Über Sicherheit denken viele Firmen immer erst dann besonders scharf nach, wenn sie Opfer einer Hacker-Attacke wurden oder ein Virus wichtige Daten zerstört hat. So hat beispielsweise der Loveletter-Wurm weltweit für erheblichen Wirbel gesorgt. Doch dieses Störprogramm war vergleichsweise einfach programmiert. Schäden in einer viel größeren Dimension wären theoretisch möglich gewesen. Computerviren und Denial-of-Service-Attacken, denen im Februar renommierte Websites wie Yahoo und Amazon.com zum Opfer fielen, sorgen zwar für reichlich Schlagzeilen. Kaum bekannt werden dagegen Fälle von zerstörerischen Hacker-Angriffen, Datenklau oder Industriespionage. Unternehmen, die Einbrüche und Störfälle im eigenen Haus entdecken, hängen das selten an die große Glocke.
Gefahren aus dem Internet gibt es zuhauf. So hat beispielsweise die amerikanische Bundesbehörde FBI festgestellt, dass die Einbruchsversuche in Computernetze sich 1999 gegenüber dem Vorjahr verdoppelt haben. Hacker haben offenbar leichtes Spiel: Drei von vier geschäftlichen Websites sind nach Ansicht des Beratungsunternehmen Gartner Group potenzielle Opfer für solche Attacken. Security-Fachleute stufen ehemalige Mitarbeiter und Personen mit Insiderwissen über die IT-Infrastruktur von Firmen als mindestens ebenso gefährlich ein wie die Angreifer aus dem Web.
Unternehmen sollten Sicherheitsfragen unbedingt strategischer behandeln als bisher, verlangen Beratungshäuser. "Sicherheitsmaßnahmen müssen mit derselben Geschwindigkeit, Begeisterung und Höhe der Investitionen weiterentwickelt werden wie E-Business-Lösungen", bringt es die Gartner Group auf den Punkt. Doch nach Ansicht der Gartner-Analysten wird die Sicherheit im Rennen um die neueste und beste Lösung oft vernachlässigt - eine fatale Entwicklung angesichts der möglichen wirtschaftlichen Verluste.
Weder ist der E-Business-Einstieg billig zu haben, noch gibt es Sicherheit zum Nulltarif. Studien der Gartner Group erbrachten, dass die Aufrechterhaltung von Sicherheitsstandards in IT-Umgebungen mit Internet-Zugang drei- bis fünfmal so teuer ist wie bei Systemlandschaften ohne Web-Anschluss.
Immer noch glauben Firmen, dass sich Sicherheit mit dem Erwerb einschlägiger Lösungen automatisch einstellt. Die meisten Betriebe dürften mittlerweile über Firewalls und Antivirensoftware verfügen, doch haben diese Werkzeuge gegen die falschen Liebesgrüße aus dem Web nichts ausrichten können. Firmen müssen mehr tun, als nur Sicherheitsprodukte anschaffen.
IT-Sicherheit ist zu einem wesentlichen Teil eine Frage der Organisation, stellen Security-Berater unisono fest. "Der Mensch muss in den Mittelpunkt der Überlegungen gestellt werden", fordert Olaf Götz. Er ist Geschäftsführer des IT-Beratungshauses Go Net Consulting & Solutions aus Dortmund, das Firmen unter anderem in Sicherheitsfragen berät. Das fängt bei der Führungsetage an. Sie muss sensibilisiert werden, denn viele Manager wälzen das Thema gern auf die IT-Experten im Hause ab. Doch Sicherheitsfachleute haben es oft nicht leicht. Sie verlangen Geld für Maßnahmen, ohne dabei die Produktivität zu steigern.
Sicherheit schmackhaft machenDennoch gibt es Mittel und Wege, der Führungsetage Sicherheit schmackhaft zu machen. Nach den Erfahrungen von Stefan Weber, Security-Consultant bei Debis Systemhaus ISS in Bonn, lassen sich Firmenlenker von der Notwendigkeit einer Sicherheitslösung überzeugen, wenn sie erfahren, welche Maßnahmen die Konkurrenz ergriffen hat. Auch Wirtschaftsprüfer üben laut Weber einen gewissen Druck aus, denn sie haben inzwischen auch ein Augenmerk auf die IT-Sicherheit. Einige von ihnen bringen gleich Fachleute mit, die im Unternehmen beispielsweise kontrollieren, ob die Netzwerk-Router für den Zugang zum Internet ausreichend abgesichert sind, berichtet Weber. Darüber hinaus gibt es gesetzliche Rahmenbedingungen, die bestimmte Branchen, wie beispielsweise den Handel dazu verpflichten, Betriebsrisiken auch in Bezug auf die IT vorzubeugen. Doch diese Regeln sind nach den Erfahrungen Webers oft viel zu schwammig und lassen zu viel Spielraum für Interpretationen. So wird beispielsweise ein Notfallplan bei Ausfall der Computersysteme vorgeschrieben, nicht aber, wie dieser auszusehen hat.
Auf die Sicherheitsentscheidungen eines Unternehmens Einfluss nehmen könnten vor allem dessen Kunden, Lieferanten oder Partner, die mit der Firma geschäftliche Transaktionen abwickeln wollen. So wie sich heute die Autokäufer für einen Hersteller entscheiden, der seine Fahrzeuge mit Sicherheitstechnik ausstattet, wären Betriebe in der Lage, ihre E-Business-Partner nach ähnlichen Kriterien auszuwählen. Damit würde Security zum Wettbewerbsfaktor. Ein IT-Sicherheits-TÜV wurde indes noch nicht erfunden. Es gibt lediglich Überprüfungen und Zertifizierungen von einzelnen Sicherheitsprodukten durch das Bundesamt für Sicherheit in der Informationstechnik. Möglicherweise tut sich bald etwas in dieser Richtung, denn einschlägige Gütesiegel für Online-Shops, die sich an private Konsumenten richten, gibt es bereits.
Solange jedoch solche Prüfsiegel nicht allgemein verbreitet sind, müssen die Firmen selbst festlegen, worauf es ihnen ankommt. Zunächst gilt es zu definieren, was in der Firma schützenswert ist und welche Anforderungen an Security-Lösungen gestellt werden. Daraus lassen sich dann Richtlinien ableiten. Dieses Vorgehen predigen Sicherheitsberater schon seit Jahren, doch hat es auch in Zeiten des E-Business seine Gültigkeit. Eine Verordnung könnte dann beispielsweise lauten, unbekannte Attachments von E-Mails 24 Stunden nicht zu öffnen und abzuwarten, ob Viren verbreitet werden, die vor diesen Nachrichten warnen, schlägt ein Sicherheitsexperte vor.
Sicherheitspolitik festlegenSchon während und nach der Festlegung einer Sicherheitspolitik sollte eine Schwachstellenanalyse erfolgen, gibt Götz zu bedenken. Aus der Schwachstellenanalyse resultiert dann ein Maßnahmenkatalog, den es abzuarbeiten gilt. Idealerweise setzt ein Sicherheits-Team die Vorgaben um und achtet zudem auf die Einhaltung der Regeln. Voraussetzung sei aber, dass alle Angestellten die Verordnungen mittragen. Sie benötigen eine entsprechende Schulung. Doch hier hapert es laut Go-net-Chef Götz oft: PC-Anwender erhielten selten eine Einweisung in Applikationen, E-Mail-Programme und Betriebssysteme. Da könne dann niemand erwarten, dass aus Laien über Nacht Fachleute würden, die in brenzligen Situationen Sicherheitsrisiken abschätzen können. Eine weitere Voraussetzung: Der oder die Security-Verantwortlichen müssen über Weisungsbefugnisse verfügen. Bei Unternehmen mit 2000 und mehr Angestellten sollten sie direkt der Geschäftsleitung unterstellt sein, rät Debis-Sicherheitsberater Weber. Zudem wäre es besser, diese Posten nicht mit Mitarbeitern aus der IT-Abteilung zu besetzen, meint Götz: "Sonst kontrollieren die sich praktisch nur selbst."
Eine Sicherheitspolitik inklusive Maßnahmenkatalog lässt sich jedoch nicht wie die Zehn Gebote in Stein meißeln. Der Wandel der IT zwingt dazu, in Sachen Security ständig umzudenken. So passt das Schutzkonzept möglicherweise nicht mehr, wenn das Warenwirtschaftssystem mit einer E-Commerce-Software verknüpft wird.
Auch organisatorische Veränderungen im Unternehmen sowie Übernahmen und Fusionen werfen Sicherheitskonzepte oft komplett über den Haufen, ganz zu schweigen von der Einführung von E-Business-Lösungen. Gern dienen sich neben den Beratern auch Dienstleister an, den Firmen die Mühsal mit der Sicherheit abzunehmen. Die Gartner Group erwartet, dass viele Firmen auf Sicherheitsdienstleister sowie Application-Service-Provider zurückgreifen werden, um die Umsetzung der Security-Lösung zu beschleunigen. Allerdings dürfte es einige Unternehmen Überwindung kosten, sensible Bereiche wie die Sicherheit an Externe zu vergeben.
Trotz aller Sicherheitsvorkehrungen wird es immer wieder zu Einbrüchen, Schäden durch Viren, Datenklau sowie Denial-of-Service-Attacken kommen. Alle Sicherheitsmaßnahmen dienen dazu, dass Risiko zu senken und den Vorsprung der kriminellen Computerexperten zu verringern.
Verhütungsmittel
Nach dem Auftreten des "Iloveyou"-Virus meldeten sich viele Sicherheitsexperten zu Wort und gaben Ratschläge, wie sich Firmen vor solchen Vorkommnissen besser schützen können. Hier zehn "Vermeidungsstrategien" des IT-Sicherheitsdienstleisters Secunet AG aus Essen-Kettwig.
1.Installation eines Alarmierungssystems
2.Entwicklung eines Backup-Konzepts
3.Konzeption eines Notfallplans in der operativen Verantwortung eines IT-Sicherheitsverantwortlichen
4.Deinstallation des "Windows Scripting Host"
5.Deaktivieren des automatischen Öffnens von E-Mails
6.Aktuelle Viren-Scanner und Signaturdateien einsetzen
7.Ein- und ausgehende Mails filtern
8.Vorsicht bei mehreren Mails mit gleichem Subject
9.Nichtöffnen von Mails mit fragwürdigem Inhalt
10.Keine Scherzprogramme versenden