4. Schritt: Risikoklassen und -niveaus definieren

Berater Schülke fällt in Diskussionen um den Aufwand für IT-Sicherheit auf, dass Mittelständler die Risiken zu wenig differenzieren und mit den sprichwörtlichen Kanonen auf Spatzen zielen wollen. Die Attacke auf einen Web-Server mit Unternehmensdarstellung und Meldungen ist sicherlich weniger dramatisch als der Diebstahl von Unternehmens- Know-how. Wer wie Klüber Lubrication spezielles Fachwissen (hier: über Schmierstoffe) besitzt, setzt alles daran, das eigene Wissen zu schützen. Stammdaten, Kundendaten, Personaldaten, Rezepturen und Vertriebskanäle - kurz: das firmeninterne Wissen - zählt IT-Expertin Bayer zu den schutzwürdigen Dingen. Durch eine konsequente Was-wäre-wenn-Analyse mit den wirtschaftlich Verantwortlichen, beispielsweise beim Ausfall des Servers mit Kundendaten, wird schnell das Gespür für das reale Risiko geweckt. Vor diesem Hintergrund lässt sich dann nach objektiven Kriterien entscheiden, was Sicherungsmaßnahmen kosten dürfen.

5. Schritt: Sparen mit Grips

Durch einfache organisatorische Maßnahmen und eine geschickte technische Auswahl wird allerdings so mancher Tool-Kauf überflüssig. Wenn wie bei Vita beispielsweise kein Firmen-PC mit einem CD- oder Diskettenlaufwerk ausgerüstet werden darf, können über diesen Weg erst gar keine Viren und Trojaner ins Firmennetz gelangen. Vergleichbares gilt beim Einsatz eines zentralen Servers mit Thin-Client-Arbeitsplätzen. Die Aufstellung der Server mit wichtigen Firmendaten in einem eigens gesicherten Raum sollte selbstverständlich sein.

Wichtig ist außerdem, dass sich die verfassten Sicherheitsrichtlinien in der Gestaltung der Zugriffs- und Nutzungsrechte widerspiegeln. Scheidet ein Mitarbeiter aus oder wechselt er die Arbeit innerhalb des Unternehmens, lassen sich die Änderungen entsprechend einfach nachbilden, und die Anwendungen bleiben geschützt. Durch einen kleinen Kniff lassen sich auch Mitarbeiter dazu erziehen, ihren PC wirklich immer ordnungsgemäß herunterzufahren: einfach das Passwort bei den „vergessenen“ Systemen durch die Administration automatisch ändern lassen. Die Schmach, sich am nächsten Morgen das neue Passwort beim Administrator besorgen zu müssen, wird kaum jemand zum zweiten Mal auf sich nehmen wollen.

6. Schritt: Tools auswählen

Die Vorgaben der Richtlinien werden in den Firmen typischerweise mit Tools wie Firewall, Antivirensoftware, Content Inspection- und Intrusion-Detection- Systeme umgesetzt. Mit diesen lassen sich zum einen mehr oder minder dichte Bollwerke gegen Gefahren aus dem Internet errichten.

Nicht außer Acht lassen darf man zum anderen den Innentäter. Der aufgebaute Abwehrriegel sollte deshalb laut Stefanie Bayer, die die E-Trust-Suite von CA einsetzt, in jedem Fall eine Firewall, eine Antivirensoftware sowie Content Inspection enthalten. Darüber hinaus hält sie für Unternehmen, die es sich leisten müssen und können, eine so genannte demilitarisierte Zone (DMZ) für ratsam. Server, die von außen zugreifbar sein sollen, lassen sich so in dieser gesondert geschützten Zone aufstellen, während das eigentliche Netz über eine zusätzliche Firewall gesichert wird.

7. Schritt: Grenzen kennen

Die aufgeführten Tools können allerdings nur ein präventives Mittel sein und keinen 100-prozentigen Schutz bieten. Ist beispielsweise der Virus unbekannt, kann ihn das Virusprogramm nicht erkennen. Oder: Hat Outlook eine offene Stelle, hilft keine noch so gut konfigurierte Firewall weiter. Bei Klüber Lubrication sind deshalb zusätzlich intelligente Filter eingerichtet, um Dokumente mit ausführbarem Code auszugrenzen. Auch wurden die Möglichkeiten der Mitarbeiter für den Web-Seiten- Zugriff eingeschränkt. Zum einen wird so das Einschleusen von Viren insbesondere über animierte Websites erschwert, die kleine Programme auf dem Browser ausführen.

Zum anderen können damit unerwünschte Inhalte (Pornografie, Rassismus) abgeblockt werden. Dies ist umso wichtiger, als alles, was in das Unternehmensnetz gelangt, von hier aus weiterverbreitet werden kann. Zu den Sicherheitsmaßnahmen von Vita zählt auch die Überwachung des internen Netzverkehrs. Diese Art der Content Inspection ist zwar umstritten, hat sich aber bei dem Reutlinger Unternehmen bereits ausgezahlt. „Richtig eingesetzt auf Protokollebene und abgestimmt mit dem Betriebsrat spricht nichts gegen diese Art der Überwachung“, so Stefanie Bayer.