittelstands auf sicheren Beinen steht, müssen maßnahmen ist die Sensibilisierung der eigenen sich Unternehmerinnen und Unternehmer mit der Mitarbeiterinnen und Mitarbeiter elementar, um Datensicherheit im eigenen Betrieb befassen. Denn den sicheren Datenaustausch zu gewährleisten. das Thema ist wichtiger denn je: Dazu gehört auch die Frage nach den Verantwort- lichkeiten, die sich alle Unternehmen – egal welcher Größe – stellen sollten.
T H E M E N H E F T „ S I C H E R E R D AT E N AU S TAU S C H “ 3 In diesem Heft finden Sie Anregungen, Informa Wo es welche Angebote gibt, finden Sie ab Seite 24. tionen und ermutigende Beispiele, wie kleine und Wir wünschen Ihnen eine spannende Lektüre! mittlere Unternehmen oft schon mit wenigen Maß nahmen für mehr Datensicherheit sorgen können. Bleiben Sie gesund, Ihr Bundesministerium für Wirtschaft und Energie Mit Mittelstand-Digital stärkt das Bundesminis terium für Wirtschaft und Energie kleine und mitt- lere Unternehmen dabei, die digitale Zukunft in Angriff zu nehmen, nachhaltige Konzepte und sichere Lösungen zu entwickeln und die damit einhergehenden Chancen für sich zu nutzen. Die regionalen und thematischen Mittelstand 4.0- Kompetenzzentren unterstützen mittelständische Unternehmen dabei, die richtigen Maßnahmen zu identifizieren, damit der Datenaustausch sicher gelingt.
4 T H E M E N H E F T „ S I C H E R E R DAT E N AU S TAU S C H “ Ohne sicheren Datenaustausch keine erfolgreiche Digitalisierung Erhebliche Datenmengen werden durch die Digita- Sicherheitslücken frühzeitig erkennen und lisierung bei Unternehmen generiert, gespeichert schließen und zur Analyse sowie Optimierung bestehender Prozesse genutzt. Das volle wirtschaftliche Poten- In dieser vernetzten Welt stellt die Sicherheit beim zial der Daten wird aber erst dann ausgeschöpft, Datenaustausch eine der größten Herausforderun- wenn diese zwischen verschiedenen Endgeräten, gen für Unternehmen dar. Jedoch trifft etwa die Mitarbeitenden, Firmen und Behörden sicher aus- Hälfte der deutschen Unternehmen keine Sicher- getauscht werden können. Heute ist eine Welt ohne heitsvorkehrungen für den Versand von Nachrich- E-Mails, Cloud-Speicher, Videokonferenzen oder ten (48 Prozent) und nur 22 Prozent der Unter den Transfer elektronischer Dokumente und Rech- nehmen achten auf verschlüsselte E-Mails. Nur nungen nur schwer vorstellbar. Die Menge an aus- 19 Prozent verwenden einen Passwortschutz für getauschten, häufig hochsensiblen Daten steigt die Übertragung von Daten.2 exponentiell.1 Die Gewährleistung eines sicheren Datenaustauschs intern, zwischen Standorten und Mit dem Beginn der Corona-Pandemie und der mit anderen Unternehmen ist demnach eine Vor- damit verbundenen Verlagerung der Arbeit ins aussetzung für die erfolgreiche Digitalisierung. Homeoffice rückt auch für viele kleine und mittlere Unternehmen das Thema sicherer Datenaustausch in den Fokus. IT-Sicherheit ist nun nicht nur im Büro, sondern auch im privaten Arbeitszimmer und am Küchentisch der Mitarbeiterinnen und Mitar- beiter erforderlich. Dabei können die veränderten Arbeitsmethoden und Prozesse zu Unklarheiten im sicheren Umgang mit Unternehmensdaten, 1 Siehe u. a. Bundesnetzagentur, Jahresbericht 2019, S. 52 und S. 59 2 DsiN-Praxisreport Mittelstand 2020, S. 27
T H E M E N H E F T „ S I C H E R E R D AT E N AU S TAU S C H “ 5 mangelnden Abstimmungen und Intransparenz Ein sicherer Datenaustausch ist für jedes führen. Zudem haben Cyberkriminelle die Corona- Unternehmen möglich Pandemie als Chance für sich entdeckt: Laut einer Umfrage des Antiviren-Spezialisten Bitdefender Mit den richtigen Maßnahmen können Unterneh- bestätigen 80 Prozent der über 500 befragten IT- men jeder Größe einen sicheren Datenaustausch Sicherheitsfachleuten aus Deutschland, dass in der gewährleisten. Wichtig ist dabei, dass Verantwort Krise die Attacken durch Trojaner oder Phishing liche nicht nur die technischen, sondern auch die zugenommen haben.3 organisatorischen Maßnahmen im Blick haben. Obwohl die Gefahr mit zunehmender Digitalisie- Durch die Verlagerung der nahezu gesamten privaten rung der Geschäftsprozesse steigt, reagiert noch und geschäftlichen Kommunikation in den digita- immer über ein Drittel der Unternehmen (35 Pro- len Raum gewinnen zahlreiche Fragen rund um die zent) erst im Falle eines Angriffs mit der Definition IT-Sicherheit in Unternehmen an Gewicht: Wie kön- und Umsetzung geeigneter Schutzmaßnahmen. nen IT-Sicherheitsanalysen durchgeführt werden Immerhin geben 43 Prozent der befragten Unter- und was muss dabei beachtet werden? Wie können nehmen ihren Mitarbeiterinnen und Mitarbeitern Daten zwischen Unternehmen sicher ausgetauscht präventiv konkrete Handlungsanweisungen, zehn werden? Können dabei neue Technologien wie Block- Prozent trainieren ihre Angestellten regelmäßig für chain helfen? Wie werden Mails sicher verschlüsselt? den Ernstfall und zwölf Prozent der Unternehmen verfügen über spezielle Notfallpläne, die sie konti- Kleine und mittlere Unternehmen in Deutschland nuierlich überprüfen.4 stehen bei diesen Fragestellungen nicht allein da: Die vom Bundesministerium für Wirtschaft und Energie geförderten Mittelstand 4.0-Kompetenz- zentren und die Transferstelle IT-Sicherheit im Mittelstand unterstützen bei allen Fragen rund um die Digitalisierung und das Thema IT-Sicherheit. So gelingt auch in mitunter turbulenten Zeiten eine sichere Kommunikation. 3 https://veranstaltungen.handelsblatt.com/cybersecurity/angriff-auf-das-homeoffice-kmu-im-fokus, abgerufen am 04.02.2021 4 DsiN-Praxisreport Mittelstand 2020, S. 29
6 T H E M E N H E F T „ S I C H E R E R DAT E N AU S TAU S C H “ 64 83 PROZENT PROZENT 54 PROZENT der kleinen KMU der großen KMU finden IT-Sicherheit sehr wichtig. DATENSICHERHEIT: zentrale 56 Herausforderung PROZENT für KMU der deutschen Entschei- derinnen und Entscheider sehen im Datenschutz eine ZAHLEN große Herausforderung. 61 der mittelständischen Unter- nehmen schätzen Bedeutung UND von Cybersicherheit aktuell als (sehr) hoch ein. PROZENT der mittelständischen Unternehmen FAKTEN sehen fehlendes Sicherheits- 50 bewusstsein der Mitarbeitenden als größte Herausforderung bei der Abwehr von Cyberrisiken. 16 FAKTOR MENSCH: In PROZENT Sensibilisierung PROZENT ist elementar der Betriebe unter 10 Mitarbeitenden kümmert sich die Geschäftsleitung selbst um IT-Fragen. der KMU bieten ein verpflichtendes Sicherheitsschulungsprogramm an. Quellen: WIK (2017) – „Aktuelle Lage der IT-Sicherheit in KMU“/Deloitte Private (2020) – „Cyber Security im Mittelstand“/Cisco (2020) – „Future of Secure Remote Work“/ DsiN-Praxisreport 2020 „Mittelstand@IT-Sicherheit“
T H E M E N H E F T „ S I C H E R E R D AT E N AU S TAU S C H “ 7 01 111011 101001010110 64 01 0 11 01 11 1 01 011 00 100 010 01 0 PROZENT 01 00101 1 0 000111100110 01 100 PROZENT 1011110111010 00111100110 der KMU versenden ihre der deutschen Entscheiderinnen und Daten ausschließlich über Entscheider sehen den sicheren Austauschplattformen. Fernzugriff auf Unternehmensdaten 19 100 01010 als größte Herausforderung an. 00 PROZENT 0 00 1101110100 11 01 1011 00 110 0100 111 1100001010001 01 0 0 01 011110011 der KMU schützen übertragene Daten mit einem Passwort. 100 48 010 56 0 0 0 11 DATENAUSTAUSCH: sichere 0111 1010 0 00010100 10 0 Übertragungswege 01111001 PROZENT 10 0 1 0 1 1 1 01 0 01 01 der KMU sichern übertragene PROZENT Daten in Anhängen nicht ab. der Arbeitnehmenden 82 verzichten auf eine 22 PROZENT 111 Verschlüsselung 10 11000010 PROZENT ihrer E-Mails. 00 100 01 01 1 00 11 1 01 00 10 01 11 01 111 00 000 0100 01 1 1 0 0 0 01 01 der Unternehmen sehen ein (sehr) großes Potenzial der KMU verschlüsseln E-Mails in Blockchain zum mit Anhängen oder nutzen Datenaustausch. eine elektronische Signatur. Quellen: Cisco (2020) – „Future of Secure Remote Work“/DsiN-Praxisreport 2020 „Mittelstand@IT-Sicherheit“/REDDOXX „Studie E-Mail 2020. Status der E-Mail in Deutschland“/ bitkom (2019) „Blockchain in Deutschland – Einsatz, Potenziale, Herausforderungen“
8 T H E M E N H E F T „ S I C H E R E R DAT E N AU S TAU S C H “ Sichere Kommunikation dank umfassender Verschlüsselung E-Mails sind oft das Mittel der Wahl, wenn es um Geschäftskommunikation geht. Sind die Nach- richten nicht umfassend geschützt, entstehen Sicherheitsrisiken. Das Mittelstand 4.0-Kompetenz- zentrum Magdeburg gibt Tipps, wie E-Mail-Kommunikation sicher gelingt. Neben dem Telefon sind E-Mails der am häufigsten Der Weg einer E-Mail genutzte Kommunikationskanal zwischen Unter- nehmen, ihren Geschäftspartnern und Kunden. „Um E-Mails zu schützen, gibt es vor allem zwei Aus einer Studie des Bitkom geht hervor, dass drei Wege der Verschlüsselung: Die Transportverschlüs- von zehn Berufstätigen bereits 2018 mehr als 30 selung und die Inhaltsverschlüsselung“, erklärt dienstliche E-Mails pro Tag erhielten. Sebastian Nielebock, Experte für den Bereich Safety & Security beim Mittelstand 4.0-Kompetenzzentrum Vor allem geschäftliche E-Mails enthalten oft eine Magdeburg. Um zu verstehen, wo beide Verschlüs- Vielzahl sensibler und schützenswerter Informati- selungsvarianten ansetzen, ist es wichtig, den Weg onen. Dabei müssen gesetzliche Datenschutzvorga- einer E-Mail vom Sender zum Empfänger nachzu- ben erfüllt werden. Damit E-Mails nicht zum Ein- vollziehen. fallstor für Viren oder andere Malware und damit zum Sicherheitsrisiko werden, muss die Kommuni- kation via E-Mail geschützt werden. Mit einfachen E-Mail E-Mail Provider A Provider B Mitteln kann festgestellt werden, welche Verschlüs- Sendende Empfangende selungsmöglichkeiten bereits genutzt werden und Person Person wo noch Nachholbedarf besteht. Angreifende Person Der Weg einer unverschlüsselten E-Mail
T H E M E N H E F T „ S I C H E R E R D AT E N A U S TAU S C H “ 9 Nach dem Klick auf den „Senden“-Button prüft das Unterwegs geschützt: Die Transport Mailprogramm (E-Mail-Client) des Absenders im verschlüsselung Hintergrund verschiedene Parameter und leitet sie an den Mailserver des eigenen E-Mail-Providers Bei der Transportverschlüsselung werden die in der weiter. Dieser Mailserver ist ein Programm für E-Mail übertragenen Daten auf den einzelnen Empfang, Speicherung, Verarbeitung und Weiter- Übermittlungsabschnitten, also der Kommunika- leitung von E-Mails. Der Mailserver überprüft im tion des E-Mail-Clients mit dem Server oder beim nächsten Schritt, ob die Zieladresse korrekt ist, die Austausch zwischen den verschiedenen Servern, Größe der Mail den Richtlinien entspricht und ob verschlüsselt. Damit sind sie für Dritte nicht ein- Spam, Viren oder sonstige Malware enthalten sind. sehbar. Ist dies nicht der Fall, speichert der eigene Mailser- ver die Mail und sucht den Mailserver des Empfan- E-Mail E-Mail genden. Ist dieser gefunden, wird die Mail in meh- Provider A Provider B rere kleine Datenpakete unterteilt und Stück für Sendende Empfangende Person Person Stück an den Mailserver der Zieladresse weiterge- leitet. Dieser Mailserver prüft nun seinerseits die Die Transportverschlüsselung Mail auf Größe, Spam und Viren. Zeigt die Nach- richt keine besonderen Auffälligkeiten, speichert der Mailserver des Empfangenden die Mail. Ist die „Die meisten E-Mail-Provider bieten die Transport- Mail nun verfügbar, wird die Empfängerin oder verschlüsselung kostenlos an, meist ist sie sogar der Empfänger benachrichtigt und die Mail in das automatisch integriert“, sagt Nielebock. Ob E-Mail- Mailprogramm heruntergeladen. Programme diese Verschlüsselung bereits nutzen, erkennt man daran, dass als Verbindungssicherheit Das Problem: Wenn die E-Mail nicht verschlüsselt TLS (für Transport Layer Security) oder SSL (für ist, haben potenzielle Angreiferinnen oder Angrei- Secure Sockets Layer) eingestellt ist. fer an unterschiedlichen Punkten die Möglichkeit, auf die Daten der E-Mail zuzugreifen, sie zu lesen, zu verändern oder ganz zu löschen. Deshalb wird in der Regel auf zwei Arten der Verschlüsselung von E-Mail-Kommunikation zurückgegriffen.
10 T H E M E N H E F T „ S I C H E R E R D AT E N A U S TAU S C H “ Alle Inhalte, immer geschützt: Die Inhalts PGP, von nahezu allen E-Mail-Programmen und verschlüsselung auch auf Smartphones standardmäßig unterstützt. Die Transportverschlüsselung ist bereits ein erster, wichtiger Schritt beim sicheren Datenaustausch. Echtheit bestätigen durch digitale Signatur Da die Daten bei dieser Art der Verschlüsselung allerdings auf den jeweiligen Servern von Senden- Eine weitere Möglichkeit, sowohl den Inhalt einer den und Empfangenden weiterhin unverschlüsselt Mail vor Manipulation zu schützen als auch ihrer vorliegen, sollte zusätzlich ein weiteres Verschlüs- Absenderin oder ihren Absender zu verifizieren, selungsverfahren eingesetzt werden: die Inhalts- ist das Verfahren der digitalen Signatur. Dadurch verschlüsselung. können beispielsweise digital nicht-signierte Phishingmails, bei denen Betrügende im Namen von Unternehmen E-Mails versenden, um an Zah- E-Mail E-Mail Provider A Provider B lungsinformationen oder andere sensible Daten Sendende Empfangende der Empfängerinnen und Empfänger zu gelangen, Person Person von Userinnen und Usern besser als Betrug identi- Die Inhaltsverschlüsselung fiziert werden. Bei der Inhaltsverschlüsselung, oft auch als Ende- Aus technischer Sicht basiert die elektronische Sig- zu-Ende-Verschlüsselung bezeichnet, werden die natur von E-Mails auf dem Prinzip der asymmetri- Inhalte der Nachricht bereits beim Sendenden schen Verschlüsselung. Der digitale Absendende umfassend verschlüsselt und erst durch das Pro- besitzt dabei sowohl einen privaten als auch einen gramm des Empfangenden wieder in Klartext öffentlichen Schlüssel. Beim Versand einer Mail übersetzt. Damit ist der Zugriff von unbefugten erzeugt das Mailprogramm des Absendenden auto- Dritten nahezu unmöglich. Gängige Verfahren der matisch eine so genannte Prüfsumme des Mailin- Inhaltsverschlüsselung sind PGP (Pretty Good Pri- haltes. Diese Prüfsumme wird mit dem privaten vacy) und S/MIME (Secure/Multipurpose Internet Schlüssel verschlüsselt und automatisch an die Mail Extensions). S/MIME wird, im Gegensatz zu Mail angehängt.
T H E M E N H E F T „ S I C H E R E R D AT E N AU S TAU S C H “ 11 Der oder die digitale Empfangende ist im Besitz Bereits vermeintlich einfache Handgriffe wie die eines öffentlichen Schlüssels (entweder weil dieser Wahl eines starken und komplexen Passwortes für vom Absendenden mitgesandt wurde oder weil er den Zugriff auf das E-Mail-Konto oder die Wah- oder sie den Schlüssel aus einem öffentlichen Ver- rung des Datenschutzes bei ausgedruckten Mails zeichnis bezieht). Mithilfe dieses Schlüssels wird machen einen bedeutsamen Unterschied. die Prüfsumme der erhaltenen Mail entschlüsselt und anschließend erneut berechnet. Stimmen die Ob und welche dieser Verschlüsselungsarten Ergebnisse überein, ist sicher, dass die Mail echt ist bereits vom beauftragten E-Mail-Provider einge- und nicht manipuliert wurde. setzt werden, können KMU durch einen Blick in die Einstellungen ihres E-Mail-Kontos herausfin- den. Bei Unsicherheiten kann auch eine direkte Umfassender Schutz braucht verschiedene Nachfrage beim gewählten IT-Dienstleister weiter- Werkzeuge helfen. Um sensible Daten umfassend zu schützen, gibt es Das Mittelstand 4.0-Kompetenzzentrum Magde- viele unterschiedliche Werkzeuge. Hier lohnt sich burg unterstützt gerne bei weiteren Fragen zum eine Prüfung, welche Tools bereits eingesetzt wer- Thema E-Mail-Verschlüsselung. den und wo noch Nachholbedarf besteht. Klar ist aber, dass zum optimalen Schutz auch der eigene Umgang mit E-Mails hinterfragt werden sollte. Kontaktinformationen zum Zentrum Magdeburg
12 T H E M E N H E F T „ S I C H E R E R DAT E N AU S TAU S C H “ Kooperation ohne Schwachstellen Das Mittelstand 4.0-Kompetenzzentrum IT-Wirtschaft entwickelt Werkzeuge zur Selbst befähigung und zur Erhöhung der Security Awareness. Für eine sichere und vertrauensvolle Zusammenarbeit zwischen IT-Unternehmen braucht es klare Regeln und passende Werkzeuge. Das Mittelstand 4.0-Kompetenzzentrum IT-Wirtschaft zeigt, welche Schwachstellen es gibt, und hilft bei Lösungen. IT-Sicherheit im Allgemeinen und der sichere Aus- Klare Konzepte von Anfang an tausch von Daten im Besonderen sollten als ein wichtiger Grundpfeiler für eine erfolgreiche Unter- „Sicherer Datenaustausch fängt mit rechtlichen nehmensführung verstanden werden, um Unter- und organisatorischen Regelungen und einer Eini- nehmenswerte zu schützen. Werden keine umfas- gung auf einheitliche Sicherheitsstandards aller senden Sicherheitsmaßnahmen ergriffen, geraten beteiligten Akteure an. Das ist für die gute Zusam- Unternehmen schnell in Schwierigkeiten. Deshalb menarbeit unverzichtbar“, sagt Prof. Dr. Andreas lohnt es sich, genau hinzuschauen und gegebenen- Johannsen vom Mittelstand 4.0-Kompetenzzent- falls Fachleute zur Unterstützung hinzuzuziehen – rum IT-Wirtschaft, der Experte für das Thema so wie das Mittelstand 4.0-Kompetenzzentrum IT- IT-Schnittstellen und Datensicherheit ist. Wirtschaft. Für das Kompetenzzentrum sind der sichere Austausch und die Arbeit mit Daten über Bei der Bildung der Konsortien zwischen den mittel Unternehmensgrenzen hinweg eines der Kernthe- ständischen Unternehmen kennen sich die Akteure men seiner Arbeit: Es unterstützt kleine und mitt- untereinander oft noch nicht – sie müssen aber lere IT-Unternehmen bei der Bildung von Projekt- direkt viele Daten miteinander teilen. Deshalb sollte konsortien, die übergreifende IT-Lösungen für zu Beginn einer solchen Kooperation eine Vertrau- andere mittelständische Unternehmen entwickeln. lichkeitsvereinbarung (Non-Disclosure-Agreement) sowie eine Informationssicherheitsrichtlinie ge schlossen werden. Sie sichert den Partnerinnen und Partnern zu, dass alle Informationen, die im
T H E M E N H E F T „ S I C H E R E R DAT E N A U S TAU S C H “ 13 weiteren Verlauf der Zusammenarbeit ausgetauscht jeweils zur Schwachstelle werden können. Dazu werden, vertraulich behandelt und damit nicht offen- gehören E-Mails, externe Speichermedien wie gelegt werden. Ist die Basis der Zusammenarbeit USB-Sticks oder Festplatten. Bei Mails sind mehrere geklärt, geht es darum, den gegenseitigen Austausch Verschlüsselungsmöglichkeiten zum Schutz der von Daten im gemeinsamen Projekt voranzubringen. Datenübertragung (wie auf Seite 8/9) möglich, und auch das Problem extern eingeschleppter Mal ware lässt sich vergleichsweise leicht über so API, E-Mail, USB-Sticks: Schwachstellen genannte Datenschleusen lösen. Nähere Informa beim Thema Datenaustausch tionen zur Datenschleuse finden Sie ab Seite 21. Das Teilen der Daten innerhalb von Projektkonsor- Eine der gängigsten Varianten des Datenaustausches, tien erfolgt oft auf unterschiedlichen Wegen, die vor allem bei Unternehmen der IT-Wirtschaft, Zur vertrauensvollen Zusammenarbeit zwischen IT-Unternehmen gehört auch der sichere Datenaustausch über Unternehmensgrenzen hinweg.
14 T H E M E N H E F T „ S I C H E R E R DAT E N A U S TAU S C H “ ist die Datenübertragung via Programmierschnitt- Damit erleichtern sie den Arbeitsalltag enorm, stellen (application programming interface, kurz: können aber schnell zum Einfallstor für Hacker API). Über diese Schnittstellen können Daten abge- werden. Um bei dieser Art der Datenübertragung rufen und Prozesse automatisiert initiiert werden. optimalen Schutz zu gewährleisten, hat das Kom- Die Systeme tauschen sich also selbstständig mitei- petenzzentrum IT-Wirtschaft einen offenen nander aus und benötigen nicht für jeden Austausch Schnittstellenkatalog entwickelt. eine Person, die den Befehl zum Austausch gibt. Ein alltäglicher Bestellprozess in einem Onlineshop Bereit zur Kooperation? Tools und Checklisten kann hier als Beispiel dienen: Eine Nutzerin oder ein Nutzer bestellt über die Weboberfläche eines Um zu prüfen, wie es um das eigene IT-Sicherheits- Onlineshops ein Produkt. Das System des Online- konzept bestellt ist, wie die Zusammenarbeit aus shops kann via Schnittstellen automatisiert bei sehen könnte und auf welchem Wege Daten am anderen Systemen notwendige Informationen ein- sichersten untereinander ausgetauscht werden holen oder Aktionen initiieren. Das kann beispiels- können, hat das Mittelstand 4.0-Kompetenzzentrum weise die Bonitätsprüfung der bestellenden Person IT-Wirtschaft zahlreiche digitale Tools wie den sein oder die Zahlungsabwicklung über einen Dritt Schnittstellenkatalog und Vorlagen aus dem Bereich anbieter. Auch die Beauftragung einer Spedition ist Recht und Datenschutz für die Zusammenarbeit darüber möglich. All diese Prozesse laufen dank von Konsortien entwickelt und stellt sie auf seiner API automatisiert und in Sekunden ab. Website itwirtschaft.de bereit. Zudem steht Interes- sierten die App IT2match als Basistool des Koope- rationsaufbaus zur Verfügung. Kontaktinformationen zum Zentrum IT-Wirtschaft
T H E M E N H E F T „ S I C H E R E R D AT E N AU S TAU S C H “ 15 Kleine Schritte für mehr Sicherheit Viele Unternehmen realisieren zu spät, dass ihre Daten schlecht geschützt sind. Dabei sorgen oft bereits kleine Maßnahmen für bedeutend mehr Sicherheit. Das Mittelstand 4.0-Kompetenzzentrum Siegen hat der Theodor Stephan KG gezeigt, wie es geht. Ein Klick auf den Dateianhang einer verdächtigen Mit der Unterstützung von Nico Vitt, dem IT-Sicher E-Mail kann bereits ausreichen, um in eine Cyber- heitsbeauftragten des Kompetenzzentrums, hat die Falle zu tappen, die ein Firmennetzwerk lahmlegt – Theodor Stephan KG eine IT-Analyse durchgeführt. und damit manchmal sogar den gesamten Betrieb. „Wir haben uns genau angesehen, wie hier gearbei- Eine ganze Reihe deutscher Unternehmerinnen tet wird und wie die IT-Infrastruktur aussieht“, und Unternehmer musste diese Erfahrung bereits erklärt Vitt. Im Rahmen der IT-Sicherheitsanalyse machen, wie der DsiN-Praxisreport Mittelstand wurde besprochen, wie groß der Schaden wäre, 2020 zeigt: Fast die Hälfte aller Unternehmen in wenn etwas nicht mehr funktionieren würde. Deutschland hat bereits einen Hackerangriff erlebt. „Alle Teile, wo ein Ausfall besonders schwer wiegt, In drei von vier Fällen führten die Angriffe zu schädlichen Auswirkungen und in vier Prozent der Fälle sogar zu schweren Belastungen innerhalb der Betriebe, etwa hohem finanziellen Mehraufwand, über mehrere Wochen lahmgelegten Systemen oder Imageschädigungen. Solche Gefahrenszena- rien haben auch Arndt Nikolaus Loh zum Handeln bewegt. Der Geschäftsführer der Theodor Stephan KG GmbH & Co. KG Ton- und Kaolinbergbau in Burbach kennt Fälle von zwei Betrieben, die durch Cyberattacken 14 Tage arbeitsunfähig gemacht wurden. Um seinem Betrieb ein ähnliches Schick- sal zu ersparen und die Sicherheit der Betriebsda- ten generell zu verbessern, hat er sich an das Mit- telstand 4.0-Kompetenzzentrum Siegen gewandt. IT-Sicherheitsanalyse bei der Theodor Stephan KG in Burbach
16 T H E M E N H E F T „ S I C H E R E R D AT E N AU S TAU S C H “ sollten zuerst angegangen werden“, rät der IT- tigt man lediglich ein digitales Zertifikat, das Sicherheitsbeauftragte. Auf Basis des IT-Grund- wenige Euro im Jahr kostet. Auch den Versand von schutzes des Bundesamtes für Sicherheit in der Dateien über E-Mail ganz zu vermeiden und statt- Informationstechnik konnte er dem Unternehmen dessen dezidierte Datenplattformen oder den haus konkrete Empfehlungen geben. Dazu gehören auch eigenen Server zum Datenaustausch zu nutzen, wichtige Hinweise für einen sicheren Datenaus- kann sich sicherheitstechnisch lohnen. (Lesen Sie tausch. hierzu auch den Artikel „Sichere Kommunikation dank umfassender Verschlüsselung“ zum Thema E-Mail-Kommunikation auf Seite 8/9.) E-Mail-Postfächer stellen das größte Sicherheitsrisiko dar Doch alle technischen Sicherheitsmaßnahmen nut- zen wenig, wenn nicht auch die Mitarbeiterinnen E-Mails und andere digitale Kommunikationstools und Mitarbeiter bzgl. eines sicheren Datenaustauschs sind nach wie vor die größte Schwachstelle in den geschult werden. Das weiß auch Nico Vitt, der mit IT-Systemen vieler Firmen. Nur etwas mehr als die dem Theodor-Stephan-Personal über den Umgang Hälfte der im Rahmen der DsiN-Studie5 befragten mit E-Mails, etwaige Sicherheitslücken und das Unternehmen treffen Sicherheitsvorkehrungen für richtige Vorgehen im Risikofall diskutierte. Ebenso den Versand von Nachrichten. Nur jedes fünfte ist zu beachten, dass Cyberkriminalität nicht die Unternehmen achtet auf verschlüsselte E-Mails. einzige Gefahr für Unternehmensdaten darstellt. Ein gefundenes Fressen für Cyber-Kriminelle, die IT-Systeme müssen auch gegen potenzielle Unfall so sensible Daten ausspähen oder Schadsoftware in szenarien geschützt werden. Vitt stellte etwa fest, die IT-Systeme einschleusen können. Dabei genü- dass der Serverraum der Firma in einem leicht gen schon einige Klicks im E-Mail-Programm, um zugänglichen Bereich auch äußeren Gefahren wie eine handelsübliche Transportverschlüsselung zu Wasser und Feuer ausgesetzt war. Alle Daten wären erreichen. Auch hochwertigere Lösungen kosten in so im schlechtesten Fall auf einen Schlag vernichtet. aller Regel wenig Aufwand. Um etwa die Verschlüs- Der Server sollte stattdessen an einem Ort frei von selungstechnologie S/MIME zu nutzen und damit Gefahrenquellen platziert werden, zum Beispiel Ende-zu-Ende-Verschlüsselung zu erzielen, benö- in einem höhergelegenen Raum, der zudem gut 5 DsiN-Praxisreport Mittelstand 2020, S. 27
T H E M E N H E F T „ S I C H E R E R D AT E N AU S TAU S C H “ 17 gegen unbefugten Besuch gesichert ist – ein einfa- sicherung entstanden. Der Server wird nun jeden cher Ratschlag, der von Arndt Nikolaus Loh gleich Tag ausgelesen. Die dabei befüllten externen Fest- umgesetzt wurde. platten bleiben nicht im Firmengebäude. Eventuell verlorene Daten können so problemlos wiederher- gestellt werden. „Selbst wenn uns jetzt nachts die Im Notfall hilft ein Backup Firma abbrennen würde – die Daten wären noch da. Das beruhigt uns sehr“, resümiert Loh. Vor allem Sollte es dennoch einmal zu schwerwiegenden hat er während der Zusammenarbeit mit dem Mit- technischen Problemen kommen, verfügt die Firma telstand 4.0-Kompetenzzentrum eines gelernt: Der nun auf Anraten des Kompetenzzentrums über ein Schutz der betriebsinternen Daten lässt sich auch Back-up der Daten. Im Rahmen der Zusammen Schritt für Schritt durch kleine Maßnahmen arbeit ist ein neues Konzept für die externe Daten- bedeutend verbessern. Kontaktinformationen zum Zentrum Siegen
18 T H E M E N H E F T „ S I C H E R E R DAT E N AU S TAU S C H “ Geteilte Kapazitäten mit doppeltem Nutzen – aber sicher! Digitale Zwillinge sind Grundlage für Gemeinschaftsproduktionen, bei denen Daten sicher in der Blockchain geteilt werden. Nach dem Motto „Gemeinsam sind wir stark“ können sich Unternehmen zusammentun, um im Wettbewerb zu bestehen. Dafür müssen sie aber wissen, wer passende Maschinen mit freien Kapazitäten hat – und Daten sicher teilen können. Eine digitale Plattform kann vermitteln. Die Blockchain sorgt für die notwendige Datensicherheit. Wie das System funktioniert, hat das Mittelstand 4.0-Kompetenzzentrum Ilmenau durchgespielt. „Sharing Economy“ ist das Stichwort, das vor allem Unternehmen A aber nicht besitzt. An dieser Stelle für kleine und mittlere Unternehmen interessant kommt Unternehmen B ins Spiel, das die Weiter- sein kann. Sich mit der Konkurrenz zusammen verarbeitung übernehmen kann, weil es die passende zuschließen, ist aber mit Risiken verbunden. Denn Maschine hat und noch dazu die Kapazitäten. wer gibt schon gern Betriebsgeheimnisse aus der Hand? Aber ohne Datenaustausch geht es nicht, und „Ziel unseres Projektes war es, eine Art Marktplatz der soll noch dazu möglichst sicher sein. Hier kann zu schaffen, auf dem Unternehmen und deren die Integration einer Blockchain für Sicherheit sor- Maschinen als ‚Digitale Zwillinge‘ agieren“, erläutert gen. Das Mittelstand 4.0-Kompetenzzentrum in Mathias Eiber vom Ilmenauer Kompetenzzentrum Ilmenau hat als Beispiel die additive Fertigung von dieses Konzept der kooperativen Wertschöpfung. Kleinserien mithilfe des so genannten Lichtbogen- Jedes Unternehmen kann Teil dieses Netzwerks draht-Auftragschweißens durchgespielt: Auftrag- werden. Es muss sich nur eine „Digitale Identität“ nehmer A fertigt ein Teil, bei dem ein Metalldraht zulegen. In diese digitale Visitenkarte stellt es seine mit einem Lichtbogen in einem 3D-Druck-Verfah- Maschinen ein, die als so genannter „Digitaler Zwil- ren aufgeschmolzen wird – Schicht für Schicht. ling“ fungieren. Dieser Zwilling verfügt über Meta- Dieser Rohling muss bearbeitet werden. Für Gewinde daten, die beschreiben, was die Maschine kann und oder Bohrungen sind Maschinen notwendig, die wann sie freie Kapazitäten hat.
T H E M E N H E F T „ S I C H E R E R D AT E N A U S TAU S C H “ 19 Blockchain als neutraler, sicherer und Verfügung stellen. Sie brauchen außerdem die verlässlicher Vermittler Sicherheit, dass der Auftrag möglichst reibungslos abgewickelt wird. Deshalb hat das Mittelstand 4.0- Nun möchten die Unternehmen ihre Daten aber Kompetenzzentrum Ilmenau die digitalen Abbilder nicht allen am Fertigungsprozess Beteiligten zur in eine Blockchain integriert. Auftraggeber Auftragnehmer 1 Auftragnehmer 2 Prozess: Konstruktion Prozess: Additive Fertigung Prozess: CNC-Bearbeitung Ergebnis: 3D-CAD-Modell Ergebnis: Rohprodukt Ergebnis: Fertiges Produkt Fertiges Produkt Auftrag Auftragsdaten Prozessdaten Auftragsdaten Prozessdaten Smart Contract CAD-Daten Dokumentation CAD-Daten Dokumentation Blockchain Abgleich mit Auftragsdaten Digitaler Digitaler Digitaler Digitaler Zwilling Zwilling Zwilling Zwilling Maschinen Maschinen Maschinen Maschinen Kapazität Kapazität Kapazität Kapazität Das Prinzip Blockchain, verbunden mit Digitalen Zwillingen, am Beispiel des Kompetenzzentrums Ilmenau
20 T H E M E N H E F T „ S I C H E R E R DAT E N AU S TAU S C H “ In der Blockchain werden z. B. CAD-Modelle des allen bestätigt werden. Da die Blockchain doku- Produkts, das gefertigt werden soll, hinterlegt. Ver- mentiert, wer wann was gemacht hat, lässt sich knüpft werden außerdem Materiallisten, Prüfproto auch feststellen, wo Fehler passiert sind. kolle und vertragliche Unterlagen. Die eigentlichen Daten sind dezentral auf den jeweiligen Rechnern Unternehmen, davon ist Mathias Eiber überzeugt, der Blockchain-Teilnehmer abgelegt. Jede Informa- profitieren im Ilmenauer Modell gleich doppelt: tion bildet einen Block. Für jeden neu angefügten „Sie können eigene freie Kapazität auf einem unab- Block wird ein Hash, einem digitalen Fingerabdruck hängigen Marktplatz anbieten und so ihre Maschi- gleich, berechnet. Zusätzlich enthält er den Hash nen besser auslasten. Sie können aber auch Aufträge, des vorherigen Blocks. Über die Hashs werden die die ihre eigenen zeitlichen und technischen Kapa- Blöcke zu einer Kette verbunden: der Blockchain. zitäten übersteigen, unkompliziert und sicher über Auf jedem Rechner ist dieselbe Kette mit denselben das Netzwerk abwickeln, größere Aufträge anneh- Links zu den eigentlichen Daten abgespeichert. Die men oder von einer Teilfertigung profitieren.“ Teilnehmenden sehen nicht alle Daten, wohl aber Transparent, smart und sicher. jede Transaktion. Jede veränderte Kette muss von Kontaktinformationen zum Zentrum Ilmenau
T H E M E N H E F T „ S I C H E R E R D AT E N AU S TAU S C H “ 21 Digitale Einlasskontrolle sorgt für Sicherheit Mit einer Datenschleuse können Daten sicher in Unternehmen übertragen werden. Daten gelangen auf unterschiedlichen Wegen ins Unternehmen: unter anderem auf USB-Sticks und Speicherkarten oder per E-Mail. Damit Schadprogramme, die oft über Speichermedien un bemerkt eingeschleust werden, nicht das ganze Unternehmen lahmlegen, gibt es die so genannte Datenschleuse. Software-Updates, Präsentationen oder Vertriebs- mals nicht aufrechterhalten lässt, ohne einen prak- und Marketingunterlagen – die Liste von extern ins tikablen Ersatzweg anzubieten. System eingespeisten Dateien ist oft lang. Ebenso wie die Wege, auf denen die Daten ins Unterneh- „Eine Datenschleuse zur Sicherheitsprüfung von men gelangen: Mitarbeitende, Dienstleistende oder Dateien ist eine Möglichkeit, unternehmensfremde die Kundinnen und Kunden bringen oft USB-Sticks, Speichermedien durch eine zentrale Dateiablage Festplatten oder andere Speichermedien mit, um oder freigegebene Speichermedien zu ersetzen, ohne ihre eigenen Dateien auf fremden Rechnern zu dass die eigene Infrastruktur in Gefahr gerät“, er nutzen. Software-Updates werden, vor allem bei läutert Christopher Tebbe vom Mittelstand 4.0- Unternehmen mit mehreren Standorten, zum Teil Kompetenzzentrum Hannover. per Fernwartung eingespielt. Neben den gewünsch- ten Dateien kommt dann allzu häufig auch Malware mit in das Unternehmenssystem und richtet dort Kleines Mittel, große Wirkung zum Teil erhebliche Schäden an. Bei einer Datenschleuse handelt es sich um einen Viele Unternehmen greifen daher zu rigorosen Dateiablage-Server mit einem oder mehreren Anti- Maßnahmen und verbieten den Einsatz von mit Schadsoftware-Lösungen. Eingehende Dateien gebrachten Speichermedien grundsätzlich. In der werden auf diesem Server geprüft und, wenn keine Praxis zeigt sich aber, dass sich dieses Verbot oft- Schadsoftware gefunden wurde, zur weiteren
22 T H E M E N H E F T „ S I C H E R E R DAT E N AU S TAU S C H “ Nutzung freigegeben. So kann durch dieses einfache, menlogos in Auftrag zu geben. Dazu lädt er Dateien aber effektive System verhindert werden, dass Mal- in die Datenschleuse hoch. Die auf der Datenschleuse ware Schäden in Systemen anrichtet und dadurch laufenden Programme nehmen eine Prüfung auf Worst-case-Szenarien wie Produktionsausfälle oder Schadsoftware vor. Geht von der hochgeladenen Dateiverschlüsselungen die Folge sind. Datei keine Bedrohung aus, kann die Mitarbeiterin des Unternehmens die Daten nach Prüfung abho- Beispielhaft lässt sich der Funktionsablauf der len und sie guten Gewissens verwenden. Wurde Datenschleuse so beschreiben: Ein Kunde möchte Schadsoftware gefunden, gibt es mehrere Möglich- mit einem Unternehmen Daten teilen, beispiels- keiten: Die Datei wird entweder in Quarantäne ver- weise um in einer Druckerei den Druck seines Fir- schoben oder direkt gelöscht. In beiden Fällen steht Über eine Datenschleuse wird sichergestellt, dass beim Datenaustausch keine Schadprogramme ins Unternehmen gelangen.
T H E M E N H E F T „ S I C H E R E R D AT E N AU S TAU S C H “ 23 sie aber zur Nutzung nicht zur Verfügung. Je nach Sicherheit zum Selbermachen Konfiguration der Datenschleuse kann ein Admi- nistrator benachrichtigt werden und das Ergebnis Eine Datenschleuse kann sowohl vom Unternehmen der Analyse prüfen. Wurde die betreffende Datei selbst als auch durch Dienstleistende betrieben fälschlicherweise als Schadsoftware identifiziert, werden. Soll die Datenschleuse im eigenen Unter- kann sie wieder freigeben und somit auch genutzt nehmen eingerichtet werden, ist dazu lediglich ein werden. eigener Server mit der Datenschleusensoftware vor Ort oder im Rechenzentrum notwendig. Hat das Datenschleusen gibt es in verschiedenen Varianten: Unternehmen keine eigene IT-Abteilung, bieten Sie sind für Daten, die via Download oder Mail ins zahlreiche Dienstleistende unterschiedliche Modelle System kommen, und für Dateien verfügbar, die auf einer Datenschleuse an. Diese reichen von einer USB-Sticks, Festplatten oder sogar noch Disketten digitalen Schleuse, auf die über eine Weboberfläche gespeichert mitgebracht werden. zugegriffen werden kann, bis hin zu physischen Terminals, an die Speichermedien direkt angedockt werden können. Kontaktinformationen zum Zentrum Hannover
24 T H E M E N H E F T „ S I C H E R E R DAT E N AU S TAU S C H “ Mittelstand-Digital unterstützt regional und thematisch 26 Mittelstand 4.0-Kompetenzzentren unterstützen Wie können kleine und mittlere Unternehmen den kleine und mittlere Unternehmen in ganz Deutsch sicheren internen und externen Austausch von land bei der Digitalisierung. Kompetent und an Daten gewährleisten und so die Digitalisierung bieterneutral informieren sie nicht nur theoretisch vorantreiben? Die Mittelstand 4.0-Kompetenzzent- über Chancen und Herausforderungen der digita- ren unterstützen mit ihrer umfassenden Expertise len Transformation, sondern bieten in ihren Lern- bei der Konzeption und Umsetzung passender und Demonstrationsfabriken auch die Möglichkeit, Maßnahmen. digitale Technologien in der betrieblichen Praxis zu testen. In der aktuellen Situation haben sie zudem M ittelstand 4.0-Kompetenzzentrum ihr Onlineangebot weiter ausgebaut. Augsburg • Grundlagen IT-Sicherheit beim Datenverkehr Die 18 regionalen Mittelstand 4.0-Kompetenzzent- im Netz ren haben unterschiedliche Schwerpunktthemen, • Gesicherte Datenübertragung im EU-konformen angefangen bei additiver Fertigung und digitalen Datenraum (GAIA-X) Geschäftsmodellen über IT-Sicherheit bis hin zu Wissensmanagement und digitalem Zahlungsver- M ittelstand 4.0-Kompetenzzentrum Berlin kehr. • Praxisnahe Workshops zu IT-Sicherheitsmaß- nahmen in KMU Die acht thematischen Zentren leisten jeweils an • Identifikation von und Handlungsempfehlun- mehreren Standorten deutschlandweit gezielte gen zur Schließung von IT-Sicherheitslücken Unterstützung für einzelne Branchen (Handel, Handwerk, Baugewerbe, IT- und Textilwirtschaft) M ittelstand 4.0-Kompetenzzentrum Bremen bzw. Themen (eStandards, Kommunikation und • Sichere Cloud-Anwendungen, -Konzepte und Usability). Methoden für geschützte Datenübertragungen • Data Governance im Wertschöpfungsnetzwerk
T H E M E N H E F T „ S I C H E R E R D AT E N AU S TAU S C H “ 25 M ittelstand 4.0-Kompetenzzentrum M ittelstand 4.0-Kompetenzzentrum Chemnitz Hamburg • Datenschutz und IT-Sicherheit in der Produktion, • Technologieradar zur durchgängigen Datennut- Organisation und Kommunikation zung: Vorstellung aktueller Technologien zum • Sicherer Datenaustausch durch Verschlüsselung sicheren Datenaustausch • Einsatz von Blockchain-Anwendungen, u. a. für M ittelstand 4.0-Kompetenzzentrum Cottbus adaptive Supply Chain und Smart Contracts • BSI IT-Grundschutz, insbesondere Schulung und Informationen zu relevanter technischer M ittelstand 4.0-Kompetenzzentrum Infrastruktur, organisationaler und prozessualer Hannover Einbettung, Sensibilisierung und Befähigung • Bedrohungslage, Awareness, Schutzkonzepte der Mitarbeitenden (Schulung, Webinar, Firmengespräch, Projekt) • Einschätzung IT-Sicherheitsstatus, Konzeptio- M ittelstand 4.0-Kompetenzzentrum nierung von Schutzmaßnahmen (Firmenge- Darmstadt spräch, Projekt) • Identifikation der zu schützenden Werte sowie Bewertung der Unternehmensinfrastruktur M ittelstand 4.0-Kompetenzzentrum Ilmenau hinsichtlich möglicher Risiken • Prozessdatenweitergabe und kooperative Wert- • Entwicklung ganzheitlicher Sicherheitsmaß- schöpfung mit Blockchain nahmen gegen unbefugte Zugriffe auf Unter- • Ortsunabhängiger und sicherer Zugriff auf Pro- nehmenssysteme duktionsdaten und -technik durch Cloud- Lösungen M ittelstand 4.0-Kompetenzzentrum Dortmund • Unterstützung bei Auswahl, Identifikation und Implementierung von Blockchain-Technologien im Unternehmen • Datensicherheit und Datensouveränität im Kon- text des International Data Space und GAIA-X
26 T H E M E N H E F T „ S I C H E R E R DAT E N AU S TAU S C H “ M ittelstand 4.0-Kompetenzzentrum M ittelstand 4.0-Kompetenzzentrum Rostock Kaiserslautern • „Der elektronische Arztbrief“ (eArztbrief – • Unterstützung bei der Einführung von schnelle und sichere Übermittlung medizinischer Systemen zum Datenmanagement, Informationen) z. B. ERP- und DMS-Systeme • „Die elektronische Patientenakte“ (ePA – • Unterstützung bei der Entwicklung von jederzeit verfügbare persönliche Gesundheits- Apps zum sicheren unternehmensinternen und Krankheitsinformationen) Datenaustausch M ittelstand 4.0-Kompetenzzentrum M ittelstand 4.0-Kompetenzzentrum Kiel Saarbrücken • Identifikation möglicher Angriffspunkte, • Industrial IT-Security: Grundlagen, Organisa- Analyse und Aufzeigen passender Schutz tion und Prozesse, Faktor Mensch, notwendige mechanismen technische Maßnahmen • Vernetzung kritischer Systeme, bspw. von • Sicherheit im Homeoffice: Situations- und Risi- Medizingeräten koanalyse, Maßnahmen für sicheres Arbeiten M ittelstand 4.0-Kompetenzzentrum Lingen M ittelstand 4.0-Kompetenzzentrum Siegen • Datensicherheit und der Faktor Mensch als • IT-Sicherheitsstrategie Grundlage für die Resilienz von Wertschöp- • Begleitung bei der Einführung von Sicherheits- fungsketten im Bereich des Datenaustauschs Frameworks im Unternehmen • Datensouveränität beim/und Cloud Computing M ittelstand 4.0-Kompetenzzentrum M ittelstand 4.0-Kompetenzzentrum Stuttgart Magdeburg • Einstieg in das Thema „Informationssicherheits- • Sichere Datenübertragung: Effiziente Erfassung, management“ (Basis: ISO 27001/2, IT-Grund- Übertragung und Analyse von Prozess schutz) informationen • Bündelung von Angeboten zu Informationssi- • Informationssicherheit: Informationen rund cherheit und Infos zum sicherheitsrelevanten um E-Mail-Verschlüsselung und Signierung Lagebild für KMU zur Informationssicherheit
T H E M E N H E F T „ S I C H E R E R D AT E N AU S TAU S C H “ 27 K ompetenzzentrum Digitales Handwerk M ittelstand 4.0-Kompetenzzentrum • „Routenplaner – Cybersicherheit im Handwerk“ Kommunikation – Handbuch für den sicheren Datenaustausch • Sichere Übermittlung von Daten mithilfe und eine geeignete Infrastruktur der Blockchain-Technologie, z. B. durch Smart • Digitalisierungsprojekt „Zertifizierte IT-Sicher- Contracts heit“ mit dem E-CHECK IT • Vertrauen in digitale Technologien durch IT-Sicherheit M ittelstand 4.0-Kompetenzzentrum eStan- dards M ittelstand 4.0-Kompetenzzentrum Planen • Sichere Datenübertragung mit Distributed- und Bauen Ledger-Technologien (z. B. Blockchain), Ver • Hinweise und Informationen zu Datensicherheit trauensumgebungen und digitalem Identitäts- und Datenübergabe in BIM-Projekten, management insbesondere in Auftraggeberinformations • Einsatz im Rahmen von Plattformökonomie, anforderungen (AIA) Datenökonomie und Maschinendatenaustausch M ittelstand 4.0-Kompetenzzentrum Textil M ittelstand 4.0-Kompetenzzentrum Handel vernetzt • Finanz- und Paymentprozesse im Online-Handel • Valider Datenaustausch zwischen Industrie und • Schnittstellen zwischen gängigen IT-Systemen Handel im Handel • Sicherer Datenaustausch mithilfe smarter Sen- sorsysteme M ittelstand 4.0-Kompetenzzentrum IT-Wirtschaft M ittelstand 4.0-Kompetenzzentrum • Vorlagen, Leitfäden, Tools und Online-Angebote Usability zu Datenschutz und IT-Sicherheit für die • Analyse und Optimierung von Usability und Kooperationsbildung von IT-KMU User Experience bei Mensch-Maschine-Schnitt- • Aufzeigen von Risiken und Lösungen in Live- stellen für sicheren Datenaustausch Demos im Security-Lab • Wissenstransfer zur Gestaltung und Testung von sicheren digitalen Systemen und agilen Arbeits- prozessen
28 T H E M E N H E F T „ S I C H E R E R DAT E N AU S TAU S C H “ „Wir wollen ermuntern, den ersten Schritt zu tun“ Das letzte Jahr hat viele Unternehmen zur Digitali- sierung ihrer Arbeitsprozesse gezwungen. Lösungen, die auf sichere Dateninfrastrukturen setzen, standen bei den großen Herausforderungen nicht immer oben auf der Prioritätenliste. Auch Unternehmen, die bereits vor der Pandemie über eine gute digitale TISiM-Leiterin Sandra Balz spricht im Interview Infrastruktur und einen sicheren Datentransfer im darüber, was die größten Schwachstellen der Betriebe Betrieb verfügten, sehen sich durch den Dauerzu- im Bereich des sicheren Datenaustauschs sind und stand Homeoffice nun vor neue Fragen hinsicht- wie die Transferstelle bei der Bekämpfung hilft. lich der Datensicherheit gestellt. Denn auch im Homeoffice tauschen Mitarbeiterinnen und Mitar- Welche Sicherheitslücken begegnen Ihnen am beiter vertrauliche Nachrichten untereinander in häufigsten bei kleinen und mittleren Unternehmen, E-Mails, digitalen Transfer-Lösungen und Kollabo- wenn es um das Thema Datenaustausch geht? rationstools aus. Auch sensible Daten werden so mit der Kundschaft oder zwischen Mitarbeitenden geteilt. SANDRA BALZ: Der Praxisreport Mittelstand 2020 von Deutschland sicher im Netz e. V. (DsiN) zeigt, Unternehmen, die in Sachen IT-Sicherheit nach- dass jeder vierte Betrieb über keinerlei Datensiche- rüsten möchten, bietet die Transferstelle für IT- rungen verfügt und nur jedes fünfte Unternehmen Sicherheit im Mittelstand (TISiM) Unterstützung an. auf verschlüsselte E-Mails achtet. Besonders in klei- Anfang des letzten Jahres wurde diese vom Bundes- nen und mittleren Unternehmen haben wir häufig ministerium für Wirtschaft und Energie als ein das Problem, dass die IT-Sicherheit in den Händen Angebot von Mittelstand-Digital ins Leben gerufen. von nicht gesondert qualifizierten Mitarbeitenden Bundesweit hilft die TISiM Selbstständigen, freibe- liegt. Bei 45 Prozent der Unternehmen unter zehn ruflich tätigen Personen, kleineren Unternehmen Mitarbeitenden kümmert sich die Chefin oder der sowie Handwerksbetrieben dabei, passgenaue Chef selbst um die IT-Sicherheit. Hier braucht es ein IT-Schutzmaßnahmen zu finden und umzusetzen. fache und verständliche Unterstützungsangebote.
T H E M E N H E F T „ S I C H E R E R D AT E N AU S TAU S C H “ 29 Wie unterstützt die TISiM die Unternehmen? SANDRA BALZ: Die Sensibilität von Unternehmen für das Thema IT-Sicherheit hat deutlich zuge- nommen. Auch stehen bereits viele Angebote für IT-Sicherheit und Datenschutz bereit. Die Betriebe wissen jedoch oft nicht, welche davon die richtigen für ihren konkreten Bedarf sind. Die Transferstelle IT-Sicherheit im Mittelstand bündelt und sortiert Sandra Balz ist Leiterin der Transferstelle IT-Sicherheit im diese Angebote, um sie anschließend zielgerichtet Mittelstand. an kleine und mittlere Unternehmen sowie Hand- werksbetriebe und Selbstständige zu vermitteln. Denn: die Unternehmens-individuellen Vorausset- Wie sieht diese Vermittlung konkret aus? zungen sind ausschlaggebend für die Ausgestaltung der IT-Sicherheit. Hier geht es beispielsweise um SANDRA BALZ: Bei TISiM bauen wir sowohl auf die Frage, ob ein Unternehmen bereits über eine digitale als auch analoge Informationskanäle. eigene IT-Abteilung verfügt oder bei null anfängt. TISiM ist eine bundesweite Anlaufstelle, die regio- nal agieren kann. Um Unternehmen regionale Das Herzstück der Transferstelle ist der so genannte Ansprechpersonen zur Seite zu stellen, gibt es die Sec-O-Mat. Als Suchmaschine für IT-Sicherheit hält TISiM-Regional-Standorte, die in den IHK angesie- er zahlreiche Angebote und Handlungsempfehlun- delt sind – weitere TISiM-Regional-Standorte sind gen bereit und stellt sie in passgenauen TISiM- unter anderem bei den Mittelstand 4.0-Kompetenz Aktionsplänen zur Verfügung. Die Unternehmen zentren und Handwerkskammern geplant. Dort werden damit Schritt für Schritt bei der Umsetzung informieren die TISiM-Trainerinnen und -Trainer begleitet und anbieterneutrale Hilfs- und Weiter- über die Angebote der Transferstelle. TISiM-Trainer bildungsangebote werden angezeigt. Eine Beta- werden in der TISiM-Workshopreihe dazu befähigt, Fassung des Sec-O-Mat steht bereits online zur die TISiM-Leistungen zu vermitteln und anwenden Verfügung. zu können – so stehen Unternehmen Ansprechper- sonen direkt vor Ort zur Verfügung.
Sie können auch lesen