Netzwerksicherheit und Know-how-Schutz
Security: Mehr als Netzwerksicherheit
Fortsetzung des Artikels von Teil 1
Positionsbestimmung und Analyse auf Schwachstellen
Jedes Unternehmen hat Informationen, die für den Wettbewerb interessant sind. Also ist auch jedes Unternehmen vom Thema Security betroffen. Grundsätzlich gilt unabhängig von der Größe: Je innovativer das Unternehmen ist, umso interessanter sind die Daten. Kleine und mittlere Unternehmen sind deutlich anfälliger im Sinne einer Existenzbedrohung. Zunächst sollten in jedem Unternehmen die Schwachstellen identifiziert werden. Dazu kann man sich folgende Fragen stellen:
- WAS: Welche Daten sind von Interesse? Welche Kernkompetenzen bestehen? Welche Technologien in Entwicklung und Fertigung könnten auch für andere attraktiv sein?
- WER: Wer hat Interesse? Wer würde Zeit und Geld investieren, um Daten zu bekommen?
- WIE: Wo gibt es frei zugängliche Quellen, wie handeln Mitarbeiter auf Reisen, wie gehen sie mit Geschäftspartnern um?
Eine wesentliche Schwachstelle kann der Mensch, also der Mitarbeiter, sein. Hier ist Abhilfe zu schaffen durch entsprechende Sensibilisierungsmaßnahmen. Dabei muss das Wissen aufgebaut werden, welche Daten schützenswert sind, sowie die Erkenntnis, dass der Schutz notwendig ist. Die technischen Schutzmaßnahmen im Unternehmen sollen eine ausreichende Absicherung des Unternehmensnetzwerks und der Fertigungseinrichtungen gewährleisten. Hierzu gehört eine entsprechende Zugangskontrolle, auch für die Fertigungseinrichtungen, sowie eine Segmentierung des Netzwerks. Alle Maßnahmen sind kontinuierlich zu wiederholen, in ihrer Wirksamkeit zu prüfen und zu aktualisieren.
Informationsbeschaffung
Schon auf Basis öffentlich zugänglicher Quellen ist es möglich, viele Informationen zu bekommen. Über Schwachstellen im Netzwerk des Unternehmens lassen sich mit wachsendem Aufwand weitere Informationen beschaffen – letztlich steht damit die langfristige Wettbewerbsfähigkeit auf dem Spiel. Die Frage ist nicht, ob Daten und Informationen zu beschaffen sind, die Frage ist vielmehr, wie viel Aufwand jemand zu betreiben bereit ist. Auf legalem Weg ist dies einfach: Sehr aufschlussreich ist die Beobachtung der externen und damit frei zugänglichen Informationen, die ein Unternehmen selbst verbreitet, sowie eine entsprechende Wettbewerbsbeobachtung. Mit weitergehenden Methoden wie »Social Engineering« beginnt dann die Grenzüberschreitung. Unter diesem Begriff werden fingierte Telefonate, konkrete Kontaktaufnahme und »Datenerhebung« über Social Media zusammengefasst. In weiter gesteigerter Form spricht man dann von Wirtschaftsspionage, auch »Human Intelligence« genannt.
Betroffen sind auch Automatisierer. Hier gibt es jedoch einige Besonderheiten, die zusätzlich zu beachten sind, vor allem angesichts der zunehmenden Vernetzung in der Automatisierung. Ein schlecht oder nicht gesichertes Produktionsnetzwerk, der sorglose Umgang mit fremden Computern wie etwa dem mobilen Endgerät eines Service-Technikers oder eine Wartung über einen unzureichend geschützten Fernzugang kann dem Angreifer den Weg in das Unternehmensnetzwerk und damit zu den schützenswerten Daten ebnen. Gerade in der Automatisierung und Fertigung ist es daher wichtig, gute Schutzmaßnahmen zu ergreifen, die denen im Büro in nichts nachstehen.
- Security: Mehr als Netzwerksicherheit
- Positionsbestimmung und Analyse auf Schwachstellen
- Lösungsansätze
