Obwohl Antiviren-Tools in den meisten Unternehmen mittlerweile zur Standardausstattung gehören, ist der finanzielle Schaden, der jährlich durch elektronische Schädlinge entsteht, enorm. Technische Aspekte, organisatorische Defizite und nicht zuletzt der Faktor Mensch tragen dazu bei, dass Viren großen Schaden anrichten.
Kritisch ist noch immer die "Inkubationszeit" eines Virus: Die zeitliche Lücke zwischen dem Auftauchen eines neuen elektronischen Schädlings, der Bereitstellung eines Patches durch die Hersteller und dem tatsächlichen Einspielen des Updates durch den Systemadministrator oder die einzelnen Mitarbeiter kann je nach Unternehmen zwischen Stunden und Wochen betragen. Zwar haben Unternehmen in den vergangenen Jahren verstärkt in einzelne Tools aus den Bereichen Antiviren- und Firewall-Management investiert. Die Sicherheitsinfrastruktur vieler Unternehmen gleicht aber einem Patchwork-Teppich, dessen Gesamtbild sich nicht harmonisch zusammenfügen will.
So kommt es beispielsweise dazu, dass die Antivirenlösung auf dem Desktop nicht mit der Virenabwehr am Gateway kommuniziert. Thomas Raschke, Analyst beim Marktforschungsunternehmen IDC, warnt: "Security hört nicht bei Virenschutz und Firewall auf, sondern fängt dort erst an."
Neben den technischen Aspekten ist IT-Sicherheit auch eine Frage der Organisation. Fehlende Unterstützung der Administratoren und IT-Manager sowie organisatorische Mängel behindern ein effektives Sicherheits-Management. Was viele Unternehmen noch immer ignorieren: Ganzheitliche Sicherheitskonzepte und die Integration der IT-Security in die Gesamtorganisation führen zum Erfolg. "Die meisten Unternehmen haben zwar mittlerweile schriftlich fixierte Sicherheitsrichtlinien verabschiedet. Bei einer genaueren Untersuchung treten aber oft Schwachstellen zutage", gibt Raschke zu bedenken.
Der Analyst rät zu einer detaillierten Risikoanalyse. Sie reflektiert, welche Ressourcen es zu schützen gilt, bewertet Risiken und stellt fest, mit welchen Auswirkungen im schlimmsten Fall zu rechnen ist. Abhängig von Branche, Unternehmensgröße und im Haus vorhandenen Kenntnissen kann auch die Auslagerung von Sicherheitsprojekten eine sinnvolle Alternative zu eigenen Anstrengungen sein.
Zur Aufrechterhaltung eines Sicherheitsstandards im Unternehmen müssen auch die Mitarbeiter berücksichtigt werden. Doch die Schulung der Angestellten wurde in den vergangenen Jahren vielfach vernachlässigt. Der leichtfertige Umgang mit sensiblen Daten und das falsche Einschätzen der Umgebung sind noch immer an der Tagesordnung. Dabei ist es nicht nur der "einfache Angestellte", der aus mangelndem technischem Verständnis, Unkenntnis oder Unachtsamkeit Fehler begeht. Ebenso gefährdet der Manager, der seinen Dienst-Laptop über das Wochenende mit nach Hause nimmt, unter Umständen das gesamte Unternehmensnetz: Unbemerkt und ohne böse Absicht surft damit vielleicht der Filius im Internet oder spielt ungeprüfte Daten auf. Wird am Montagmorgen ohne Virenprüfung über den Laptop auf das Unternehmensnetzwerk zugegriffen, ist den Schädlingen Tür und Tor geöffnet.
Schulung ist wichtig
Sensibilisierungsprogramme schaffen hier Abhilfe. Sie zeigen Mitarbeitern sicherheitskritische Aspekte des Arbeitsalltags auf, informieren über Risiken und formen auf lange Sicht eine sicherheitsbewusste Unternehmenskultur. Ergänzt werden sollte dies durch eine regelmäßige Schulung der Mitarbeiter im sachgemäßen Umgang mit sicherheitsrelevanten IT-Anwendungen und Tools.
Eine Brücke zwischen den technischen Seiten der Sicherheit und den Mitarbeitern schlägt hierbei eine durchsetzbare, klar formulierte und verständliche Sicherheitspolitik. Sie enthält Richtlinien zum erwünschten Umgang mit Internet, E-Mail, Arbeitsplatz, Passwörtern und Netzwerkressourcen. Berücksichtigt werden sollten aber auch der Zugang zu und der Umgang mit Informationen. Darüber hinaus werden auch Kontroll- und Überwachungsmaßnahmen benannt, um die Vertraulichkeit von Daten zu gewährleisten und sie vor Verlust, Missbrauch und Manipulation zu schützen.
Was die Komplexität der Sicherheitsrichtlinien angeht, ist zu überlegen, ob sich eine inhaltliche Trennung der Vorschriften nach Mitarbeiterstatus empfiehlt. Denkbar ist beispielsweise, eigene Richtlinien für Mitarbeiter ohne Administrations- und Sicherheitsaufgaben anzufertigen. Entsprechend wären dann spezielle Vorschriften und Leitlinien für die Administratoren und IT-Manager auszuarbeiten. Auch spezifische technische Sicherheitsrichtlinien sind möglich. So beinhaltet beispielsweise eine Antiviren-Policy besondere Richtlinien und Maßnahmen für die Administratoren, die für den Schutz vor Viren und Malware verantwortlich sind.
Verantwortung für Mitarbeiter
Die dauerhafte Einhaltung der Sicherheitsrichtlinien und Vorschriften ist einerseits durch Verständnis und Motivation zu erreichen. Andererseits tragen auch klare Verantwortlichkeiten und das Unterzeichnen der Security-Policy durch die Mitarbeiter dazu bei, die Richtlinien und Neuerungen durchzusetzen. Beispiele guter Sicherheitsregularien bietet die Sammlung des System-Administration-, Networking-and-Security- (SANS-)Institute unter http://www.sans.org/resources/policies. Ebenso kann die Spezifikation 17799 der International Organization for Standardization (ISO) als Leitfaden für das Management der Informationssicherheit zu Rate gezogen werden, selbst wenn keine Zertifizierung des Unternehmens nach diesem Standard angestrebt wird.
Das Dokument listet die wesentlichen Anforderungen an das Informationssicherheits-Management einer Organisation auf und ermöglicht so eine strukturierte Vorgehensweise. Mit der regelmäßigen Überprüfung und Anpassung von Technik, Organisation und Sicherheitspolitik an die aktuellen Erfordernisse schließt sich der Kreis. (ave)