Das Bewusstsein für Fragen der IT-Sicherheit müsse vielerorts erst geweckt werden, sagte der Leiter des "Kompetenzzentrums für IT-Sicherheit und Digitale Signatur" (Komzet) im Gespräch mit der Deutschen Presse-Agentur dpa in Mainz. Er warnte davor, das Problem auf die leichte Schulter zu nehmen. Schon der Verlust weniger Daten könne die Wettbewerbsfähigkeit eines Unternehmens beeinflussen. Das Komzet - eine Einrichtung der Handwerkskammer Rheinhessen - bietet Schulungen zum Thema Datenschutz und Sicherheit in der Informationstechnologie (IT) an. Die Einrichtung ist Schüler zufolge bundesweit einmalig.
Hacker, Datenklauer, Internetbetrüger: Im Internet und bei der Nutzung der Informationstechnologie lauern zahlreiche Gefahren. Sind die kleinen und mittelständischen Unternehmen ausreichend auf dieses Thema vorbereitet oder fehlt noch das entsprechende Bewusstsein?
Schüler: Wie wenig Aufmerksamkeit heute in vielen Kleinbetrieben der Datensicherheit nach wie vor beigemessen wird, ist in Anbetracht des Gefahrenpotenzials erstaunlich. Aus der Sicht des Fachmanns handeln einige Unternehmen geradezu fahrlässig. Ein Bewusstsein für Fragen der IT-Sicherheit fehlt vielerorts und muss erst geweckt werden. Kundendaten, Personaldaten, Buchhaltungsdaten sind für ein Unternehmen lebenswichtig und müssen demzufolge vor Verlust geschützt und sicher aufbewahrt werden. Dazu sind geeignete Strategien notwendig, die aber nur in wenigen Unternehmen existieren. Die Einschätzung vieler Unternehmen, bei einem Totalausfall der EDV auf manuelle Prozesse umstellen zu können, verwundert, da die meisten mittelständischen Unternehmen fast vollständig von der EDV abhängig sind.
Welche Sicherheitsmängel tauchen am häufigsten in den IT-Netzwerken dieser Unternehmen auf beziehungsweise welche Fehler werden am häufigsten gemacht?
Schüler: Das Komzet hat fünf Hauptgefahren aus dem Internet identifiziert, die für Unternehmen das größte Risiko bergen: Neben gezielten kriminellen Angriffen auf ein Unternehmen, dem Identitätsdiebstahl, das heißt die kriminelle Nutzung persönlicher Daten anderer und Spyware (Spionage-Software, um Informationen über Nutzerverhalten zu erlangen) sind dies Social Engineering, das heißt das Erlangen vertraulicher Informationen durch soziale Annäherung an das Opfer und Computerviren. Oft werden Bedrohungen von außen unterschätzt: Hacker und Saboteure dringen in Firmennetze ein, mit der Folge von direkten und indirekten Kosten durch den Verlust von Daten und damit von Produktivität, von Termintreue und Aufträgen. Es leiden Vertrauen, Image und Integrität. Viren mittels E-Mail zu verbreiten ist ein Leichtes. Sich dagegen zu schützen auch. Mangelnde Security-Maßnahmen resultieren aus der Tatsache, dass viele Unternehmen sich nicht darüber im Klaren sind, welche ihrer Daten schützenswert sind, bei den Nutzern das notwendige Sicherheitsbewusstsein fehlt und Security nicht zum Chefthema gemacht wird. Schon der Verlust weniger Daten aber kann die Wettbewerbsfähigkeit eines Unternehmens nachteilig beeinflussen.
Wie können sich solche Unternehmen, die keine große IT-Abteilung haben, zuverlässig gegen Angriffe aus dem Netz schützen?
Schüler: Die Mitarbeiter sind für Sicherheitsfragen zu sensibilisieren. Bereits einfache Vorkehrungen zeigen oft große Wirkung. Sicherheit ist dabei weder ein Produkt noch ein Zustand, sondern ein Prozess. Einen Computer am Internet nicht auf einem minimalen Sicherheitsniveau zu betreiben, ist vergleichbar mit einer herumliegenden geladenen Waffe. Der Besitzer trägt im juristischen wie im moralischen Sinn die Verantwortung dafür, was damit geschieht. Das Erreichen und Erhalten des angestrebten Sicherheitsniveaus bedeutet laufende Anstrengungen: korrekte Installation und Aktualisierung von Virenscannern, von Firewallregeln, Betriebssystemen und Applikationen (Stopfen von Sicherheitslöchern durch Patches), das Sichten von Log-Dateien zur Erkennung atypischer Vorgänge, die Überprüfung der geltenden Richtlinien auf Einhaltung, Zweckmäßigkeit und Verfolgung der aktuellen Trends. Dies ist die Aufgabe des Fachmanns. Intern oder extern. Und nicht erst im Schadensfall. (dpa/tc)