1 55 Table of Contents 57 68

DIE WOHNUNGSWIRTSCHAFT 8/2019

MARKT UND MANAGEMENT 54 8|2019 Cyberkriminalität Im Sicherheitsdreieck Technik, Prozesse, Mensch Gestohlene Kontakte, geknackte Passwörter und lahmgelegte Server gehören inzwischen zum digitalen Alltag. Betroffen sind sowohl große Konzerne als auch mittelständische Firmen – und Unternehmen der Wohnungswirtschaft bilden keine Ausnahme. Abhilfe gegen Cyberattacken und Daten- klau versprechen eine individuelle Risikoanalyse und ein darauf abgestimmtes Sicherheitskonzept. Wichtig ist zudem die Sensibilisierung der eigenen Mitarbeiter. Wer an Sicherheitsprobleme im IT-System denkt, geht meist von technischen Lücken aus. Dabei ha- ben Studien inzwischen ergeben, dass die ganz entscheidenden Faktoren das Sicherheitsbewusst- sein und das Verhalten der Angestellten sind. Die meisten Cyberangriffe werden mittlerweile nicht durch klassische Hacker, sondern durch die eige- nen Mitarbeiter verursacht – i.d.R. gar nicht vor- sätzlich, sondern aus reiner Unwissenheit heraus. Die beste Technik nutzt nichts, wenn Angestellte fahrlässig handeln und z.B. vertrauliche Daten auf privaten Datenträgern mit auf Reisen nehmen. Daten erheben, Daten schützen Schützenswerte und sensible Daten gibt es in der Wohnungswirtschaft zuhauf. Egal, ob in großen Unternehmen oder im kleinen Betrieb: Personenbezogene Informationen – von Mietern oder Wohnungsinteressenten, von Handwerkern oder Zulieferern – werden überall erhoben und digital verarbeitet. Geraten die Daten in die fal- schen Hände, kann dies weitreichende Folgen für das betroffene Unternehmen haben. Neben den Schäden im eigenen System kann ein Angriff aufs IT-System auch bei Wohnungsunternehmen zu Haftpflichtschäden führen oder Datenschutzver- fahren nach sich ziehen – ganz zu schweigen vom enormen Reputationsschaden und Vertrauens- verlust. Unternehmen der Wohnungswirtschaft brauchen deshalb eine umfassende Sicherheits- strategie. Susanne Vieker Prokuristin und Mitglied der Geschäftsleitung Haufe-Lexware Real Estate AG Bielefeld • Welche geschäftsrelevanten Informationen liegen digital vor? • Wie hoch ist die Gefahr eines Schadeneintritts? Wie schnell kann dann reagiert werden? • Welche Vorkehrungen zum Schutz von IT wurden bereits getroffen? Wie effektiv sind diese Maßnahmen in der Praxis? • Ist das IT-Sicherheitsniveau ausreichend? Welche Sicherheitsmaßnahmen müssen noch ergriffen werden? • Wer hat Zugriff auf geschäftskritische und personenbezogene Informationen? Wer sollte Zugriff haben, wer nicht? • Wie kann unerwünschter interner und externer Zugriff auf diese Informationen verhindert werden? • Wie hoch ist das Sicherheitsniveau der Lieferanten und Geschäftspartner? • Wird der Faktor Mensch berücksichtigt? • Wie müssen Sicherheitsmaßnahmen umgesetzt und aufrechterhalten werden? Wer ist dafür verantwortlich? CHECKLISTE ZUR BESTANDSAUFNAHME DES IT-SCHUTZBEDARFS Denn tatsächlich ist das Risiko real: Der Bundes- verband Informationswirtschaft, Telekommu- nikation und neue Medien e.V. (Bitkom) hat in einer Studie ermittelt, dass zwei von drei Firmen (67%) in Deutschland innerhalb eines Jahres von IT-Angriffen oder anderen Sicherheitsvorfällen betroffenwaren. 41% aller Firmen verzeichneten in den letzten zwölf Monaten Phishing-Attacken. Unternehmen der Wohnungswirtschaft müssen angesichts dieser Informationen aber nicht in Panik geraten: Nicht jeder Betrieb benötigt das Komplettangebot der Sicherheitsbranche. Des- halb sollten Wohnungsunternehmen zunächst einmal eine Bestandsaufnahme machen und ih- ren Schutzbedarf klassifizieren. Dabei hilft es, sich gemäß einem Leitfaden des Bundesamts für Sicherheit in der Informationstechnik (BSI) zum IT-Grundschutz einige grundsätzliche Fragen zu stellen (siehe Checkliste oben). Auf diese Weise lassen sich Sicherheitslücken im eigenen Unternehmen feststellen. Das Ergebnis der Analyse ist dann der Ausgangspunkt, um die Maßnahmen zum Schutz des Unternehmens zu bewerten und zu priorisieren. Auf dieser Basis lässt sich ein für das jeweilige Unternehmen geeigne- tes IT-Sicherheitskonzept entwickeln. Dabei ist es wichtig, einen konkreten Plan zu entwerfen, der von der Geschäftsleitung abgesegnet wird. Darin sollten geeigneteMaßnahmen zur Beseitigung von Sicherheitslücken geregelt sein. Ferner müssen natürlich die gesetzlichen Vorschriften und die dafür notwendigen technischen Erfordernisse beachtet werden. Technik, Prozesse, Mensch Nötig ist ein umfassendes Konzept, das die un- terschiedlichen Angriffsszenarien berücksichtigt. Eine effiziente IT-Sicherheitsstrategiemuss dabei

RkJQdWJsaXNoZXIy Mjc4MQ==