8. Schritt: Vorausdenken

„Es zählt die Gesamtheit der Regelungen und nicht das einzelne Werkzeug“ beschreibt IT-Chef Werner den umfassenden Charakter eines Sicherheitskonzepts. Dabei müsse den Beteiligten klar sein, dass das erzielte Sicherheitsniveau stets von der schwächsten Stelle bestimmt wird. Der Klüber-Manager meint damit aber auch, dass zu den Richtlinien und Maßnahmen auch das Durchspielen des Ernstfalles zählt. Ein vernünftiges Datensicherungs- und Wiederherstellungsverfahren kombiniert mit zentraler Softwareverteilung ist zumindest eine hervorragende Rückversicherung, falls doch etwas passieren sollte. Schafft es beispielsweise ein besonders hartnäckiger Virus die Arbeitsplätze zu befallen, kann man bei dem Hersteller von Spezial-Schmierstoffen bereits innerhalb von 45 Minuten wieder für einen „sauberen“ Arbeitsplatz sorgen.

9. Schritt: Aktuell bleiben

Sicherheit ist eine kontinuierliche Aufgabe. Niemand sollte sich deshalb auf der Wirkung des einmal errichteten Bollwerks ausruhen. Genau das scheinen viele Unternehmen aber zu tun. Eine regelmäßige Schwachstellenanalyse ist aber für einen kontinuierlichen Schutz ebenso erforderlich, wie das Aktualisieren eingesetzter Software, um neu entdeckte Löcher zu stopfen. Diverse Seiten im Internet wie www.bsi.de halten hierzu aktuelle Informationen über neue Viren und andere Gemeinheiten bereit. Wer hierbei die eigenen Ressourcen schonen will, sollte externe Hilfe hinzuziehen. So lässt Klüber Lubrication trotz des vorhandenen eigenen Know-how beispielsweise die Fernwartung und erforderliche Konfigurationsänderungen des alle Niederlassungen umspannenden Virtual Private Network (VPN) von dem Lieferanten Genua bewerkstelligen. Am Beispiel VPN zeigt sich nach Angaben von Werner außerdem, dass sich Maßnahmen zur sicheren Kommunikation auch rechnen können. Denn das Schalten virtueller Tunnel über das Internet ist in der Regel günstiger als das Mieten fester Standleitungen.

10. Schritt: Sicherheitsbewusst denken und handeln

Das A und O einer erfolgreichen IT-Sicherheit, auch im Mittelstand, ist, dass alle an einem Strang ziehen. Wenn die Firmenleitung nicht dahinter steht oder die Mitarbeiter nicht einsehen, die manchmal umständlicheren Sicherheitsroutinen zu nutzen, und sich lieber über den kurzen Dienstweg die Zugangsberechtigung eines Kollegen besorgen, ist jede Maßnahme sofort ausgehebelt. „Der Mitarbeiter muss motiviert und informiert sein“, fordert Werner in diesem Zusammenhang. In Köln war dies wohl nicht der Fall. Denn trotz entsprechender Richtlinien ließen sich die Mitarbeiter nicht davon abhalten, das Computerspiel aufzuspielen. (ciw)

* Achim Born ist freier Journalist in Köln.