Diskutiert man über IT-Sicherheit, ist es immer hilfreich, konkrete Beispiele zu betrachten. Nehmen wir zum Beispiel einen Hersteller für Scharniere. Das Alleinstellungsmerkmal des Unternehmens besteht aus Speziallegierungen, welche die Oberfläche der Scharniere haltbar machen. Außerdem verfügt es über Spezialformen, mit denen sich Verbindungen herstellen lassen, die Wettbewerber so nicht produzieren können.
Ein solches Unternehmen hat eine eigene Forschung und Entwicklung und eine Produktion. Die Mitarbeiter benutzen ihre PCs für ihre tägliche Arbeit ganz selbstverständlich und ohne darüber nachzudenken – vielleicht so wie einen Bleistift.
Risikomanagement alleine greift zu kurz
Natürlich hat ein solches Unternehmen ein Risikomanagement. Das Risikomanagement analysiert die Bilanz auf Risiken, bewertet Auslandsaufträge, kümmert sich um die Versicherungen und sieht sich Kreditrisiken an. Es kümmert sich um Brand- und Gebäudeschütz und ein Notfallmanagement. Vielleicht empfiehlt es den Einbau einer Kameraanlage. In den wenigsten Fällen erstellt es ein durchgängiges Sicherheitskonzept, das auch die IT berücksichtigt. Denn die Risikomanager wissen eben nicht, was die einzelnen Mitarbeiter an ihren PCs ganz genau tun, welche Daten sie transformieren und welche Daten sie wie transportieren.
Natürlich ist die IT der Enabler für die Produktion. Das ist bei den meisten Mittelständlern so. Sie wird aber von der Geschäftsleitung nicht als solcher gesehen. Was IT-Sicherheit angeht, agiert sie nach dem Motto: „Ich mache Virenschutz und Firewall und schließe alle Türen ab“. Dabei ist IT-Sicherheit längst mehr als Virenschutz und Firewall. Auf der anderen Seite kann es auch nicht darum gehen, so viele Sicherheits-Tools und -Technologien einzusetzen, koste es, was es wolle. Das ist das andere Extrem.
Klare Vorgehensweise statt Übereifer
Wesentlich ist es zu bewerten, welche Abteilungen oder Verfahren besonders zu schützen sind und welche weniger. In unserem Beispiel muss es für die Forschungsabteilung strengere Auflagen geben als für die Produktion. Die Mitarbeiter akzeptieren diese Unterschiede auch. Schließlich haben die Ingenieure jahrelang an Verfahren gearbeitet, die nicht in die falschen Hände fallen dürfen.
Empfehlenswert ist der Einsatz eines Tools im Vorfeld, um eine Bestandsanalyse vorzunehmen. Auch die rechtlichen Rahmenbedingungen und die Policies eines Unternehmens müssen berücksichtigt werden. Zusätzlich solltne zudem Penetrationstests vorgenommen werden. Auf diese Weise werden Zusammenhänge herausgefunden, die es erlauben, die Daten zu bewerten. Ist die Analyse abgeschlossen, sollte das Unternehmen bei Umsetzung, Zertifizierung – möglicherweise bis zum Audit – begleitet werden.
Das Ziel muss sein, passgenau so viel Sicherheit wie nötig zu gewährleisten. Denn wenn die Mechanismen und Regelungen zu allgemein sind, werden die Mitarbeiter diese umgehen. (haf)