Digitaler Wandel im Handwerk

Die digitale Transformation betrifft nahezu alle Bereiche der unternehmerischen und handwerklichen Praxis. Seien es Fragen der Betriebsorganisation, neue digitale Produkte und Dienstleistungen, Marketing und Kommunikation oder Sicherheitsthemen. Überall entstehen durch die Digitalisierung Chancen und Herausforderungen. In dieser Beitragsreihe soll ein Überblick über die Auswirkung des digitalen Wandels auf die SHK-Betriebe gegeben werden. Was bringt die Digitalisierung der Betriebsorganisation und der internen Prozesse? Welche digitalen Produkte und Dienstleistungen gibt es und sind diese für den Kunden interessant und attraktiv? Welche neuen Möglichkeiten und Tücken bietet das digitale Marketing? Was gilt es beim Thema Datensicherheit und anderen Risiken der Digitalisierung zu beachten? Diese und weitere Fragen werden in dieser fünfteiligen Beitragsreihe thematisiert.

Über die Digitalisierung wird viel gesprochen und geschrieben, das verwundert nicht, betrifft diese doch nahezu alle Lebensbereiche. Das Thema digitale Sicherheit spaltete die Welt der Internetnutzer lange Zeit in zwei Lager: Auf der einen Seite die, die grundsätzlich wegen Sicherheitsbedenken alles ablehnen, wo persönliche Daten preisgegeben werden sollen, und auf der anderen Seite die, die sehr freizügig und teilweise allzu sorglos mit ihren Daten umgehen. Leider wurden auch in SHK-Handwerksbetrieben im Zuge der zunehmend computergestützten Tätigkeiten in der Vergangenheit häufig Sicherheitsrisiken im IT-Bereich nicht bedacht. Erst sich häufende Angriffe, die für die Opfer ärgerlich und teuer waren, ließen aufhorchen und führten dazu, dass das Thema IT-Sicherheit nicht nur wegen Inkrafttreten der Datenschutzgrundverordnung (DGVSO) und des Datenschutzgesetzes nun zu einem Thema geworden ist.
In der Serie Digitalisierung im Handwerk haben wir uns bisher mit dem Nutzen und den Chancen der Digitalisierung für Handwerksunternehmen befasst. Man muss sich aber auch bewusst sein: Mit diesem Potenzial geht auch stets eine Gefahr einher: Der Verlust wichtiger Daten durch IT-Ausfälle oder Angriffe auf das Firmennetz. Diese Gefahr wird umso größer, je digitaler das entsprechende Unternehmen aufgestellt ist. Diese Gefahr sollte aber nicht als Hindernis oder Grund für die Ablehnung von Digitalisierungs-Maßnahmen dienen. Es ist aber wichtig, dass jedes Digitalisierungsprojekt auch den Aspekt der IT-Sicherheit mit abdeckt.

„Türen zu“
Niemand käme auf die Idee, das eigene Firmengebäude und -gelände nicht abzuschließen und zu sichern oder Fens­ter und Türen im eigenen Haus offenstehen zu lassen. Bei Firmennetzwerken oder Rechnern sieht das jedoch häufig anders aus. Weil man sich der Gefahren nicht bewusst ist, sind viele Unternehmen nur unzureichend gegen unerlaubte Zugriffe gesichert. Teilweise ist die Unternehmens-IT sogar bereits unterwandert. Dies wird aber nicht erkannt oder die Anzeichen werden ignoriert. Hier zeigt sich sehr gut der Unterschied in der Wahrnehmung von realer und virtueller Gefahr. Niemand würde wie gehabt weiterarbeiten, wenn er Einbruchsspuren an einer Tür oder einem Fenster feststellt. Höchste Priorität haben dann die Feststellung, ob etwas gestohlen wurde und die Ersetzung zerstörter Schlösser oder Fensterscheiben. Beim Digitalen verhält sich dies mitunter anders. Dort wird häufig erstmal weitergearbeitet und somit zu spät reagiert, auch wenn es klare Anzeichen für einen Ausfall oder Angriff gibt. Auch im digitalen „Ernstfall“ sollte daher die oberste Priorität darin liegen, den entstandenen Schaden festzustellen und die Schäden zu beheben.

Zufällige Angriffe aus dem Netz
Die größte Gefahr für kleine Firmennetzwerke geht nicht von gezielten Angriffen auf diese aus, denn die wenigsten kleinen Unternehmen sind exponiertes Ziel geplanter Hackerangriffe. Dies ist aber auf keinen Fall ein Grund, sich in Sicherheit zu wiegen und auf Sicherheitsmaßnahmen zu verzichten. Denn die größte Gefahr im Netz geht von Schadsoftware aus, die ihre Opfer zufällig aussucht und dabei versucht, eine möglichst große Zahl von Systemen zu befallen. Eines der gängigsten Beispiele hierfür sind sogenannte Trojaner. Diese sind nach dem Trojanischen Pferd aus der antiken Sage benannt, weil sie sich ähnlich wie dieses unscheinbar und meistens unbemerkt in das System und ins Netzwerk „einschleichen“. Erst nachdem der Trojaner sich dort eingerichtet und sich im gesamten zugänglichen Netzwerk ausgebreitet hat, beginnt dieser mit seinen schädlichen Handlungen.
Ein aktuell bekanntes Beispiel ist der Crypto-Trojaner „WannaCry“, der 2017 für Schlagzeilen sorgte, weil er weltweit Systeme, Netzwerke und Firmen befiel und diese teilweise lahmlegte. Als Crypto-Trojaner wird er bezeichnet, weil er nach der Infizierung eines Rechners die auf diesem gesicherten Daten verschlüsselte und nur gegen Zahlung eines Lösegelds in Bitcoin wieder freigab. Eine Rückgewinnung der betroffenen Daten war, ohne vorhandenes nicht infiziertes Back-Up, quasi unmöglich. WannaCry zeigt anschaulich, dass es sehr reale Gefahren auch für Unternehmen gibt, von denen man meint, dass sie nicht im Visier von Hackern stehen, weil ein gezielter Angriff sich scheinbar nicht lohnt.

Absicherung des eigenen Unternehmens
Um gegen diese Gefahren aus dem Netz gewappnet zu sein, sollte man die Sicherung des eigenen Netzwerkes so ernst nehmen wie die Zutrittsrechte zur Firma. Analog sollte klar geregelt sein, zu welchen Bereichen Gäste, Mitarbeiter und die Chefin oder der Chef „Zutritt“ haben. Unwillkommene Besucher sollen gar keinen Zugang erhalten. Dies erreicht man durch eine Firewall, die Absicherung der Firmen-PCs mit individuellen Passwörtern und Zugriffsberechtigungen auf bestimmte Bereiche des Netzwerks, die nur denen zugänglich sein sollten, die diesen Zugriff für ihre Arbeit benötigen. Sicherheitsrelevante Updates müssen regelmäßig ausgeführt werden. Software, die vom Hersteller nicht mehr mit Updates versorgt wird und damit ggf. gegen aktuelle Gefahren nicht abgesichert ist, sollte durch neuere Versionen oder Alternativen ersetzt werden. Z. B. hat das Betriebssystem Windows XP, welches man immer noch auf vielen Firmenrechnern findet, das Ende seiner „Lebenszeit“ erreicht und wird von seinem Hersteller Microsoft nicht mehr weiterentwickelt und somit auch nicht mehr gegen Angriffe gesichert. Betroffene Rechner sollten unbedingt auf ein aktuelleres Betriebssys­tem umgestellt werden.
Für Fragen zur IT-Sicherheit ist der erste Ansprechpartner der eigene IT-Dienstleister. Die Einrichtung von Netzwerken und ihre Absicherung gehen Hand in Hand, weshalb die Dienstleister hier entweder selbst tätig werden oder andere Anbieter und Maßnahmen empfehlen können.

Datensicherung ist das A und O
Wie bereits eingangs erwähnt, wird eine lückenlose Datensicherung umso wichtiger, je digitaler ein Betrieb aufgestellt ist. Sind die Firmendaten nur noch in digitaler Form vorhanden, weil man im papierlosen Büro arbeitet, so muss die Sicherung lückenlos und zu jederzeit funktionieren, weil ein Verlust der Daten auf dem Rechner oder aus dem Netzwerk sonst einen Totalverlust bedeutet. Auch hier bedarf es eines klaren Konzepts, wann und wie die Daten überspielt werden und wer für diesen Prozess verantwortlich ist. Dabei kann der eigene IT-Dienstleister ebenfalls unterstützen. Um im Ernstfall vor bösen Überraschungen verschont zu bleiben, sollte man die Back-Ups der Firmendaten regelmäßig testen, um zu überprüfen, ob sich die Daten wiederherstellen lassen.

Notfallplan für IT-Ausfälle
Eine weitere und sehr wichtige Maßnahme, um die IT-Sicherheit in der eigenen Firma zu verbessern, ist die Erstellung eines Notfallplans für den Ernstfall, wenn tatsächlich eine Bedrohung des eigenen Netzwerks oder der Befall eines Firmenrechners erkannt wird. Immer wieder hört man z. B. davon, dass Maßnahmen nicht griffen, weil man diese im Ernstfall nicht richtig genutzt hat. So soll es etwa während der Angriffswelle von WannaCry häufiger vorgekommen sein, dass Betroffene oder ihre Mitarbeiter eine Datensicherung an ihr befallenes Netzwerk angeschlossen haben, um verschlüsselte Daten wiederherzustellen. Das führte dann aber bei einem noch anherrschenden Befall mit dem Trojaner nur dazu, dass auch die Back-Ups verschlüsselt wurden und die Daten somit vollständig verloren waren. Ein solches Szenario kann sehr schnell bedrohlich für die Existenz eines Unternehmens werden. Um dies zu vermeiden, sollte man deshalb vor dem Eintritt eines Notfalls festlegen und mit seinen Mitarbeitern besprechen, welche Maßnahmen ergriffen werden und welche Personen im Ernstfall für diese verantwortlich sind.

Herrschaftswissen vermeiden
Kommunikation und die Festlegung von Verantwortlichkeiten sind auch aus einem weiteren Grund wichtig. In der Firma sollte nicht nur eine einzelne Person wissen, was im Ernstfall zu tun ist oder über sämtliche Berechtigungen verfügen. Ist diese Person dann bei einem IT-Notfall nicht verfügbar, kann dies böse Folgen haben. Dazu sollte aber auch beachtet werden, was zu tun ist, wenn Personen mit Zugang zu kritischen Bereichen der IT das Unternehmen verlassen. Wichtig ist hier insbesondere, dass Passwörter, die dieser Person bekannt waren, geändert werden. Zudem müssen Zugriffsrechte entzogen werden – all dies kann sich schwierig gestalten, wenn die einzige Person, die das Know-How dafür hat, diejenige ist, die das Unternehmen verlässt. Aus diesem Grund sollten über solches Wissen grundsätzlich mehrere Personen im Unternehmen verfügen. Zusätzlich sollten grundlegende Maßnahmen für den Notfall mit allen Mitarbeitern besprochen werden.

Cyberversicherung gegen eventuelle Schäden
Eine 100%ige Absicherung gegen Angriffe und Ausfälle gibt es nicht. Gerade für kleinere Unternehmen können aufwendige IT-Sicherheits-Maßnahmen, wie z. B. eine technische Überwachung des Firmennetzes rund um die Uhr, schnell Kos­ten verursachen, die monatlich ab 400 Euro zu Buche schlagen. Wo solche Kosten nicht im Verhältnis zu möglichen Schäden durch einen Ausfall stehen, ist eine „Cyberversicherung“ eine sinnvolle Alternative. Diese deckt z. B. Betriebsunterbrechungsschäden oder Schäden, die anderen, etwa dem Kunden, durch einen Vorfall im eigenen Unternehmen entstehen, ab. Für einen vergleichsweise geringen Betrag lässt sich so das Restrisiko, das auch bei sorgfältiger Planung und Umsetzung von IT-Sicherheits-Maßnahmen besteht, abdecken. Dabei gilt: Je besser die Sicherheitsmaßnahmen im Unternehmen sind, desto günstiger fällt auch der Risikozuschlag aus.

Datenschutz im Handwerksunternehmen
Eng mit dem Thema IT-Sicherheit ist der Datenschutz verknüpft. Hier gibt es eine sehr aktuelle Entwicklung: Seit dem 25. Mai 2018 greift mit der EU-Datenschutz-Grundverordnung (DSGVO) und dem zeitgleich wirksam werdenden neuen Bundesdatenschutzgesetz eine stärkere Pflicht zum Datenschutz für Unternehmen. Diese Pflicht betrifft auch kleinere und mittelgroße Unternehmen und Handwerksbetriebe. Jedes Unternehmen, dass über mindestens zehn PC-, bzw. Bildschirm-Arbeitsplätze verfügt, benötigt einen eigenen Datenschutzbeauftragten. Dessen Aufgabe ist es, für die Einhaltung des Datenschutzes innerhalb der Firma zu sorgen sowie Mitarbeiter und das Unternehmen in Fragen des Datenschutzes zu beraten und zu informieren.
Viele Kundendaten dürfen nach der DSGVO nur nach erteilter Einwilligung durch den Kunden gespeichert werden und müssen später auf Verlangen des Betroffenen gelöscht werden. Ausnahmen von dieser Pflicht gibt es nur in sehr engen Grenzen. Beispielsweise, wenn die Verarbeitung zur Erfüllung eines Vertrags erforderlich ist (etwa die Adresse des Kunden, um den Auftrag vor Ort ausführen zu können). Die Einhaltung dieser Vorgaben muss der Datenschutzbeauftrage überwachen.
Gerade durch die Digitalisierung fallen aber immer mehr Daten im Unternehmen an und werden archiviert. Beispiele hierfür sind die Kommunikation mit Kunden, also E-Mails und andere Kontakte, aber auch immer mehr Daten von smarten Geräten, bei denen es zumindest in Zukunft denkbar wäre, dass diese auch beim Handwerker, der für deren Installation und Wartung verantwortlich ist, auflaufen und gespeichert werden. Selbstverständlich darf man hierbei auch nicht die (mitunter sensiblen) Daten der eigenen Mitarbeiter vergessen, denn auch diese müssen ausreichend und rechtskonform geschützt werden.
Darüber hinaus ist der Datenschutzbeauftragte Ansprechpartner für Aufsichtsbehörden. Wird kein Datenschutzbeauftragter benannt oder auf andere Weise gegen das neue Datenschutzgesetz verstoßen, z. B. durch fahrlässigen Datenverlust, können empfindliche Strafen gegen das Unternehmen verhängt werden. Datenschutz betrifft somit nahezu jeden Unternehmer. Ein funktionierendes IT-Sicherheits-Konzept ist deshalb notwendig. Empfehlenswert ist, dies mithilfe der Beratung durch einen Experten für Datenschutz zu erstellen oder beispielsweise einen externen Datenschutzbeauftragten zu engagieren.

Autorin: Martina Brüßel, Geschäftsführerin der M Unit GmbH

www.mmm-bonn.de

Themenfelder der Reihe Digitalisierung
Teil 1: Chance oder Gefahr?
(IKZ-HAUSTECHNIK 22/2017)
Teil 2: Betriebsorganisation.
(IKZ-HAUSTECHNIK 1/2/2018)
Teil 3: Digitale Produkte und Dienstleistungen.
(IKZ-HAUSTECHNIK 4/2018)
Teil 4: Marketing.
(IKZ-HAUSTECHNIK 7/2018)
Teil 5: Sicherheit.