Neulich hat Martin Siemens, Geschäftsführer des Antivirensoftwareherstellers Softwin, bei einem Besuch eines kleinen Handwerksbetriebs von einer neuen Methode erfahren, sich vor Computerviren zu schützen: dem Aussitzen. "Wenn dort der Chef hört, dass ein Computerwurm im Internet unterwegs ist, öffnet er einfach ein paar Tage lang keine E-Mails", berichtet Siemens. "Er liest sie erst dann, wenn sich die Aufregung wieder gelegt hat."

Abhängig von der IT

Den Computerschädlingen ist es natürlich egal, wann der Anwender den entscheidenden Klick tut, um sie zu aktivieren. Dieses Grundwissen ist glücklicherweise inzwischen vielerorts vorhanden - auch in kleinen Unternehmen, in denen der Computer nur genutzt wird, um Rechnungen zu schreiben. Nur wenige Unternehmensverantwortliche reagieren noch mit einer Mischung aus Naivität und Vogel-Strauß-Taktik auf potenzielle Bedrohungen für die Unternehmens-IT.

"Wenn das System steht, können wir nicht mehr arbeiten. Wir können keine Aufträge mehr schreiben oder Teile bestellen", sagt zum Beispiel Joachim Roßmeisl, der beim Autohandelshaus Robert Kunzmann GmbH & Co. in Aschaffenburg für die IT-Sicherheit verantwortlich ist. Bei Kunzmann sind über 300 PCs bei 550 Mitarbeitern an acht Standorten untereinander vernetzt. Über ein internes Abrechnungssystem tauschen sie Daten mit Herstellern und Lieferanten aus. Auch an die Systeme der Zentrale der DaimlerChrysler AG sind die Aschaffenburger direkt angebunden.

Bewusstsein ist da

Die gute Nachricht ist also: Die meisten unter den kleinen und mittelständischen Unternehmen nutzen Sicherheitssoftware. "Das Bewusstsein ist inzwischen da, und die Sicherheitslage in den Unternehmen ist oft besser, als es die Softwareanbieter darstellen", sagt der auf Rechtsfragen rund um die IT-Sicherheit spezialisierte Anwalt Wilfried Reiners aus München.

Die schlechte Nachricht ist, dass die IT-Systeme in der Summe aber nicht wirksamer abgesichert sind als früher. An einem grundsätzlichen Problem hat sich über die Jahre hinweg nichts geändert: Kleinere Unternehmen haben nicht das Geld, das Wissen und die Leute, um ihre Sicherheitslösungen auf dem neuesten Stand zu halten. "Im Mittelstand kennen sich die Beschäftigten in der Regel weniger mit IT-Sicherheitsfragen aus", sagt Berthold Stoppelkamp, Geschäftsführer der Arbeitsgemeinschaft Sicherheit in der Wirtschaft (ASW) in Berlin. "Das ist ein Grund, warum wir dort meist nicht dieselben Sicherheitsstandards finden wie in Großkonzernen. Auch die Ressourcen und das Fachwissen fehlen mitunter."

Laienhafte Installationen

Dazu kommt, dass sich das verschärfte Bewusstsein nicht direkt in einer größeren Bereitschaft zu Sicherheitsinvestitionen niederschlägt. Für die Softwareunternehmen MessageLabs und McAfee ermittelten die Marktforscher von IDC, dass vier von fünf Verantwortlichen in kleinen und mittelständischen Unternehmen im Falle eines Angriffs auf die IT-Sicherheit erhebliche Konsequenzen für den Erfolg der Firma befürchten. Aber nur acht Prozent der 450 Befragten stuften IT-Sicherheit als geschäftliche Priorität ein. Selbst Unternehmer, die extrem sensible Daten aufbewahren, investieren nur ungern in Sicherheit.

Thorsten vom Heu, Gesellschafter des Medizintechniksystemhauses vom Heu & Seidel in Regensburg, beobachtet etwa immer wieder haarsträubende Zustände in Sachen Datensicherheit bei den Zahnarztpraxen, an die er Röntgengeräte verkauft. "Wir sehen viele Netzwerke, die offen wie Scheunentore sind." Oft werden dabei von augenscheinlichen Laien einfach WLAN-Router an den Praxiscomputer angeschlossen, auf denen die Patientenstammdaten liegen. Das Sicherheitsniveau der IT-Unternehmenssysteme außerhalb der großen Konzerne steigt insgesamt nur langsam. Gleichzeitig wird die Absicherung immer komplizierter, obwohl die Zahl der Hacker-Attacken in letzter Zeit nicht mehr so massiv gestiegen ist wie in der Vergangenheit.

"In den vergangenen Jahren sind die Sicherheitsbedrohungen dafür sehr viel komplexer geworden", sagt Steffen Pohlenz, IT-Leiter beim Biotechnologieunternehmen Morphosys in München. "Es gibt nicht mehr nur Viren, die über E-Mail verbreitet werden. Schadcode greift heute über unterschiedliche Wege an."

Alle Sicherheitsunternehmen berichten übereinstimmend, dass Variantenreichtum und Gefährlichkeit der Hacker-Angriffe in den vergangenen zwei Jahren massiv zugenommen haben - und ihre Erfolgsquote. Während bislang vor allem E-Mail-Systeme oder Internet-Browser angegriffen wurden, zielen Hacker heute auch auf die Lücken in Speichersystemen, Backup-Software oder sogar Antivirenprogrammen. Auch Datenbanken sind mittlerweile nicht mehr sicher. Die meisten Unternehmen in Deutschland haben bisher keinen gezielten Schutz für sie implementiert, kritisiert Stefan Strobel, Geschäftsführer des IT-Dienstleisters Cirosec in Heilbronn. Sowohl in ERP-Systemen als auch für Forschungsdaten werden heute oft kommerzielle Datenbank-Server verwendet, die viele Angriffspunkte bieten.