Nur ein Viertel der Mitarbeiter in Deutschlands kleinen und mittelständischen Unternehmen er hält regelmäßig IT-Sicherheitsschulungen. Das belegt der von Check Point Software Technologies im Oktober 2004 geschaffene Sicherheitsindex. Danach erklärten 18 Prozent der befragten Unternehmensvertreter, dass eine einmalige Informationsveranstaltung ausreiche, um die Beschäftigten über Sicherheitsrisiken zu informieren. Robert Chapman, CEO der The Training Camp GmbH: "Offenbar zeichnen sich deutsche Manager durch besonders großen Optimismus und Gottvertrauen aus." Dabei seien gerade die mittleren Firmen verwundbar, da sie im Gegensatz zu großen Unternehmen keine Ausweich-Rechenzentren oder umfangreiche Backup-Systeme haben.

Ein Firewall-Kurs reicht nicht

Natürlich sind Horrorszenarien, die ein Schulungsinstitut aufzeigt, skeptisch zu betrachten. Doch die Analysten der Experton Group bestätigen diese Zahlen. Senior-Berater Wolfram Funk: "Von den Unternehmen zwischen 100 und 500 Mitarbeitern bilden in der Tat nur 25 Prozent ihre Leute im IT-Bereich adäquat aus." Ein weiteres Problem sei die Art der Qualifizierung. Der Experton-Manager: "Viele Verantwortliche glauben, dass die Firma auf der sicheren Seite ist, wenn ihre Mitarbeiter einen Firewall-Kurs absolviert haben. Ihnen muss klarggemacht werden, dass nicht Insellösungen die Gefahr reduzieren, sondern sensibilisierte Mitarbeiter und ein vernünftiges Risiko-Management." Funk hält externe Trainings für eine gute Lösung. Voraussetzung sei aber, dass die Verantwortlichen in den Unternehmen genau wissen, welche Weiterbildung für IT-Security die richtige ist. Zudem müssten sie sich entscheiden, ob sie für ein Zertifikat ein paar tausend Euro zu zahlen bereit sind. Andernfalls müssten sich die Mitarbeiter autodidaktisch weiterbilden. Hilfe bei grundlegenden Ansätzen der IT-Sicherheit können seiner Meinung nach Organisationen wie der Berufsverband der IT-Revisoren und IT-Sicherheits-Manager ISACA (Information Systems Audit and Control Association) mit ihrem umfangreichen Zertifizierungsangebot geben. Funk: "Damit hier eine optimale Lösung gefunden wird, sollte einem erfahrenen Sicherheitsprofi der Rücken freigehalten werden. Das Schlimmste ist, IT-Security-Lösungen als reines Flickwerk zu realisieren."

Nach den Gründen für schlecht qualifiziertes Personal befragt, zeigen sich viele IT-Verantwortliche erstaunlich selbstkritisch: Die IT-Organisation verstecke sich oft hinter den Sicherheitsrichtlinien und erachte es als zweitrangig, die Mitarbeiter für IT-Sicherheit zu sensibilisieren. Bei Jack Wolfskin ist dies nicht der Fall. Der mittelständische Hersteller von Funktionskleidung und Ausrüstung für Outdoor-Aktivitäten legt Wert auf Netzsicherheit, Zugriffsschutz oder Applikationsdesign und qualifiziert seine IT-Profis in diesen Themen. Senior-Manager IT Severin Canisius: "Allerdings haben wir bald gemerkt, dass die Qualität der externen Trainings zu wünschen übrig lässt." Sehr viel besser findet Canisius die Veranstaltungen von Herstellern wie Microsoft. Die hier dargestellten Gefahren auf Anwendungsebene würden den Kollegen wirklich weiterhelfen. Hier hätten IT-Profis zudem die Möglichkeit, auch selbst zu experimentieren: "Wir bieten die Infrastruktur, um mögliche Szenarien in einer Testumgebung nachzuspielen", erklärt Canisius. Neben Learning-by-doing, Besuch diverser Veranstaltungen und Testspielen verlangt er von seinen Mitarbeitern aber auch Eigeninitiative deren Wissen müsse immer auf dem neuesten Stand sein: "IT-Sicherheit kann man nur ganzheitlich sehen. Dementsprechend kontinuierlich müssen sich die Kollegen damit beschäftigen."

Wenn viele andere mittelständische Unternehmen dagegen die Fortbildung in Sachen Sicherheit vernachlässigen, liegt das in den Augen von Ansgar Dodt, Europa-Vertriebschef für OEM-Produkte bei Safenet, nicht nur am Thema, sondern an der Organisation der Unternehmen: "Die IT-Mitarbeiter müssen sich um so viele Aufgaben kümmern, dass Weiterbildung generell auf der Strecke bleibt." Zudem bestehe in klei neren Firmen ein großes Vertrauen in die Technik, weswegen viele Verantwortliche zwar in technische Ausstattungen oder Verschlüsselungssoftware investierten, dem Faktor Mensch aber zu wenig Bedeutung beimäßen. Dodt fordert, technische Investitionen mit einer durchgängigen IT-Sicherheitspolitik zu begleiten, Richtlinien einzuführen und die Mitarbeiter regelmäßig zu schulen: "Sonst entsteht die gefährliche Situation, dass die Mitarbeiter nicht wissen, warum sie die neuen Produkte nutzen sollen beziehungsweise wie sich diese auf die Sicherheit auswirken." Entscheidend für den Erfolg ist seiner Erfahrung nach das Verhalten der Geschäftsführung: "Sie muss die Mitarbeiter für die Risiken sensibilisieren und zum richtigen Verhalten motivieren."

Dass Sicherheitsrisiken im Zeitalter von Fusionen, Mobile Computing und der unternehmensübergreifenden Vernetzung mit Lieferanten, Partnern und Kunden steigen, versucht auch der Branchenverband Bitkom seinen Mitgliedern zu vermitteln. In den Augen von Bitkom-Referent Stephan Pfisterer können sich die Verantwortlichen heute vielerorts über das Thema informieren, ohne gleich tief in die Tasche greifen zu müssen. Eine gute Möglichkeit stellen etwa Internet-Foren dar. Wichtige Anlaufstellen seien zudem das Bundesamt für Sicherheit in der Informationstechnik (BVSI), das Wirtschaftsministerium oder das 202 gegründete Kompetenzzentrum für IT-Sicherheit Mcert, das auf eine Initiative des Bitkom, der damaligen Bundesregierung und von Herstellern zurückgeht. Mittelständische Firmen finden bei Mcert zum Beispiel eine Datenbank, in der sie nach geeigneten Sicherheitsdienstleistern suchen können.

Gefahr wird unterschätzt

Bei Cert-IT können sich IT-Profis darüber hinaus als Security-Technician und Security-Coordinator zertifizieren lassen. Hierbei handelt es sich laut Pfisterer um Profile aus dem Weiterbildungssystem (APO IT), das die Sozialpartner, die Gesellschaft für Informatik und die Fraunhofer-Gesellschaft im Auftrag des Bildungsministeriums erarbeiten. Dass das Thema trotz all dieser Möglichkeiten noch unterschätzt werde, bedauert der Bitkom-Mann: "Vielen mittelständischen Unternehmen ist noch nicht einmal der Leitfaden für IT-Sicherheit bekannt, den das BVSI herausgegeben hat. Wenn sie glauben, dass sie in der Qualifizierung nachlässiger sein können, weil sie weniger häufig von Cyber-Kriminellen geschädigt werden, kann sich das als fataler Irrtum erweisen." Außer der Gefahr von außen müssten die Unternehmen noch die von innen in den Griff bekommen. (hk)