Digitalisierung und Vernetzung der Wirtschaft erhöhen das Risiko des Datendiebstahls. Vor allem kleine und mittelständische Unternehmen tun zu wenig, um sensible Informationen zu schützen, warnt Verfassungsschutzpräsident Hans-Georg Maaßen.
Stuttgart - Der Präsident des Bundesamtes für Verfassungsschutz, Hans-Georg Maaßen, sieht deutsche Großunternehmen beim Thema IT-Sicherheit gut aufgestellt. Dagegen sieht der Behördenchef bei kleinen und mittleren Betrieben – die im Südwesten traditionell stark vertreten sind – einen erheblichen Nachholbedarf beim Schutz sensibler Daten und Informationen. „Kleine und mittelständische Unternehmen haben oft noch kein klares Sicherheitskonzept“, kritisierte Maaßen am Donnerstag beim IHK-Sicherheitskongress in Stuttgart. Viele dieser Unternehmen hätten für sich noch nicht definiert, welche Daten besonders schützenswert sind und bei welchen kein erhöhter Sicherheitsaufwand erforderlich ist: „Die haben ihre Kronjuwelen häufig noch nicht identifiziert.“ Den teilweise unzureichend vorbereiteten mittelständischen Unternehmen stehen laut Maaßen oft deutlich mächtigere Angreifer gegenüber – etwa ausländische Nachrichtendienste oder Vertreter der organisierten Kriminalität. Der Verfassungsschutzpräsident sprach von einem „asymmetrischen Konflikt“.
Datensicherheit ist Sache der Unternehmen
Gleichzeitig machte Maaßen klar, dass die Verbesserung der Datensicherheit in erster Linie Sache der Unternehmen selbst ist. „Wir können den Unternehmen keinen Schutzkokon zur Verfügung stellen.“ Der Verfassungsschutz stehe der Wirtschaft aber auf Bundes- wie auf Landesebene mit Rat und Tat zur Verfügung – etwa durch Hinweise auf aktuelle Bedrohungen. „Wir gehen auf Unternehmen zu, die gerade im Fokus ausländischer Nachrichtendienste stehen.“ Wenn es etwa einen Hackerangriff auf einen Energieversorger gebe, könne der Verfassungsschutz andere Unternehmen aus der Branche warnen und auch konkrete Tipps geben, wie Firmen sich schützen können.
Bei aller Angst vor externen Datendieben dürften auch die eigenen Mitarbeiter als potenzielle Täter nicht übersehen werden, sagte Maaßen: „Der menschliche Faktor ist beim Nachrichtenabfluss immer noch eine entscheidende Einflussgröße.“
Bessere Präventionsmöglichkeiten erhofft sich Maaßen vom geplanten IT-Sicherheitsgesetz der Bundesregierung, das voraussichtlich im Sommer 2015 verabschiedet werden soll. Es sieht unter anderem eine Meldepflicht für Firmen vor, die Opfer einer Cyberattacke geworden sind. Dadurch könnten andere Unternehmen besser gewarnt werden. Bislang behalten Betroffene solche Angriffe oft für sich, weil sie befürchten, ihr Image könne leiden.