MITTELSTAND UND INFORMATIONSTECHNOLOGIE Worauf man achten sollte : Gut geschützt und beschützt

IT-Sicherheit ist ein bedeutendes und wohlgelittenes Thema für den Mittelstand. Viele Unternehmen wollen jedoch Anbieter, die vor allem eine solide und nachhaltige Betreuung garantieren

Hardy Prothmann

„Übermotivierte Anbieter von IT-Sicherheit haben vor ein paar Jahren verbrannte Erde hinterlassen“, schildert Michael Eggers die Situation, wenn er zum Thema Bedeutung der IT-Sicherheit für den Mittelstand gefragt wird. „Damals gab es eine Reihe von kostenlosen IT-Sicherheitschecks, die interessierte Mittelständler mitgemacht haben. Nachdem die Lücken dokumentiert waren, meldeten sich einige dieser Sicherheitsdienstleister bei den untersuchten Mittelständlern und setzten sie mit Hinweis auf juristische Konsequenzen wegen Mängeln bei deren IT-Sicherheit unter Druck“, schildert Eggers die Situation mancher mittelständischen Firmen, „die sich hier die Finger verbrannt haben.“

Michael Eggers ist Leiter der IT-Kommission des Bundesverbands Mittelständische Wirtschaft und kennt die Nöte und Notwendigkeiten: „IT-Sicherheit ist nach wie vor ein wichtiges Thema und wird sehr ernst genommen. Viele Unternehmen vertrauen aber nicht mehr denen, die das Neueste vom Neuen versprechen, sondern denen, die eine solide und nachhaltige Betreuung anbieten und um die Ecke erreichbar sind.“

Isabel Münch, Referatsleiterin IT-Sicherheitsmanagement beim Bundesamt für Sicherheit in der Informationstechnik (BSI) beschreibt die Lage des Mittelstands so: „Die ist durchwachsen. Natürlich erkennen viele kleine und mittlere Unternehmen den Bedarf an IT-Sicherheit. Die Umsetzung scheitert oft an der Frage wie man die Sache angeht und was es kostet.“ Und an der Einstellung: „Der Klassiker ist der Chef, der ein Sicherheitsproblem erkannt hat und ab sofort den Gebrauch von mindestens 16-stelligen Passwörtern durch seine Mitarbeiter verordnet. Drei Tage später lässt sich der Chef dann wieder sein Geburtsdatum von seiner Sekretärin als Passwort einrichten. Wenn so etwas durchsickert, ist die Sensibilisierung der Mitarbeiter in Sachen Sicherheit dahin.“

Isabel Münch sieht aber nicht nur in der klassischen Absicherung der Daten ein Problem, sondern stellt fest, dass viele Unternehmen sehr unbedarft mit ihren Informationen umgehen: „Ohne Hacking oder sonstige illegale Methoden kann jemand, der sich für eine Firma interessiert, unglaublich viel über das Unternehmen erfahren, indem er Informationen kombiniert, die er von der Homepage sammelt und in Foren mitliest, in denen sich Mitarbeiter austauschen.“ Die Konsequenz: „Sicherheit fängt bei den Mitarbeitern an. Es ist enorm wichtig, den Mitarbeitern typische Gefährdungen klar zu machen, beispielsweise „öffentliche“ Informationspreisgabe beim Telefonieren mit dem Handy“. Jeder, der ab und an mit dem Zug fährt, weiß, wovon sie spricht.

Gute Erfahrungen hat der Automobilzulieferer KHT-Fahrzeugteile GmbH im nordrhein-westfälischen Grevenbroich gemacht. Über die Initiative „secure-it.nrw“ ließ Johannes Peters, zuständiger IT-Leiter des mittelständischen Unternehmens (circa 100 Mitarbeiter), kostenlos seine IT-Schutzmaßnahmen überprüfen. Als neutralen Experten wählte der Zulieferer die Peritus GmbH Consulting von Gerald Hanisch aus, der einen Fragenkatalog nach einem Tüv-geprüften Verfahren zusammen mit Peters durcharbeitete: „Nach etwa drei Stunden hatten wir eine kompakte und verständliche Bewertung unserer IT-Sicherheit.“

Die Angst vieler Mittelständler, dass sensible Daten während des Schnelltests preisgegeben werden müssten, zerstreut Hanisch: „Für die Analyse muss ich noch nicht einmal wissen, was genau produziert wird.“ Das Ergebnis: Die Kommunikation mit externen Dienstleistern wurde juristisch neu geregelt. Für Johannes Peters ein klarer Erfolg, aber auch mit Folgen: „In ein, zwei Jahren wiederholen wir das, um wieder zu prüfen, ob wir gut dastehen.“

Das Beispiel KHT beschreibt das, was Unternehmensberater Gerald Hanisch täglich beim Kunden erlebt: „Es gibt eine hohe Sensibilität für das Thema IT-Sicherheit, allerdings abhängig von der Größe des Unternehmens.“ Heißt was? „Je größer die Firma, umso höher die Sensibilität und das Bestreben um geeignete IT-Sicherheit. Kleinere, eher familiäre Betriebe sehen manche Dinge, wie zum Beispiel die Eindämmung von Spam oder Regelungen zur privaten Nutzung von Computer und Internet eher sportlich.“ Das ist einleuchtend, denn je größer das Unternehmen, umso mehr wird diesen „auf die Finger geschaut“ und umso problematischer werden rechtliche Folgen. Trotzdem muss Gerald Hanisch auch negative Erfahrungsberichte bestätigen: „Am Markt agieren leider auch unseriöse Anbieter, die Kunden unter Druck setzen. Das ist bedauerlich, weil dadurch dieses äußerst wichtige Thema nur zögerlich angepackt wird.“

„Wenn einem Mittelständler nur Produkte wie eine Firewall angeboten werden, wird er nicht glücklich werden. Das ist wie einen Legobaukasten ohne Bauplan kaufen. Das wird nichts“, beschreibt Alexander Rubinstein die grundsätzliche Problematik. Rubinstein ist Geschäftsführer der Symblasson Informationstechnik GmbH in Hamburg und Mitgründer der IT-Gruppe beim Bundesverband Mittelständische Unternehmen. Er berät mit seiner Firma selbst Mittelständler aus verschiedenen Branchen. „Sicherheit fängt nicht beim Kauf eines Produkts an, sondern beim Konzept. Ist das nicht zu Ende gedacht, nützt alle Hard- und Software wenig“, sagt Alexander Rubinstein. Sein Rat: Wenn ein Mittelständler sich entschlossen hat, seine IT-Sicherheit auf Vordermann zu bringen, sollte er auf dem Absatz kehrt machen, wenn er das Gefühl hat, dass ihm nur Produkte verkauft werden. „Auf die Frage, was für die IT-Sicherheit benötigt wird, sollten detaillierte Gegenfragen kommen. Dann weiß man, dass die andere Seite eher konzeptionell als vertriebsorientiert denkt.“

Was er als häufiges Problem sieht, ist die Konstellation Geschäftsführung und IT-Verantwortliche: „Wenn der Chef nicht bereit ist, das Thema anzupacken, wird der IT-Verantwortliche den Teufel tun und unnötig Staub aufwirbeln aus Angst um seinen Job.“ Seiner Erfahrung nach müssen geeignete IT-Sicherheitmaßnahmen nicht besonders teuer sein: „Eine einfache Lösung, um wichtige Daten zu schützen, ist zum Beispiel, ein abgeschlossenes internes Netzwerk neben dem, das nach außen kommuniziert zu errichten. Aber auch hier braucht es ein Konzept, um beispielsweise den Datenaustausch zwischen internem und „öffentlichem“ Netzwerk sicher zu machen.“

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) gibt jedenfalls keine Entwarnung, was die Bedrohungen angeht. Zum Thema Pishing etwa, also dem Abfangen von sensiblen Daten, informiert der Jahresbericht 2007: „Ziele sind dabei auch mittelständische Unternehmen, die über keine IT-Sicherheitsabteilung verfügen. Abgefischt werden häufig nicht nur kurzfristige Zugangs- und Transaktionsdaten, sondern auch Informationen zur Identität wie etwa Geburtsdatum, Anschrift und Führerscheinnummern sowie Konten- und Kreditkartennummern. Mit diesen Daten werden dann kriminelle Aktivitäten durchgeführt. Für die Opfer bedeutet es oft große Mühe, ihre Unschuld zu beweisen.“ Isabel Münch sagt: „So lange das Kind nicht in den Brunnen gefallen ist, braucht man ja nichts zu ändern. Diese Einstellung wird immer fragwürdiger.“

Andererseits ist Angst als Motivation zum Handel ein schlechter Ratgeber, sagt Alexander Rubinstein: „In den vergangenen Jahren wurden immer wieder mit großem Tamtam Angstszenarien geschürt. Angst muss allerdings niemand haben, ein wenig mehr Vorsicht dient aber den eigenen Interessen mehr, als das Thema bei Seite zu schieben.“

Hintergründe und Expertisen zu aktuellen Diskussionen: Tagesspiegel Causa, das Debattenmagazin des Tagesspiegels.

Hier geht es zu Tagesspiegel Causa!

0 Kommentare

Neuester Kommentar
      Kommentar schreiben