Sicherheitslücken in den weltweiten Computernetzen ziehen Datendiebe magisch an. Vor allem das Internet mit seinen Schwachstellen ermuntert zu lautlosen Einbruchsversuchen. Dabei ist der Täter längst nicht immer der große Unbekannte vor den Toren des Unternehmens, sondern sitzt oft in den eigenen Reihen. Kein Wunder also, daß Virenschutz, Backup-Konzepte, Verschlüsselungsverfahren, Firewalls und Seminare zum Thema IT- Sicherheit derzeit Hochkonjunktur haben.
Das ist aber kein Beweis dafür, daß die Unternehmen die dringend erforderlichen Schutzmaßnahmen auch in die Hände von Sicherheitsexperten geben. Detlef Weidenhammer, Geschäftsführer der Berliner GAI Netconsult GmbH, schildert die Realität: "Die meisten Firmen haben weder ein Sicherheitskonzept, noch machen sie einen Sicherheitscheck. Bei der Frage, wer denn dafür verantwortlich sei, stößt man auf Verunsicherung oder Ignoranz." Oft werde die Internet-Sicherheit dem Netzwerkspezialisten noch zusätzlich anvertraut. Der Berliner Berater: "Diese Leute haben meist weder das entsprechende Know-how noch die erforderliche Kompetenz, um Sicherheit schaffen zu können."
Während in Deutschland viele Unternehmen eine Vogel-Strauß-Politik betreiben, ist international tätigen Konzernen und Finanzdienstleistern das Problem der IT-Sicherheit durchaus bewußt. Viele von ihnen verfügen mittlerweile über Sicherheitsteams. Ein erfolgreiches Beispiel ist die Deutsche Bank. Deren Sicherheitsfachleute müssen mögliche Schwachstellen im Netz auffinden und zugleich ihren Kollegen die Brisanz des Problems vermitteln. "Wichtig ist aber auch, daß die Sicherheitsfachleute zuhören, Abläufe und Anforderungen verstehen und über soziale Kompetenzen verfügen." In der Gruppe von Bernhard Esslinger, früher bei SAP und heute weltweit für die IT-Sicherheit der Deutschen Bank zuständig, arbeiten Informatiker mit Netzwerkkenntnissen, Mathematiker und Kryptologie-Experten zusammen. Darüber hinaus sind auch Kollegen aus der Revision und dem Bereich Betriebsorganisation vertreten.
Technisches Know-how und die Fähigkeit, die Kollegen für das Thema zu sensibilisieren, sollten Sicherheitsfachleute aber noch mit Unternehmenswissen kombinieren, so Esslinger: "Je besser sie die Firma und ihre Strukturen kennen, desto erfolgreicher werden sie sein." Es komme auf die richtige Mischung an. Man brauche vor allem auch technisch orientierte Kollegen, die hin und wieder als Tiger-Team - ein Begriff aus der amerikanischen Militärsprache - testweise in das IT-System des Unternehmens einbrächen.
Bei Daimler-Chrysler sind die Mitarbeiter des Sicherheitsteams ebenfalls damit beschäftigt, Schwachstellen im Netzbereich zu knacken. Für diesen Job ehemalige Hacker einzusetzen käme Alfred Büllesbach nicht in den Sinn. Für den Datenschutzbeauftragten des Daimler-Benz-Konzerns würde das "ein gewisses Geschmäckle hinterlassen". Büllesbach wehrt sich dagegen, daß fundiertes Know- how nur in den Köpfen der Hacker vorhanden sei: "Die hochqualifizierten, erfahrenen und grundsoliden Mitglieder unseres Tiger-Teams sind mittlerweile so fit, daß sie den Vergleich mit den echten Hackern nicht fürchten müßten."
Sicherheitsexperten müssen neugierig sein
Der schwäbische Sicherheitsexperte hat dafür gesorgt, daß sich in der Abteilung Informationssicherheit "ein bunter Haufen" tummelt. Hier sind Informatiker und Mathematiker genauso vertreten wie Physiker oder Ingenieure. Außer auf den Hochschulabschluß wird Wert gelegt auf Berufserfahrung im eigenen Unternehmen und ein starkes Interesse an neuen Technologien. Büllesbach erwartet von seinen Mitarbeitern vor allem Neugier und eine "gewisse Suchintelligenz". Zudem sei es wichtig, mit anderen Kollegen zusammenarbeiten zu können. Ein anderes Kriterium sei Erfahrung. Berufseinsteiger würden mit den teilweise recht kniffligen Aufgaben Probleme bekommen.
Das Aufspüren von Schwachstellen gehört auch zum Alltagsgeschäft von Martin Hell und seiner Mannschaft. Hell ist technischer Geschäftsführer der Hamburger Crocodial Communica- tions GmbH, zu deren Angebot auch der Einsatz von "Tiger-Teams" gehört: "Der Großteil der Mitarbeiter ist bereits seit 1992 dabei. Damals waren es Studenten, die sich in den Netzwerkbereich einarbeiteten." Seit 1995 hat man sich auf Beratung im Bereich Internet-Sicherheit festgelegt.
Mit Headhuntern hat Hell bei der Personalsuche keine guten Erfahrungen gemacht: "Zum einen können die geforderten Gelder von einem Unternehmen unserer Größenordnung nicht so ohne weiteres gezahlt werden. Zum anderen ist gerade in diesem Bereich Loyalität sehr wichtig." Wenn ein potentieller Mitarbeiter hauptsächlich aus Geldgründen wechsle, erwecke das weniger Vertrauen, als wenn jemand jahrelang aufgebaut worden sei.
Die neu eingestellten Mitarbeiter hat Hell nach technischem und betriebswirtschaftlichem Wissen ausgesucht. Grundsätzlich wäre der Sicherheitsexperte nicht abgeneigt, einen ehemaligen Hacker ins Haus zu holen. Allerdings bezweifelt er dessen Willen, sich in ein Team zu integrieren. Jungen Leuten, die sich für IT-Sicherheit interessieren, empfiehlt Hell, fundiertes Wissen über Netze und Betriebssysteme zu erwerben. Das reiche angesichts der schnellen Entwicklung in diesem Bereich für den Einstieg auch aus, da "Newcomer im Unternehmen qualifiziert werden". Entscheidender als das neueste Wissen seien die Fähigkeit zu akademischem Denken und die Bereitschaft zu lebenslangem Lernen.
Norbert Bönner, Leiter der Firmenberatung bei der Kölner Unternehmensgruppe Schumann, fürchtet indes, daß die Unternehmen ein Problem unterschätzen könnten: Viele IT-Profis würden das Thema zu einseitig betrachten. "Früher genügte es, den Host abzuschotten. Heute müssen DV-Spezialisten - vor allem bei Banken -, den Kunden mitsamt sei- ner Anwendung schützen." Den High-Tech- Spezialisten sei schwer klarzumachen, daß Sicherheit ganzheitlich geschaffen werden müsse. Darum empfiehlt der Berater, gemischte Teams aus erfahrenen Computerprofis und Hochschulabsolventen zu installieren. Erforderlich seien Fachleute aus den Bereichen Netzwerktechnik, Unix und Internet. Allerdings dürfe nicht vergessen werden, daß das IT-Sicherheitsteam in großen Unternehmen oft nur ein Teil des gesamten Security-Bereiches sei. "Bei einer großen deutschen Bank nehmen nicht nur die IT-Leute, sondern auch die Bodyguards des Vorstands und die Vertreter des Gebäudeschutzes an den Treffen teil", sagt Bönner. Um so wichtiger sei es, daß die IT-Profis ihre Vorschläge überzeugend und für alle verständlich darlegten.
Solche Fähigkeiten gehören bei der Westdeutschen Landesbank, Düsseldorf, zur Grundausstattung der Sicherheitsfachleute. Werner Dinkelbach, Leiter DV-Sicherheit, achtet darauf, daß Einsteiger soziale Kompetenzen mitbringen: "Bei uns spielt die Persönlichkeit des Bewerbers eine große Rolle. Engagement, Kooperations- und Kommunikationsfähigkeit, selbstsicheres Auftreten und eine ganzheitliche Denkweise sind Voraussetzung für den Job." Sicherheitsprofis müßten sich an technischen Problemen festbeißen und ihren Kollegen die Auswirkungen von IT-Schwachstellen für deren Verantwortungsbereich erklären können. Dinkelbach: "Vor allem dürfen diese Mitarbeiter keinen Hang zur Oberflächlichkeit haben. Dieser sensible Bereich ist keine Spielwiese für Technik- Freaks.
Ina Hönicke ist freie Journalistin in München.