Geschäftsführer dürfen deshalb allerdings noch lange nicht die Hände in den Schoß legen, sagt der Münchner Rechtsanwalt Wilfried Reiners. "Es gibt eine Informationsverpflichtung für jede Gesellschaftsform, die für ein Unternehmen möglich ist. ,Das wusste ich nicht' gibt es nicht als Ausrede." Er rät aber zu Augenmaß, wenn in IT-Sicherheit investiert werden soll. "Es macht keine Sinn, den kleineren Unternehmen Sicherheitslösungen in ,Fort-Knox-Manier' zu verkaufen. Und der Kunde muss sich darüber im Klaren sein, was IT-Sicherheit in seinem Unternehmen bedeutet, was die wichtigen Daten und die wichtigen Systeme sind. Wenn er das weiß, kann ihm auch verständlich erklärt werden, warum Intrusion Detection wichtig sein könnte."
Mehr Wirkung als die schwammigen Verweise auf Compliance zeigen neue Vorschriften für Banken und Versicherungen, vor allem Basel II und Sovency II. Immer häufiger fragen die Finanzdienstleister bei ihren Risikobewertungen gezielt nach den Sicherheitsvorkehrungen in den Unternehmen. Auch die IT kommt dabei zur Sprache. Selbst beim Abschluss von Betriebshaftpflichtversicherungen gehört es inzwischen zum Alltag, dass die Sicherheit der IT-Infrastruktur nachgewiesen werden muss.
Dennoch glaubt Rechtsanwalt Reiners, dass vor allem der Marktdruck und nicht die Regularien dafür sorgen, dass sich immer mehr Firmen um das Thema IT-Sicherheit kümmern. Schließlich leidet nicht nur der Ruf eines Unternehmens unter Pannen. Wer wegen Computerausfällen in Verzug gerät, verliert auch schnell den Auftrag. Und selbst wenn etwa Autozulieferer von sich aus in der Regel nicht die harten Dokumentationskriterien von Börsengesetzen wie dem Sarbanes Oxley Act erfüllen - die Großkunden sind dazu verpflichtet. Und die Automobilhersteller, die sich diesem Regelwerk unterwerfen müssen, verlangen von den Lieferanten die entsprechenden Zertifikate, um sich abzusichern.
Doch IT-Sicherheit ist mit hohem Aufwand verbunden. In der Regel genügt es nicht, einfach irgendeine Sicherheitssoftware auf den Unternehmensrechnern zu installieren. Den Aufwand indes scheuen viele Firmen. Firewalls oder Antivirensoftware sind oft nur Kosmetik, wenn Unternehmensleiter sich das Geld für professionelle Lösungen sparen. Denn Sicherheitsprogramme, die nicht fortlaufend mit Software-Flicken, den so genannten Patches, weiterentwickelt werden, stellen für Hacker keine Hürde da, um ihre Schwachstellen schonungslos auszunutzen.
Die Betroffenen lernen indes schnell, dass IT-Sicherheit und die kontinuierliche Pflege der Systeme nicht nur ihren Preis, sondern auch ihren Wert hat, weiß Olaf Lindner. "Wer die elementaren Regeln der Sicherheit nicht beachtet, muss auch mit Kosten rechnen - für Rechner, die man neu aufsetzen muss, oder für Webseiten, die verändert wurden. Ganz zu schweigen von Imageschäden."
