Punktuelles Handeln reicht nicht
Die DSS Dienstleistungen Service Sicherheit GmbH aus Potsdam kann davon ein Lied singen. Hacker hatten Ende März 2007 alle Stellenangebote des Unternehmens mit dem rassistischen Zusatz "Nur Bewerber arischer Abstammung" versehen. "Jemand hat die Stammdaten im Jobportal der Arbeitsagentur manipuliert, um uns zu diffamieren - vielleicht ein Konkurrent?", vermutet Geschäftsführer Marco Winkel. Doch auch bei anderen Geschäftsverantwortlichen hinterlassen derartige Vorfälle ihre Spuren, unabhängig davon, ob sie von ihnen durch die Medien oder durch Branchengeflüster erfahren. Die Folge: Die allermeisten kleinen und mittelständischen Unternehmen haben inzwischen mindestens ein Mal Geld in IT-Sicherheit investiert.
"Das Problem ist allerdings, dass punktuelles Handeln nicht ausreicht", warnt Rechtsanwalt Reiners. "Sicherheit ist ein Prozess, etwas, was sich fortlaufend weiterentwickeln muss." Doch gerade mit der Erkenntnis, dass es nicht mit dem einmaligen Kauf einer Lösung für das Problem IT-Sicherheit getan ist, tun sich viele Geschäftsführer schwer.
"Es gibt eine regelrechte Gläubigkeit in Technologien und Abkürzungen, und es gibt den gefährlichen Trend, sich in Sicherheit zu wiegen, nur weil man dieses oder jenes Produkt im Einsatz hat", sagt Heiko Rudolph, Gründer des IT-Sicherheitsdienstleisters Admeritia in Langenfeld. "Man sagt, ,Unsere Firewall schützt uns doch' oder ,Unsere Leute sind mit über ein Virtual Private Network angebunden, da kann ja nichts passieren '."
Die Frage, welche Lösung genau im Einsatz ist und was sie wirklich kann, stellen sich dagegen zu wenige Unternehmen. So entdecken die Admerita-Tester immer wieder bei ihren Kunden Firewalls oder Antivirenprogramme, die seit Jahren nicht mehr aktualisiert wurden und somit praktisch wirkungslos sind. Auch der Einsatz von VPN-Technologie bei Netzwerkverbindungen bietet nicht immer das erhoffte Sicherheitsniveau. Beispielsweise kommt bei vielen VPNs noch immer das in Microsoft Windows integrierte Point-to-Point Tunneling Protocol (PPTP) zum Einsatz. "Wenn ich dann den Kunden sage, dass gerade diese Lösung ausgesprochen leicht zu knacken ist, antworten sie oft : ,Jaja, absolute Sicherheit gibt es nun mal nicht, das sagen Sie ja selbst immer' ", berichtet Rudolph - und klingt dabei ein wenig ratlos.
Auch Schutzsoftware patzt
Foto: Peter Dölling
Ob die IT dicht hält oder Lecks aufweist, darüber könnten entsprechende Checks durch Spezialdienstleister Aufschluss geben. Neben Admeritia bietet diesen Service zum Beispiel auch die GDD AG in Oberhaching und Trigonum in Hamburg an. Doch Anfragen nach derartigen Tests trudeln nur spärlich ein, und die Auftragsakquise ist mühsam.
An dem Phänomen, dass sich viele Kunden nach ersten Geschäften mit Sicherheitsanbietern wieder zurückziehen, ist die Branche selbst allerdings nicht unschuldig - allen voran die Anbieter von Sicherheitssoftware. "Deren Vertriebsleute haben sich lange nur auf Produkte und Features bezogen und selbst zu dem Mythos beigetragen, dass sich Sicherheit mit einem Schlag erreichen lässt", kritisiert Anwalt Reiners. Inzwischen haben sie dazugelernt und beherzigen ein paar einfache Regeln, die beim Einsatz von Sicherheitssoftware für kleinere Unternehmen unumgänglich sind. Die Lösungen lassen sich einfacher als früher administrieren und zentral verwalten. Zudem werden sie automatisch aktualisiert. "Zunehmend wichtiger werden außerdem das Monitoring und die übersichtliche Darstellung der überwachten Computer und IT-Systeme und möglicher Gefährdungen", sagt Oliver Grün, Vorsitzender des Verbandes der EDV-Software- und -Beratungsunternehmen in Aachen. "Da die Zeit fehlt, muss ein schneller Überblick möglich sein. Viele wissen schlicht auch nicht, ob eine Lösung wirklich funktioniert, wenn sie kein visuelles Feedback bekommen."
Doch selbst eine professionell betreute Antivirensoftware auf dem neusten Stand schützt nicht immer vor Würmern und Viren. Gerade bei der Erkennung brandneuer Hacker-Codes patzen gelegentlich auch die Produkte renommierter Anbieter. Gleich drei Mal schlichen sich digitale Schädlinge in das Unternehmensnetz von Morphosys, unter anderem der Computerwurm Nimda, der den Datenverkehr im Netzwerk behinderte.
Dann hatte IT-Chef Pohlenz die Nase voll und wechselte die Softwareanbieter. Dabei nahm er sich viel Zeit, um neue Lösungen zu testen. Zu Recht, wie sich zeigte. Beispielsweise übersah ein Antivirenprogramm, das Pohlenz in Betracht gezogen hatte, bei einem Test satte 140 bekannte Viren. Der neue Virenschutz, für den er sich letztendlich entschieden hat, arbeitet nun zuverlässig, sagt Polenz. Erfolgreiche Virenangriffe seit dem Softwarewechsel: Fehlanzeige.
Nicht alle mittelständischen Unternehmen hingegen können sich einen eigenen Sicherheitsexperten wie Steffen Polenz leisten, der tatsächliche Software testet und bewerten kann, ob sie gut arbeitet. Deswegen übernehmen immer häufiger die Hersteller die Betreuung der Sicherheitslösung. "Managed Security Services" (MSS) sollen die Unternehmen bei der Aufgabe Sicherheit entlasten. Zwischen 1400 Euro und 2000 Euro kostet es, wenn ein externer Dienstleister Systeme absichert und die Schutzlösungen rund um die Uhr aus der Ferne betreut.