Beiträge

Informationssicherheit

Mit Informationssicherheit befassen, sonst nutzen die digitalen Chancen wenig

Die Mittelstand 4.0-Agentur Kommunikation hat im Hause Bundesdruckerei eine Dialogveranstaltung in Form eines World Cafés veranstaltet, Thema: „Sicherheit im digitalen Wandel“. Die Dokumentation ist jetzt als Broschüre erschienen.

Täglich werden Menschen Opfer von Identitätsdiebstählen. Sie bekommen offiziell aussehende Nachrichten, die zur Preisgabe wichtiger Identitätsdaten auffordern. Das reicht von Online-Bezahlservices die Kundendaten samt Passwörtern wollen bis zu Online-Shops, die angeblich eine wichtige Änderung der Zugangsdaten durchführen. Werden diese Daten irrtümlich preisgegeben, kann ein teurer Schaden drohen.

Die Gewährleistung sicherer Identitäten ist für kleine und mittlere Unternehmen ein wesentlicher Faktor für erfolgreiche Geschäftsbeziehungen. Das Interesse und der Informationsbedarf rund um das Thema sind riesig. Am 11. Mai 2017 fand in der Bundesdruckerei die Dialogveranstaltung „Sichere Identitäten“ statt. Gemeinsam ausgerichtet von der Mittelstand 4.0-Agentur Kommunikation, dem Verein Sichere Identität Berlin-Brandenburg e.V. und den Unternehmenerverbänden Berlin-Brandenburg UVB, diskutierten Experten und rund 40 Gäste in einem World Café aktuelle Herausforderungen der Digitalisierung. Es gab fünf Thementische:

  • Digitalisierung von papierbasierten Prozessen mit E-Signatur, geleitet von Tatami Michalek, Geschäftsführer secrypt GmbH
  • Datenschutz 2.0 – Neues aus der EU ab Mai 2018 (EU-DSGVO), Dirk Clemens, Datenschutzbeauftragter der Bundesdruckerei
  • IT-Sicherheit – eine Hürde für die Umsetzung der Digitalisierung in Unternehmen?, Prof. Dr. Marian Margraf, Institut für Informatik, Fachbereich Mathematik und Informatik der FU Berlin
  • ID-Management – Identitäten ohne Passwort, Tatiana Gayvoronskaya, Team Security Tech, Hasso-Plattner Institut
  • Vertrauliche E-Mails – Neues zum Wirtschafts- und Knowhow-Schutz, Andreas Nold, Chief Commercial Officer Zertificon Solutions GmbH

Die Teilnehmer nutzen die Möglichkeit sich auszutauschen, sich zu vernetzen und Herausforderungen in einer wertschätzenden und offenen Atmosphäre zu diskutieren. Da alle Veranstaltungsteilnehmer schon mit dem Thema „Sichere Identitäten und IT-Sicherheit“ vertraut waren, konnte schnell und konstruktiv an Problemlösungsszenarien gearbeitet werden.

Broschüre „Dokumentation der Veranstaltung „Sichere Identitaeten“ herunterladen

Schadsoftware

Schadsoftware kommt nicht durch die Luft auf Ihren Rechner

Die Digitalisierung löst in Unternehmen auch Angst aus: Denn über fünf Einfalltore können Cyberkriminelle in ihre Systeme eindringen. Dabei gibt es einfache Regeln, mit denen man sich konsequent schützen kann. Die TU Darmstadt hat dazu ein kostenfreies Schulungsprogramm mit vier Modulen entwickelt.

Ein kleines hessisches Unternehmen kauft regelmäßig Produkte bei einem Handelspartner in Asien. Der Mitarbeiter, der die Geschäfte finanziell abwickelt, erhält eine Mail von dem gewohnten Absender in Asien. Darin steht, die Bankverbindung habe sich geändert. Der nächste Rechnungsbetrag – 150.000 Euro –  sei bitte auf das neue Konto zu überweisen. Der Mitarbeiter in Hessen tut dies.

Fehler! Er ist Opfer eines so genannten Social Engineering-Angriffs geworden. „Hätte er den erweiterten Mail-Kopf geöffnet, hätte er gesehen, dass die wahre Absenderadresse nicht die gewohnte war, sondern eine andere. Außerdem hätte er auch bei dem Handelspartner in Asien anrufen können“, sagt Michael Rühl vom Polizeipräsidium Südhessen. Ihm ist vor zwei Jahren in seiner Zeit als Ermittler genau dieser Fall begegnet. Inzwischen leitet er die polizeiliche Beratungsstelle „Cybercrime“ und klärt Unternehmen und Privatleute über die Tricks der Betrüger im Netz auf. Das schwächste Glied sei immer noch der Mensch, der einzelne Mitarbeiter, sagt Rühl. „Schadsoftware kommt nicht durch die Luft auf Ihren Rechner. Wichtig ist, dass jeder einzelne Mitarbeiter geschult ist und Bescheid weiß. Und nicht nur der Chef.“ Grundsätzlich gebe es immer zwei Vorsorgevarianten, die man am besten miteinander kombiniert, sagt Oliver Berg, der bei der Sparkasse Darmstadt die Abteilung „Mediale Vertriebswege“ leitet: erstens die technische und zweitens die Aufklärung der Mitarbeiter. Drei Mal im Jahr werden in der Bank alle Mitarbeiter darin geschult: „Wie erkenne ich eine Gefahrensituation?“ In jedem Fall sollten die fünf größten Einfallstore für Cyberkriminelle bekannt sein:

Tor 1: Infizierte USB-Sticks oder CDs

Schadsoftware kann über infizierte USB-Sticks oder CDs auf einen Firmenrechner und somit ins System des ganzen Unternehmens gelangen. Damit können zum Beispiel Daten verschlüsselt oder von außen ausgelesen werden. Wie kann man verhindern, dass Mitarbeiter fremde USB-Sticks oder CDs verwenden? „Bei uns sind alle USB-Zugänge gesperrt oder gar nicht mehr vorhanden, genauso wie CD-Laufwerke. Will ein Mitarbeiter einen fremden USB-Stick verwenden, muss dieser vorher durch die Prüfung unserer Systemadministratoren“, sagt Berg. Hier setzt die Sparkasse konsequent auf die technische Verhinderung leichtsinnigen Verhaltens.

Tor 2: Betrügerische E-Mails (Phishing)

„Erst denken, dann klicken“, warnt Aufklärer Rühl von der Polizei. Immer, wenn der Absender einer Mail eine Aktion vom Lesenden fordert, müsse man automatisch denken „Stop! Macht dieser Klick Sinn?“ Oft wird Schadsoftware per Mailanhang als Bewerbung oder Rechnung getarnt. Auch Links können zu Virusseiten führen. Hier muss man genau schauen: Entspricht der Link dem gängigen Muster? www.unternehmen.de oder.com?

Beispiel hierzu: Flyer zum Download

Die Sparkasse nutzt auch hier zusätzlich technischen Schutz: Alle Mails mit Anhang werden besonders geprüft. Auf Tippfehler oder andere Auffälligkeiten dürfe man sich bei betrügerischen E-Mails nicht mehr verlassen, sagt Oliver Berg. „Die kriminellen Mails werden immer besser.“ Dazu gehört auch, dass die Absender auf den ersten Blick vertraut aussehen können.

Tor 3: DDos-Attacken und Ransomware (Erpressungstrojaner)

Diese Angriffe haben das Ziel, den Nutzern den Zugriff auf ein Computersystem unmöglich zu machen oder Firmenwebseiten unerreichbar zu machen. „Davon betroffen sind viele kleine und mittlere Unternehmen, auch viele Onlineshops“, sagt Michael Rühl von der Polizei. Nach der Attacke kommt eine Zahlungsaufforderung. Wird diese beglichen, werden die Seiten meist wieder freigegeben. „Viele Unternehmen bezahlen diese oft erschwinglichen Beträge, um den Geschäftsausfall und den Reputationsverlust einzudämmen.“ Gegen solche Angriffe kann nur eine entsprechende softwaretechnische Aufrüstung helfen.

Tor 4: Fingierte Anrufe

Ein Anrufer gibt sich als Mitarbeiter von Microsoft oder einer anderen bekannten seriösen Firma aus. Unter einem Vorwand soll dem Anrufer ein Fernzugang auf den Computer gestattet werden. Zumeist gaukeln die Anrufer eine Bereinigung Ihres PCs vor und fordern im Anschluss eine Bezahlung der vermeintlich erbrachten Dienstleistung. Hierzu wird nach Kreditkartendaten oder TAN-Nummern für’s Onlinebanking gefragt.

Tor 5: Kollegen

Oliver Berg von der Sparkasse gibt einen weiteren Aspekt zu bedenken: „Achte auf die Kollegen!“ Möglich ist, dass Mitarbeiter nicht nur unbedarft in eine Falle klicken, sondern dies absichtlich tun. Sei es aus Profitgier oder weil sie von außen unter Druck gesetzt werden. „Zum Beispiel, wenn ein angeblicher Kollege am Telefon ein internes Passwort von mir haben will“: Auch hier ist Wachsamkeit geboten.

Unkomplizierte Schulung

Die Forschungsgruppe SECUSO der Technischen Universität Darmstadt bietet eine frei verfügbare und kostenfreie Schulung zur Erkennung betrügerischer Nachrichten an. Diese besteht aus vier Modulen und einem Quiz. Die Schulungseinheiten wurden innerhalb des vom Bundesministerium für Wirtschaft und Energie im Rahmen der Initiative IT-Sicherheit in der Wirtschaft geförderten Projekts KMU Aware entwickelt.

Aufklärungsvideo zum Thema:

IT-Security

4 Schulungsmodule gegen Social Engineering

Mit der Digitalisierung stehen auch kleine und mittlere Unternehmen (KMU) vor der Herausforderung, sich gegen Angriffe aus dem Internet schützen zu müssen. Diese Angriffe können Konsequenzen wie Imageverlust oder Umsatzeinbußen haben. Die meisten Einbrüche in IT-Infrastrukturen von Unternehmen lassen sich auf Informationen zurückführen, die über so genannte Social Engineering-Angriffe erbeutet wurden.

Unter „Social Engineering“ werden Angriffe auf die IT-Infrastruktur verstanden, welche keine technischen Schwachstellen ausnutzen, sondern den Menschen als Nutzer der Technik . Eine weit verbreitete Methode des Social Engineerings ist es, betrügerische Nachrichten mit gefährlichen Inhalten zu versenden, um an Daten von Internetnutzern zu gelangen.

Betrügerische Nachrichten sind:

  1. Nachrichten mit der Aufforderung zur Herausgabe privater Daten
  2. Nachrichten mit gefährlichen Dateianhängen
  3. „klassische Phishing“- Nachrichten, also Nachrichten mit gefährlichen Links.

Entsprechend wichtig sind:

  • die Sensibilisierung der Mitarbeiter für das Thema und klare Handlungsanweisungen im Verdachtsfall.
  • Die Mitarbeiter müssen verstehen, welche Tricks Angreifer anwenden und wie Angreifer vorgehen. Andererseits brauchen sie praktische Regeln und technische Unterstützung, woran sie betrügerische Nachrichten erkennen können.

Schulung und Materialien für kleine und mittlere Unternehmen

Große Unternehmen gehen das Problem seit einigen Jahren mit großen Kampagnen an. Dieser Ansatz ist für KMU in der Regel nicht praktikabel. Deshalb haben wir – die Forschungsgruppe SECUSO der Technische Universität Darmstadt und die usd AG – im Projekt „KMU AWARE – Awareness im Mittelstand“ praxistaugliche Maßnahmen zum Bewusstmachen des Problems und der Weiterbildung von Mitarbeitern entwickelt. Unter anderem gibt es eine Schulung, die in KMU eingesetzt werden kann, um Mitarbeiter hinsichtlich betrügerischer Nachrichten zu sensibilisieren und aufzuzeigen, wie sie sich gegen solche schützen können. Die Schulung steht in mehreren Formaten zur Verfügung, auf die wir später eingehen.

Schulung zur Erkennung betrügerischer Nachrichten

Modul 1: Einführung in das Thema Nachrichten mit gefährlichem Inhalt
Hier erfährt der Nutzer, wie Betrüger vorgehen und welcher Schaden entstehen kann, wenn Empfänger solcher Nachrichten auf den Betrug hereinfallen.

Modul 2: Erkennung von unplausiblen Nachrichten mit gefährlichem Inhalt
Dieses Modul zielt darauf ab, betrügerische Nachrichten bereits anhand der unzureichenden Plausibilität bezüglich Absender und Inhalt der Nachricht zu erkennen.
Ziel: Nach Modul 2 betrügerische Nachrichten erkannt werden, die zum Beispiel stark fehlerhafte Sprache einsetzen und deren Design von dem gängigen Design des Absenders abweicht.

Modul 3: Erkennung von plausiblen Nachrichten mit gefährlichen Links
In diesem Modul geht es darum, Links in Nachrichten zu prüfen, das heißt, die tatsächliche Webadresse hinter dem Link zu finden und den sogenannten Wer-Bereich in dieser Webadresse zu identifizieren. Dort kann der Mitarbeiter auch prüfen, ob der Wer-Bereich einen Bezug zu dem (vermeintlichen) Absender und/oder Inhalt der Nachricht hat.
Ziel: Nach Modul 3 sollen betrügerische Nachrichten erkannt werden, deren Links zu anderen Zielen als dem erwarteten führen.

Modul 4: Erkennung von plausiblen Nachrichten mit gefährlichen Anhängen
In Modul 4 geht es darum, Anhänge von Nachrichten daraufhin zu prüfen, ob diese ein gefährliches Dateiformat haben oder nicht zu dem Absender der Nachricht passen.
Die Struktur der inhaltlichen Module (2-4) ist in Form von drei Komponenten definiert:

Sensibilisierung: Alle drei Module enthalten einen sogenannten Teaser, welcher für die Wissensvermittlung sensibilisieren soll. Dieser veranschaulicht die Problematik anhand von zwei Beispiel-Nachrichten, die sich nur minimal unterscheiden: einer nicht betrügerischen (plausiblen) Nachricht und einer betrügerischen Nachricht, die sich jedoch nur schwer als solche erkennen lässt.

Wissensvermittlung: Als zentrales Element der Schulungseinheiten ist die Wissensvermittlung strukturiert. Zunächst wird eine Regel zur Erkennung der jeweiligen Kategorie betrügerischer Nachrichten (unplausible mit gefährlichem Inhalt, plausible mit gefährlichen Links, plausible mit gefährlichen Anhängen) vorgestellt. Ein Beispiel für eine solche Regel ist: „Prüfen Sie Absender und Inhalt jeder empfangenen Nachricht auf Plausibilität“. Im Anschluss an jede Regel wird diese erklärt. Im Folgenden wird jede genannte Regel anhand von Beispielen zur Anwendung der jeweiligen Regel veranschaulicht. Im nächsten Schritt werden jeweils Strategien aufgezeigt, welche Betrüger einsetzen, um das Erkennen betrügerischer Nachrichten der jeweiligen Kategorie zu erschweren. Ein Beispiel für eine solche Angreiferstrategie ist: „Die Überprüfung der Webadresse wird in einigen Nachrichten mit gefährlichen Inhalten dadurch erschwert, dass ein Link in einer Nachricht als vorgetäuschte Webadresse abgebildet wird. Die Webadresse im Text stimmt hierbei nicht mit der Webadresse überein, die man aufruft, wenn man auf den Link (in den Beispielen Screenshots einer Webadresse im Text) klickt.“ Abschließend werden die Strategien jeweils anhand von Beispielen veranschaulicht, um zu vermitteln, wie diese Strategien erkannt werden können.

Anwendung: Zur Festigung des erworbenen Wissens enthält jedes Modul Übungen mit Nachrichten in unterschiedlichen Kontexten. Dabei wird darauf geachtet, dass die Übungen die volle Bandbreite der Angreiferstrategien abdecken.

Materialien zur Erkennung betrügerischer Nachrichten

Ein Schwerpunkt der Arbeit von KMU AWARE liegt auf den „klassischen Phishing“- Nachrichten mit gefährlichen Links (Modul 3). Grund dafür sind die teilweise komplexen Angreiferstrategien innerhalb dieses Moduls. Zur Durchführung eines solchen Angriffs versenden Betrüger im Namen verschiedener Institutionen oder Personen Nachrichten (z.B. in Form von E-Mails, Facebook-Nachrichten oder SMS), mit denen sie ihre potenziellen Opfer zum (voreiligen) Klicken auf einen gefährlichen Link bewegen wollen. Zu diesem Modul wurden zahlreiche Materialien, Übungen und interaktive Tools entwickelt, die unabhängig voneinander oder auch zusammen eingesetzt werden können und den Nutzer dazu befähigen, solche Angriffe besser zu erkennen und so seine IT-Sicherheit zu verbessern – am heimischen PC bzw. Smartphone wie auch am Arbeitsplatz:

Android App und Online-Training – Lernspiel für das Smartphone bzw. zur Nutzung im Browser

Diese setzen das Schulung inklusive aller Module (Sensibilisierung, Wissensvermittlung und Anwendung) spielerisch um. App und Online-Training bestehen aus unterschiedlichen Leveln, die aufeinander aufbauen und vom Spieler sukzessive durchlaufen werden müssen. Wird ein Level nicht erfolgreich bestanden, muss es wiederholt werden, um das Training erfolgreich beenden zu können. Nach erfolgreicher Teilnahme können Spieler ein entsprechendes Zertifikat anfordern, welches als Motivation dient, das Spiel bis zum Ende zu durchlaufen.

Schulungsunterlagen für das Selbststudium

Die Schulungsunterlagen für das Selbststudium in Form eines Foliensatzes stehen in Kurz- und Langfassung zur Verfügung. Während die Kurzfassung den Lernenden in erster Linie sensibilisieren soll und das Wissen zur Erkennung betrügerischer Nachrichten vermitteln soll, beinhaltet die Langfassung zusätzlich Übungen zum Festigen des erworbenen Wissens.
Flyer, Infokarte und Poster mit einer Übersicht der wichtigsten Regeln zur Erkennung von Nachrichten mit gefährlichen Links : Die Nutzung dieser Materialien bietet sich an, um in kurzer Zeit die zentralen Lerninhalte zu vermitteln, und um eine „Gedankenstütze“ zur Verfügung zu haben. Während Flyer und Infokarte auch als selbständige Lernmaterialien eingesetzt werden können, bieten sie sich insbesondere als Ergänzung zu den umfangreicheren Lernmaterialien (Android App, Online-Training und Schulungsunterlagen) an.

Zu den Materialien werden drei Quiz angeboten, welche vor der Lernmaßnahme (Erhebung des Wissensstandes), direkt im Anschluss an die Maßnahme (Erhebung des Lernerfolgs) sowie einige Wochen oder Monate nach der jeweiligen Maßnahme (Erhebung des langfristigen Lernerfolgs) durchgeführt werden können.

Alle Materialien sowie weiterführende Informationen zum Thema „betrügerische Nachrichten“ stehen kostenlos zur Verfügung unter:

https://www.secuso.informatik.tu-darmstadt.de/en/secuso/research/results/erkennung-betruegerischer-nachrichten/

https://www.secuso.informatik.tu-darmstadt.de/en/secuso/research/results/nophish/

Zusätzlich zu den hier vorgestellten Materialien bietet die Technische Universität Darmstadt themenverwandte Tools an, die ebenfalls mit geringem Aufwand im Unternehmen einsetzbar sind:

TORPEDO – Erweiterung (Add-on) für das E-Mail-Programm Thunderbird , das Internetnutzern die Erkennung von Phishing-E-Mails technisch erleichtert, indem beispielsweise der Wer-Bereich von Webadressen hervorgehoben wird. www.secuso.org/torpedo

PassSec+ – Ein Add-On, das Passwörter, Zahlungsdaten und Privatsphäre schützt , indem es sicherstellt, dass Internetnutzer über verschlüsselte Verbindungen kommunizieren. www.secuso.org/passsec

Kontakt:
Technische Universität Darmstadt
Department of Computer Science
SECUSO – Security, Usability and Society
Telefon: +49(0) 6151 16 20813

Über das Projekt KMU AWARE – Awareness im Mittelstand

Ziel des Projekts KMU AWARE ist es, KMU in Deutschland verstärkt für die Gefahren beim Einsatz von IT zu sensibilisieren und ihnen aufzuzeigen, wie sie sich effektiv schützen können. Hierbei stehen drei Themen im Fokus: Das Erkennen von Social Engineering Angriffen, die Verwendung sicherer Passwörter sowie die Verwendung sicherer Privatsphäreneinstellungen.
Diese Themen haben den Vorteil, dass diese nicht nur im Firmenkontext, sondern auch im privaten Kontext relevant sind. Dadurch steigt die Motivation der Mitarbeiter in Unternehmen, an Lernmaßnahmen teilzunehmen.

Verschiedene Institutionen sowie Unternehmen haben Bestandteile der Schulung bereits erfolgreich angewendet und an Evaluationen teilgenommen, z.B. Rolls Royce, die HypoVereinsbank, das Polizeipräsidium Südhessen, die Sparkasse Darmstadt, die Volkshochschule Darmstadt, die Heinrich Emanuel-Merck-Schule und das Hochschulrechenzentrum Darmstadt. Darüber hinaus hat unter anderem das BSI auf seinen Webseiten, Social Media und im Newsletter „BSI für Bürger“ mehrfach auf Schulungsinhalte hingewiesen und diese empfohlen.

KMU AWARE wird im Rahmen der Initiative „IT-Sicherheit in der Wirtschaft“ vom Bundesministerium für Wirtschaft und Energie gefördert. Die Initiative „IT-Sicherheit in der Wirtschaft“ will vor allem kleinen und mittelständischen Unternehmen beim sicheren Einsatz von IKT-Systemen unterstützen. Gemeinsam mit IT-Sicherheitsexperten aus Wissenschaft, Wirtschaft und Verwaltung soll eine Grundlage dafür geschaffen werden, um Bewusstseinsbildung in der digitalen Wirtschaft beim Thema IT-Sicherheit im Mittelstand zu stärken. Unternehmen sollen durch konkrete Unterstützungsmaßnahmen dazu befähigt werden, ihre IT-Sicherheit zu verbessern.

Weitere Informationen zum Projekt KMU AWARE: www.awareness-im-mittelstand.de

Weitere Informationen zur Initiative IT-Sicherheit in der Wirtschaft: www.it-sicherheit-in-der-wirtschaft.de

Foto: pixabay.com/JanBaby

Hürde

Gesetze können kein hervorragendes Geschäftsmodell verhindern

Die Rechtsanwälte Jörg Schielein und Alexander von Chrzanowski geben im Interview einen Überblick wichtiger Rechtsthemen, die Unternehmen in der Digitalisierung begegnen.

Welche Rolle spielt Arbeitsrecht, wenn Unternehmen in die Digitalisierung einsteigen?

Schielein: Man muss in einigen Berufen nicht mehr im Unternehmen anwesend sein, um zu arbeiten. Sie arbeiten vormittags, kümmern sich nachmittags um die Kinder und arbeiten abends wieder. Das Problem ist das Arbeitszeitgesetz, das eine Ruhezeit von elf Stunden vorschreibt. Das ist schwierig, wenn sie am Abend noch länger und früh morgens dann schon wieder arbeiten. Da kann man im Augenblick fast nur dagegen verstoßen. Es gibt kaum Ausnahmen. Ansonsten gibt es noch Höchstarbeitszeiten am Tag und in der Woche. Sie können nicht in einer Woche siebzig Stunden arbeiten und in der nächsten Woche gar nicht.

Wenn jeder Arbeitsgang dokumentiert wird, zum Beispiel durch vorheriges Scannen:  Ist diese Datenerhebung für Arbeitgeber ein Problem?

von Chrzanowski: Der Arbeitgeber hat die Möglichkeit, die Arbeitsleistung zu messen. Immerhin bezahlt er die Mitarbeiter auch. Andererseits könnte er auf diese Weise auch Arbeitsprofile, gar Persönlichkeitsprofile erstellen. Das ist aber nicht zulässig. Hier muss er eine Balance finden. Wenn ein Betriebsrat im Unternehmen besteht, dann hat er bei der Einführung und beim Betrieb solcher Systeme ein Mitbestimmungsrecht. Es ist wichtig zu schauen, dass das möglichst datensparsam passiert.

Was ist, wenn mehrere Unternehmen zusammenarbeiten? Zum Beispiel verkauft ein Online-Shop Dinge, die dann in Losgröße 1 erst produziert werden müssen?

von Chrzanowski: Sie sprechen das Thema Weisungsstrukturen an. Der Shop leitet die Anfragen direkt weiter an das Unternehmen und das wird direkt an den Arbeitnehmer weitergegeben. Im Endeffekt sagt ein Externer dem Mitarbeiter, von was er wieviel herstellen soll. Das ist als direkte Weisung zu vermeiden, sonst wird der Mitarbeiter in die Betriebsorganisation des Online-Shops eingebunden. Da muss man sich Gedanken machen, wie man das organisatorisch abfängt und umsetzt.
Durch Sensoren können Maschinen heute riesige Mengen an Daten sammeln. Wem gehören diese eigentlich?

von Chrzanowski: Hier geht es um Know-how-Schutz. Man hört das beispielsweise von Mähmaschinen. Sie sind heute rollende Computer und nehmen alle möglichen Daten auf: wie das Feld gerade ist, wie hoch das Getreide steht, welche Ausbeute bei welchem Erntewetter erzielt wird. Das Interessante ist, dass diese Daten einen Wert haben. Sie können weiterverwendet werden. Aber das deutsche Recht regelt die Eigentumsverhältnisse an diesen Daten derzeit nicht. Das heißt, auch der Hersteller und der Mähmaschine oder der Sensoren kann sie erheben. Behält er sie für sich selber, ist das in Ordnung. Möchte er die Daten aber verkaufen, dann muss er sich überlegen, was für Verträge nötig sind, möglichst nur für eine bestimmte Nutzung dieser Daten. Nicht, dass der Erwerber der Daten sie auch noch weiterverkauft. Hier spielt auch der Datenschutz eine große Rolle, wenn personenbezogene Daten mit verarbeitet werden. Solche „Big Data“ sind viel Wert: sie können daraus sogar neue Geschäftsmodelle entwickeln. Man sieht es immer wieder, dass Unternehmen mit einem Produkt angefangen haben und mittlerweile bekannt sind für etwas ganz Anderes.

Wenn Maschinen untereinander kommunizieren und etwas schiefläuft: Wer ist schuld?

von Chrzanowski: Hier geht es um Maschinenerklärungen. Das haben Sie zum Beispiel bei Lagern: Wenn der Lagerbestand zur Neige geht, wird automatisch nachbestellt. Passiert ein Fehler, kann man relativ einfach sagen: Der, der das Lager hergestellt hat und die Computer programmiert hat, trägt die Verantwortung. Aber in Zukunft werden Maschinen selbst lernen und Entscheidungen treffen. Und dann ist die Frage: Wer ist dann für Fehler verantwortlich? Da gibt es viele Beteiligte: der, der ursprünglich die Maschine gebaut hat, der die Software geliefert hat und Menschen, die der Maschine beim Lernen geholfen haben. Wer verantwortlich ist, ist noch unklar.

Was können Unternehmen noch – außer die Technik gegen Cyberangriffe zu schützen – für ihre IT-Sicherheit tun?

von Chrzanowski: Es ist an zwei Fronten etwas zu tun: Einerseits gibt es die Mitarbeiter. Durch Phishing-Mails können sie überzeugt werden, irgendwo drauf zu klicken oder einen geschenkten USB-Stick mit Schadsoftware in den PC zu stecken. Das ist sehr häufig erfolgreich. Es bringt aber wenig, deshalb zu sagen: Wir schützen unsere Technik nicht, es nützt ohnehin nichts. Sowohl die IT-Sicherheit ist zu stärken, als auch die Mitarbeiter zu schulen. Das ist nicht einmal ein spezielles IT-Thema! Eindringlinge können sich auch wie ein Monteur anziehen, ins Unternehmen reingehen und sagen, sie wollen etwas ablesen oder reparieren. Sehr häufig kommen sie damit durch.

Amazon hat den Dash-Button eingeführt. Kurze Zeit später klagte die Verbraucherzentrale dagegen. Wie schätzen Sie solche Digitalisierungsvorstöße ein?

von Chrzanowski: Die Dash-Buttons sind im Augenblick wahrscheinlich unzulässig. Die Frage ist: Was ändert man? Entweder man passt die Gesetze an oder man hält an den derzeitigen Gesetzen fest. Die Erfahrung zeigt, dass große amerikanische Unternehmen erstmal das machen, was technisch möglich ist und sich dann erst ums Rechtliche kümmern. Beispiel: Google Books. Google hat erstmal alles gescannt was zu scannen war und hat danach geschaut, ob sie die Urheberrechte kriegen. Nach jahrelangem Streit hat man sich mit Autoren und Verlagen geeinigt.

Schielein: Das ist genau die Sache, die der Mittelstand verstehen muss. Wenn es für den Verbraucher einfach ist und wenn es akzeptiert wird, dann kann man durch gesetzliche Maßnahmen nur verzögern aber sicher kein hervorragendes Geschäftsmodell verhindern.Was standardisiert werden kann, wird standardisiert. Das muss sich jeder überlegen, der im Mittelstand tätig ist: Inwieweit ist mein Geschäftsmodell, meine Geschäftsidee, an der Stelle anfällig?

Wie kann ich denn anfangen, mein Unternehmen digital zu denken?

Schielein: Man muss es zulassen! Die Psychologie des Menschen ist so, dass sie zunächst Veränderungen ablehnt. Sie nimmt zwar wahr, dass es sowas wie Uber gibt, denkt dann aber: „Mich betrifft das nicht. Ich nehme es zur Kenntnis und bedauere es. Aber es betrifft mich nicht.“ Das ist die erste psychologische Hürde, die der Mittelständler nehmen muss: diesen Abwehrmechanismus mal auszuschalten und dann ernsthaft darüber nachzudenken, ob es ihn nicht vielleicht doch betrifft.
Diejenigen, die sich – beispielsweise, weil sie immer wieder mit diesem Thema konfrontiert werden – dennoch weiter damit befassen, beginnen häufig sich Sorgen zu machen oder eine Veränderung abzulehnen. Das ist in einem Veränderungsprozess vollkommen normal. Dem sollte aber möglichst schnell eine rationale Analyse der Chancen, die in jeder Veränderung liegen, folgen. Veränderungsprozesse verlaufen immer in mehreren Phasen und sollten deshalb von der Unternehmensführung aktiv gemanagt werden.

Herr Schielein, Herr von Chrzanowski, vielen Dank für das Gespräch.

Das Interview führte Anette Nickels von der Mittelstand 4.0-Agentur Kommunikation.

Jörg Schielein ist Rechtsanwalt und Partner bei Rödl & Partner in Nürnberg.
Alexander von Chrzanowski ist Rechtsanwalt bei Rödl & Partner in Jena und Leiter der Praxisgruppe IT-Recht bei Rödl & Partner.
Rödl & Partner ist ein inhabergeführtes Unternehmen mit 25 Standorten in Deutschland, 106 sind es weltweit. Rödl & Partner bietet Rechtsberatung, Steuerdeklaration und Wirtschaftsprüfungen an.
Foto Quelle:Pixabay.com/ geralt, Rödl & Partner[/layotter]