MITTE OKTOBER letzten Jahres traf es die Kölner Stadtverwaltung. Der mit einem Computerspiel eingeschleppte Virus legte im Bezirksamt Ehrenfeld Dutzende von Verwaltungsrechnern lahm. Der verursachte Schaden wurde mit 250 000 Euro beziffert. Kein Einzelfall, eher der Alltag in deutschen Firmen. Schließlich wächst mit dem vermehrten Einsatz der Informationstechnik, der E-Mail-Kommunikation und des Internet das Bedrohungspotenzial für die eigene Datenverarbeitung. „Wir registrieren teilweise bis zu 50 Angriffsversuche am Tag“ , berichtet Stefanie Bayer. Die IT-Leiterin der Reutlinger Vita GmbH & Co. Holding KG, eines 810 Mitarbeiter starken Produzenten von küchenfertigen Salat- und Gemüsesowie Convenience-Produkten, warnt deshalb eindringlich vor einem zu blauäugigen Umgang mit dem Thema DVSicherheit. „Wenn schon jeder am Internet angeschlossene Home-PC attackiert wird, warum sollen dann Firmen mit guten Produkten davon verschont
bleiben?“
1. Schritt: Sensibilisieren
Mit ihrer entschlossenen Einstellung zählt die IT-Expertin, die übrigens die volle Rückendeckung ihrer Geschäftsführung genießt, zu den Ausnahmen im Mittelstand. Zumindest Hartmut Pohl, Leiter des Kölner Instituts für Informationssicherheit (Isis), berichtet von eklatanter Unkenntnis vieler Firmen in puncto Sicherheit. „Häufig wird in Sicherheit erst dann investiert, wenn etwas passiert ist“, beobachtet er. Dabei könne schon, so der Sicherheitsexperte weiter, der kurzzeitige, nicht zeitgleiche Ausfall von mehreren Server-Systemen die fristgerechte Erstellung eines Angebots verhindern und somit leicht einen erheblichen wirtschaftlichen Schaden anrichten.
Die von Mittelständlern häufig zu vernehmenden Standardargumente, sie seien „zu klein und zu unbekannt für einen Angriff,“ stellen für Christian Schülke, der den Arbeitskreis Sicherheit des Verbandes der deutschen Internet-Wirtschaft leitet, in erster Linie Ausreden für das eigene Nichtstun dar. Der Geschäftsführer der SIS Net.Com Services GmbH verweist zudem auf die gesetzlichen Vorgaben. So lege das KonTraG (Gesetz zur Kontrolle und Transparenz) börsennotierten Unternehmen die Beschäftigung mit Sicherheitsaspekten nahe, und im Mittelstand müsste eigentlich Basel II (Risikoeinschätzung für die Kreditvergabe) dafür sorgen, dass das Thema IT-Security ernst genommen wird.
2. Schritt: Sicherheitsstrategie und -richtlinien aufstellen
Für Marc Heuse, Sicherheitsspezialist der KPMG Deutsche Treuhand, zählt deswegen eine allgemeingültige, für alle Beteiligten verbindliche Sicherheitsstrategie inklusive Management- Prozess zu den wichtigsten Voraussetzungen für funktionierende Security.
„Haben Sie das nicht, haben Sie ein Risiko.“ Auf die Technik dürfen sich die Unternehmen dabei nicht verlassen. Denn Werkzeuge wie Firewall, Antivirensoftware oder Ähnliches können nur in Verbindung mit organisatorischen Maßnahmen und Vorgaben das erhoffte Schutzniveau entwickeln. „Sicherheitsrichtlinien unterstreichen bewusst die Bedeutung der IT-Ressourcen für unser Geschäft“, erläutert Holger Werner die grundsätzliche Herangehensweise seines Unternehmens. Dabei kann der IT-Leiter von Klüber Lubrication auf Vorgaben der Klüber-Gruppe zurückgreifen, hat aber für die konkrete Umsetzung bei E-Mail- oder Internet-Nutzung freie Hand. Ein solcher Verhaltenskodex ist zudem ein wichtiger Schritt, Mitarbeiter und Management an das Thema Sicherheit heranzuführen.
3. Schritt: Bedrohungspotenziale erkennen
„Mittelständische Unternehmen sollten sich mit möglichen Gefahren vertraut machen, die eine IT-Infrastruktur mit sich bringt, und Sicherheitsrichtlinien formulieren“, empfiehlt IBM-Direktor Stefan Bürkli. „So werden Gefahren kalkulierbar.“ Als Gefahrenpotenziale führt er den nichtautorisierten Zugriff auf vertrauliche Daten von außen durch Hacker, den Zugriff von innen durch unbefugte Mitarbeiter und Gefahren durch höhere Gewalt wie etwa Feuer an. Zudem sollte man verhindern, dass Informationen unbemerkt verändert werden können.