Zeitung Heute : Diagnose: Datenkollaps

Ist der Ernstfall erst eingetreten, überstehen viele Unternehmen das nächste Jahr nicht mehr

Kai Kolwitz

Auf den ersten Blick hatte die Anwaltskanzlei ihre Daten gut gegen Verlust geschützt: Einmal wöchentlich wurden alle Daten auf einem Bandlaufwerk gesichert. Als die Festplatte des Rechners den Geist aufgab, sorgte das daher zuerst nur für geringe Beunruhigung. Das ganze Ausmaß des Schadens wurde erst deutlich, als sich herausstellte, dass auch das Backup-Laufwerk nicht funktionierte und schon seit Jahren leere Bänder archiviert worden waren. Niemand hatte jemals überprüft, ob der Sicherungsmechanismus in Ordnung war – alle Mandantendaten waren unrettbar verloren.

Ein Beispiel aus der Praxis – und so etwas kann gravierende Folgen haben. Das „PC-Magazin“ zitiert Studien, nach denen 60 Prozent der Unternehmen, die von einem totalen Datenverlust betroffen sind, das folgende Jahr nicht überstehen. Und in Sachen Sicherheit haben die meisten kleineren Firmen erheblichen Nachholbedarf. „Das Thema wird stiefmütterlich behandelt“, meint Frank Rustemeyer von „Mittelstand sicher im Internet“. Der Experte der vom Bundeswirtschaftsministerium initiierten Initiative erläutert: „Das wird oft delegiert. Dann fragt niemand mehr nach, ob auch wirklich alles so funktioniert, wie es sollte.“

Zwar hat auf den meisten gewerblich genutzten Rechnern irgendwann jemand Virenscanner und Firewall installiert, doch mit Pflege, Aktualisierung und Dokumentation hapert es oft gewaltig. „Es hilft nichts, wenn Sicherheits-Software zwar installiert ist, aber wenn das Konzept dann immer weiter aufgeweicht wird“, erklärt Rustemeyer.

Und die Szenarien, was alles passieren kann, sind vielfältig: Ein regelrechtes Gruselkabinett präsentiert das Grundschutz-Handbuch des Bundesamts für Sicherheit in der Informationstechnik. Was ist, wenn der Systemadministrator einen schweren Unfall erleidet und mit ihm auch alle Passwörter nicht verfügbar sind? Oder wenn der Marketing-Mann kurz vor dem Wechsel zur Konkurrenz sensible Unternehmensdaten mitgehen lässt? Oder wenn es brennt?

Viele Denkanstöße finden sich in den Checklisten, die sowohl in dem Grundschutz-Handbuch wie auch auf der Website www.mittelstand-sicher-im-internet.de stehen. Darüber hinaus rät Rustemeyer dazu, auch in kleineren Betrieben ein Sicherheitskonzept zu erstellen, in dem die Bedrohungen analysiert und Schutzmaßnahmen festgeschrieben werden. Dazu gehört es auch zu klären, wer für was zuständig ist, wie oft Updates eingespielt werden müssen und wie die Datensicherung organisiert ist.

So etwas kann man auch aus der Hand geben. Dienstleister, die sich auf das Thema IT-Sicherheit spezialisiert haben, findet man über die Industrie- und Handelskammer (siehe Interview). Und auch wenn man es schlecht in Euro und Cent bemessen kann: So etwas kostet Geld, ist aber immer noch besser als nach einem Unfall oder Angriff komplett von vorne anfangen zu müssen.

Mit etwa fünf Beratungstagen rechnet Rustemeyer für das Beispiel einer Anwaltskanzlei mit fünf Arbeitsplätzen. Im laufenden Betrieb sollte das System – wieder als grobe Schätzung und abhängig vom konkreten Schutzbedarf – ein bis zwei Mal im Monat gewartet und kontrolliert werden. Außerdem muss der Dienstleister in der Lage sein, schnell zu reagieren, wenn ein neuer Virus gefunden wird oder Microsoft eine weitere Sicherheitslücke bekannt gibt. Wichtig ist in jedem Fall ein Vertrag, in dem das Leistungsspektrum detailliert festgeschrieben wird.

Übrigens haftet der Geschäftsführer einer GmbH oder der Vorstand einer AG auch persönlich für Verluste, die aus schwerwiegenden Versäumnissen in Sachen IT-Sicherheit entstehen. Die aktuellen Ereignisse ein wenig im Auge zu behalten, ist daher sicher kein Fehler: Newsticker zum Thema Sicherheit finden sich auf den Websites der Hersteller von Anti-Viren-Software. Auch heise.de informiert tagesaktuell. Gegen eine geringe Gebühr lässt sich bei www.mcert.de zudem ein speziell auf die Bedürfnisse von Mittelständlern zugeschnittener Newsletter abonnieren.

Trotzdem braucht nicht jeder Betrieb alles an Schutz, was der Dienstleister gern verkaufen möchte. Die Initiative rät hier dazu, den Bedarf nach vier Kriterien abzuklopfen: Wie hoch ist die Gefahr, dass ein Unbefugter versucht, an vertrauliche Daten zu gelangen? Wie wahrscheinlich ist es, dass Daten manipuliert werden? Lässt es sich verschmerzen, wenn die Rechner einen oder zwei Tage ausfallen? Und wie komplex ist das System, wie hoch also der Anspruch an eine Dokumentation von Passwörtern, Zugriffen und Änderungen? Eine Güterabwägung: „Wenn man zur Not einen Tag auf die Daten verzichten kann, braucht man zum Beispiel kein redundantes System, bei dem die komplette Technik doppelt zur Verfügung steht“, erklärt Rustemeyer.

Das BSI zum Thema:

www.mittelstand-sicher-im-internet.de

Hintergründe und Expertisen zu aktuellen Diskussionen: Tagesspiegel Causa, das Debattenmagazin des Tagesspiegels.

Hier geht es zu Tagesspiegel Causa!

0 Kommentare

Neuester Kommentar