Wer ein Haus baut, muss Sicherheitsauflagen beachten. Stromkabel und Wasserleitungen dürfen nur im rechten Winkel abzweigen, vor Heizungskeller gehören feuerhemmende Türen. Noch mehr Vorschriften gilt es bei öffentlichen Gebäuden zu beachten; da müssen Teppiche schwer entflammbar sein, Fluchtwege gekennzeichnet und Rauchabzugsklappen installiert sein.

Der Aufbau von Rechenzentren und Netzwerkverbünden folgt dagegen in Sicherheitsdingen eher dem anarchischen Prinzip. Das Fehlen eindeutiger Vorschriften bewirkt, dass Unternehmen nach eigener Einschätzung der Gefährdungslage in Sicherheit investieren. Manche begnügen sich mit kostenfreien Virenscannern, die - weil nicht bezahlt - nur sporadisch aktualisiert werden. Sehr sicherheitsbewusst sind dagegen sehr bekannte und/oder in sicherheitskritischen Branchen tätige Firmen. Sie bauen heute schon starke Abwehrmechanismen auf, die ausreichen, um die allermeisten Angriffe abzufangen.

Dabei muss ein Unternehmen heute weder im Licht der Öffentlichkeit stehen, groß, noch in sicherheitsrelevanten Branchen tätig sein, um Opfer von Viren zu werden. Viele Angreifer wollen einfach möglichst großen Schaden anrichten. Das belegen die Schädlinge der vergangenen zwei Wochen, die sich weltweit millionenfach auf PCs eingenistet haben. Eng miteinander verzahnte Plattformen wie die Office-Programme von Microsoft und bequeme Anwender sorgen ebenfalls für eine schnelle Verbreitung. Die Schuld allein Microsoft zuzuweisen, weil die Systeme des Herstellers nach wie vor große Sicherheitslücken aufweisen und die Software aus Redmond Angriffsziel Nummer eins ist, greift zu kurz. Es fehlt auch an Eigenverantwortung der Unternehmen, an Richtlinien, die für alle Mitarbeiter in einem Unternehmen gelten.

Da es mit der Selbstverantwortung aber hapert und trotz vieler Virenwellen das Sicherheitsbewusstsein unter den meisten Anwendern und zahlreichen Herstellern kaum gestiegen ist, geht es offenbar nicht ohne entsprechende Gesetze. Wie beim Sicherheitsgurt im Auto, dem Katalysator oder eben der feuerhemmenden Tür vor dem Heizungskeller müssen erst verbindliche Auflagen für Anbieter und Anwender her, damit sich alle daran halten. Zwar würde so die Büokratie im Unternehmensalltag weiter gestärkt, aber angesichts des volkswirtschaftlichen Schadens, den maligner Code in einer Informationsgetriebenen Gesellschaft anrichten kann, wäre das wahrscheinlich das kleinere Übel.

Dass ein solch kontroverses Thema wie Security Diskussionen auslöst, gerade wenn der Ruf nach dem Gesetzgeber laut wird, ist der Redaktion bewusst.

E-Mails zu dem Thema bitte an cwitte@computerwoche.de