Zeitung Heute : Das Gefahrenpotenzial steigt

Wachsende Mobilität und offene Netze bilden zunehmendes Sicherheitsrisiko für Unternehmen

Maximilian Demandowsky

Manchmal hilft den Schurken im Internet auch das Wetter. Während sich die Menschen in Europa vor dem Sturm „Kyrill“ in Sicherheit bringen, nutzen die Online-Piraten die Gunst der Stunde, um massenweise E-Mails mit gefährlichem Inhalt zu verschicken, getarnt als Schockmeldung: „230 Tote durch den Sturm in Europa“. Ein Öffnen des Mailanhangs und schon installieren sich unbemerkt Trojaner auf dem Computer, Schädlinge zum Ausspionieren von Daten. Mit der E-Mail-Attacke hat man es offensichtlich auf Kreditkartendaten und Zugangs-Informationen abgesehen.

Freilich. Wenn’s ums Thema Sicherheit im Internet geht, so stellen sich für Unternehmer mitunter ganz einfache Fragen: Wo lagere ich eigentlich meine Hardware, in einem feuchten Heizungskeller unterhalb eines tropfenden Rohres oder doch lieber in einem beheizten Extra-Raum. Daneben ist natürlich auch der Umgang mit der Technik entscheidend. Immerhin erfreulich ist, dass sich in den vergangenen drei bis vier Jahren bei den Unternehmen ein Bewusstseinswandel vollzogen hat, so dass heute mehr als 90 Prozent der kleinen und mittleren Unternehmen über die Grundausstattung der IT-Sicherheit verfügen: Antivirenschutz und Firewall.

Mehr als 4,5 Milliarden Euro, so eine aktuelle Schätzung der Experton Group, einer Firma, die sich auf die Beratung von Unternehmen im IT-Bereich spezialisiert hat, wollen deutsche Unternehmen 2007 insgesamt für ihre IT-Sicherheit ausgeben. 2004 waren es noch 3,3 Milliarden Euro. Immer wichtiger ist dabei auch die mobile Nutzung der Arbeit und der damit verbundenen Notwendigkeit, sensible Daten auf mobilen Endgeräten zu transportieren und zu speichern. Und da ist das Sicherheitsbewusstsein durchaus noch ausbaufähig.

Eine vom Marktforschungs-Unternehmen „Dynamic Markets“ durchgeführte Studie im Auftrag von Toshiba fand heraus, dass zwar 97 Prozent der deutschen Unternehmer vertrauliche Geschäftsinformationen, wie Firmenkontakte, Strategiepapiere, Geschäftspläne und Kundendaten auf PDAs und Smartphones speichern, zehn Prozent jedoch keinerlei Maßnahmen zum Schutz der sensiblen Daten ergreifen und weitere acht Prozent ihr mobiles Gerät bereits einmal verloren hatten, mitsamt des sensiblen Dateninhalts.

Aber welche Gefahren drohen Unternehmen durch Internet und mobile Nutzung eigentlich? Neben Viren und Würmern geht es um den Klau von Passwörtern (Phishing) sowie das Ausspionieren und Lahmlegen von Firmendaten und Computern durch Trojaner und andere schadhafte Software. Auch die zunehmend mobilen Anbindungen an Firmennetzwerke sind problematisch: Mit ungeschützten Netzverbindungen zwischen Laptop oder PDA zum Firmennetzwerk lassen sich neben einem bequemen Zugriff von unterwegs aus, auch Schädlinge wie Viren, Trojaner und andere Plagegeister einschmuggeln. Möglich machen das die drahtlosen Funkverbindungen Bluetooth, Infrarot-Schnittstelle oder Wlan sowie die Möglichkeit, Daten über USB-Sticks auszutauschen. Zudem nutzen viele Unternehmen mehr und mehr das unsichere Internet Protokoll, mithin auch innerhalb ihres eigenen Firmennetzwerks. Das Gefahrenpotenzial steigt mit der Vereinheitlichung. Aber auch, Firmenmitarbeiter, die sich Wettbewerbsvorteile durch Datenklau verschaffen wollen, gehören zu den Bedrohungen der IT-Sicherheit eines Unternehmens.

Viel häufiger sind es allerdings die kleinen Unachtsamkeiten oder mangelndes Wissen bei den Mitarbeitern, die zu eklatanten Schäden führen. Stefan Gehrke, Geschäftsführer der Deutschen Gesellschaft für IT-Sicherheit Mcert, sagt: „Manchmal reicht es schon, wenn ein Mitarbeiter nichts ahnend eine Datei öffnet, auf dem sich zum Beispiel ein Film befindet der die Runde unter den Kollegen macht und im Hintergrund wird ein Programm zum Ausspionieren des Firmenrechners aktiviert“.

Immer mal wieder kommt es auch zu so genannten „Denial-of-Service“-Attacken. Dabei werden zum Beispiel bei Firmen mit Online-Ticketing massenhaft E-Mail-Anfragen auf einmal gesendet, so dass der Server diesen Ansturm nicht mehr bewältigt und zusammenbricht – mithin für Stunden oder Tage nicht erreichbar ist. Oder der Firmenrechner wird als „Zombie-PC“ ferngesteuert und bildet mit anderen Rechnern ein so genanntes Bot-Netz. Dabei fungiert der Rechner als automatischer Spam-oder Trojaner-Versender, ohne dass die Betroffenen etwas davon merken.

Indes, die rechtlichen und finanziellen Anforderungen an die Unternehmen bei der IT-Sicherheit steigen ständig. Neben Fragen der Haftung bei der Verursachung von Schäden, sind das auch die Fragen bei der Kreditvergabe. Mit den neuen Eigenkapitalvorschriften, die so genannte Basel II-Vergaberichtlinie, wird neben betriebswirtschaftlichen Voraussetzungen für Kapitalgeber auch das Vorhandensein geeigneter IT-Systeme im Unternehmen unter die Lupe genommen. Verfügt eine Firma nicht über eine genügend abgesicherte IT-Infrastruktur, wird es eng bei der Kreditvergabe, denn Banken sind zusehends nicht mehr bereit, ungeschützte IT-Systeme bei Firmen zu tolerieren.

Ein Patentrezept für eine alles und jedes abwehrende Lösung gegen Angriffe aus dem Internet gibt es nicht. Viel erreichen lässt sich schon durch ganz einfache Regeln beim Passwort- und Rechtemanagement. Lutz Neugebauer, Referent für Sicherheit beim Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V, kurz Bitkom, plädiert dabei für einen breiteren Lösungsansatz gerade beim Thema Mobile Security. Neben wichtigen Sicherheitfunktionen wie Verschlüsselung, Zugriffsschutz und automatische Sperre, sollten Smartphones, PDAs und Laptops grundsätzlich passwortgeschützt und nicht via Internet Protokoll, sondern über ein Virtual Private Network (VPN) mit dem Unternehmensnetz verbunden werden.

Sollte ein Gerät verloren oder gestohlen werden, so empfiehlt sich auch eine automatische Löschfunktion zu aktivieren oder die Geräte per Fernzugriff zu sperren, um den Schutz der Daten zu gewährleisten.

Und wie sieht es bei Firmen aus, die ihre Geschäfte ausschließlich über das Internet abwickeln? Mathias Gärtner, Pressesprecher vom Bundesamt für Sicherheit in der Informationstechnik (BSI) ist sich sicher: „Reine Internetfirmen, wie Amazon oder Interoute, sichern ihren Datenverkehr durch diverse Rechenzentren mehrfach ab“. Firmen, die Serverkapazitäten zur Verfügung stellen, so genannte Internet Service Provider wie Strato oder Interoute, sichern sich zudem nicht nur intern gegen Datenverlust ab, sondern auch physisch.

Stefan Gehrke von Mcert bestätigt dies im Fall von Interoute, die zum Beispiel die gesamten Firmendaten von Air Berlin betreut. „Die verfügen über Panzersperren, sind mehrfach abgesichert gegen Feuer, Wasser, Einbruch und haben riesige Dieselgeneratoren, die bei Stromausfall automatisch anspringen und die benötigte Elektrizität für eine Woche produzieren“. Seine Empfehlung zur IT-Sicherheit für kleine und mittelständische Unternehmen ist nach Möglichkeit die Auslagerung an kompetente Diensteanbieter.

Hilfe bei der Wahl des richtigen Dienstleisters verspricht dabei eine Übersicht auf der Website von mcert, die solche Unternehmen auflistet, die sich auf die IT-Sicherheit spezialisiert haben. Auch das BSI unterstützt das Auffinden von geeigneten IT-Sicherheits-Firmen durch so genannte IT-Grundschutz-Zertifikate. Unternehmen im IT-Sicherheitsbereich können diese Zertifikate erwerben, müssen dabei allerdings den strenge Anforderungen an Sicherheit und Datenschutz erfüllen.

Fazit. Schnelle Lösungen taugen nicht immer, besser ist eine umfassende Risiko-Analyse und gezielte Investitionen in die IT-Sicherheit. Das schließt auch eine Sensibilisierung und entsprechende Schulung der Mitarbeiter für den richtigen und sicheren Umgang mit der Technik ein. Damit es dann im Ernstfall nicht heißt: „Wer ist denn eigentlich für die Datensicherung zuständig?“

Hintergründe und Expertisen zu aktuellen Diskussionen: Tagesspiegel Causa, das Debattenmagazin des Tagesspiegels.

Hier geht es zu Tagesspiegel Causa!

0 Kommentare

Neuester Kommentar
      Kommentar schreiben