Ansprechpartner
Dipl.-Inf. (univ.) Knut Harmsen
Dipl.-Inf. (univ.) Knut Harmsen Informationstechnik

Telefon:+49 911 1335-320

Telefax:+49 911 1335-122

Rückruf anfordern Kontaktdaten speichern
IT, E-Business

IT-Sicherheit als Innovationsfaktor

Programme zum automatischen Öffnen von E-Mail-Anhängen, private Programme oder gar PC-Spiele auf dem Firmenrechner, die unverschlüsselte Versendung geheimer Unterlagen per E-Mail an Mitarbeiter, die sich außerhalb des Unternehmens befinden, unnötig weitgehende Zugriffsrechte für Mitarbeiter, etwa auf personenbezogene Daten Dritter, fehlende Verfahrensregeln für den Eintritt und vor allem das Ausscheiden von Mitarbeitern - das alles ist Alltag in deutschen Unternehmen. Wer sich nicht um die Sicherheit seiner Daten und Systeme kümmert, vergibt Chancen im Innovationswettbewerb und setzt im Extremfall die Existenz seines Unternehmens aufs Spiel.

Der deutsche Mittelstand ist nicht nur Nutzer neuer Technologien - er entwickelt sie zum großen Teil auch selbst und bietet seine neuen Produkte im In- und Ausland an. Um im Wettbewerb bestehen zu können, müssen die Unternehmen ihre technologische Kompetenz täglich neu unter Beweis stellen. Eine Grundvoraussetzung für die Fortschrittsfähigkeit der Unternehmen ist die IT-Sicherheit. Doch dieser wird vielfach nicht die nötige Bedeutung zugemessen. Der scheinbar nicht wettbewerbs- und innovationsrelevante Faktor IT-Sicherheit kann jedoch gravierende Auswirkungen auf den Unternehmenserfolg haben, wenn etwa Daten verloren gehen, Firmengeheimnisse ausspioniert werden, Ausfallzeiten die Geschäfte auf Eis legen und wertvolle Arbeitszeit verloren geht, oder fehlerhafte Auftragsbearbeitung die Kunden vergrault. Nicht zu reden vom Imageverlust bei Kunden und Geschäftspartnern, die eigene sensible Geschäftsdaten in guten Händen wissen möchten.

In der Tat betreiben deutsche Firmen eher Schadensbegrenzung als dass sie vor-beugende Maßnahmen ergreifen. Trotz der zunehmenden Gefahren stocken deutsche Unternehmen ihre IT-Sicherheitsbudgets nicht auf. Einer Erhebung von Forrester Research zufolge gibt ein durchschnittliches Unternehmen 0,0025 Prozent seines Umsatzes für IT-Sicherheit aus - und damit weniger als für Kaffee! Wichtigstes Investitionshemmnis ist die weit verbreitete Auffassung, dass sich Investitionen in die IT-Sicherheit nicht lohnen. Zwar bleiben Sicherheitsvorfälle oft ohne unmittelbare finanzielle Folgen. Gravierend sind aber die Schäden durch den Ausfall von Geschäftsanwendungen, oder sogar den Zusammenbruch des Firmennetzes - doch diese Kosten können nur mittelbar erfasst werden.

Ganzheitliches Sicherheitskonzept
Zwar operieren viele kleine und mittelständische Unternehmen inzwischen mit Firewalls ("Brandschutzmauer") und Virenschutz. Doch diese punktuellen technologieorientierten Maßnahmen sind bei weitem nicht ausreichend. Die vielfältigen Gefahren erfordern ein ausgewogenes Zusammenspiel technischer Komponenten und eines intelligenten Sicherheitskonzepts. Wichtige Erfolgsfaktoren sind durchdachte organisatorische Regelungen und gut informierte Mitarbeiter, die Sicherheit als zu schützenden Unternehmenswert betrachten und klare Richtlinien befolgen.

Am Anfang einer Sicherheitspolitik im Unternehmen muss immer eine individuelle Gefährdungsanalyse stehen. Die einzelnen Unternehmensbereiche und Komponenten sind nach der Sensitivität der verarbeiteten Daten und den Verfügbarkeitsanforderungen in verschiedene Schutzklassen einzuteilen. Die Einordnung in verschiedene Schutzklassen bestimmt auch die Prioritätensetzung bei der anschließenden Realisierung der Schutzmaßnahmen. Diese sollten nach einem Sicherheitskonzept erfolgen, das die konkrete Umsetzung und die Verantwortlichkeiten regelt - und ständig neu an das Unternehmensumfeld angepasst werden muss.

Physikalische Sicherheit
Doch wo sollte man nun anfangen? Viele Maßnahmen erfordern nicht allzu viel Aufwand - nur etwas gesunden Menschenverstand. So beginnt die EDV-Sicherheit eines Unternehmens nicht im Serverraum oder mit der Vergabe von Passwörtern. Diese Maßnahmen nutzen nichts, wenn die Tür zum Serverraum kein Schloss besitzt oder mit einem Holzkeil wegen der besseren Lüftung offen gehalten wird. Wichtig ist, ausnahmslos alle Außenzugänge gleich stark abzusichern. Denn: Was hat eine rahmenverstärkte Panzertür im Eingangsbereich für einen Sinn, wenn die Hintertür nur mangelhaft verschließbar ist?

Je komplexer die Organisationsstruktur eines Unternehmens ist, desto wichtiger ist die Entwicklung von Zugangs- und Zugriffskontrollverfahren und deren permanente Kontrolle und Anpassung. Dabei ist auch auf organisatorische Regelungen zu ach-ten, etwa dass der zentrale Drucker der Buchhaltung nicht auf einem für alle zugänglichen Flur steht etc.

Notfallplan
In einem Notfallplan muss exakt festgehalten werden, wer in Notfällen wie informiert wird, welche Aufgaben Priorität haben und welche technischen und organisatorischen Maßnahmen veranlasst werden. Im Datensicherungskonzept ist festzulegen, wo und auf welchen Medien Daten wann und wie oft gesichert und extern ausgelagert werden. Die Wiederherstellbarkeit der Daten ist regelmäßig zu überprüfen. Ein durchdachtes Datensicherungskonzept schützt vor bösen Überraschungen. Ebenfalls muss die schnelle Beschaffung von Ersatzhardware vorgeplant werden. Denn die beste Datensicherung ist wertlos, wenn nicht schnell eine passende Hardware- und Softwareumgebung wieder zur Verfügung gestellt wird, in die diese Datensicherung eingespielt werden kann. Besonders bei älteren Rechnern oder Betriebssystemen kann es hier zu unliebsamen Überraschungen kommen.

Anschaffung von Hard- und Software
Bei der Anschaffung von Hard- und Software sind bestimmte organisatorische Maßnahmen grundsätzlich zu beachten:

  • Die Beschaffung von Hard- und Software sollte nach einheitlichen Gesichtspunkten erfolgen.
  • Im Unternehmen selbst, aber auch im mobilen Außendienst oder an Heimarbeitsplätzen sind ausschließlich dienstliche Geräte, Programme, Daten und Datenträger zu nutzen (keine dienstliche Nutzung privater PC).
  • Zu gewährleisten ist eine möglichst eindeutige Zuordnung von Geräten zu Benutzern.
  • Der Einsatz lizenzpflichtiger Software darf nur bei Vorlage einer gültigen Lizenz erfolgen.
  • Es muss eine ausreichende Funktionstrennung zwischen Systembetreuung, Programmierung, Anwendungsbetreuung und Betrieb erfolgen sowie eine klare Beschreibung der jeweiligen Funktionen.
  • Wichtige Aktivitäten einschließlich gescheiterter Zugriffsversuche sind nicht-manipulierbar zu protokollieren, die Auswertung der Protokolle muss durch besonders dafür Beauftragte erfolgen.
  • Die PC-Nutzung ist durch eine Dienstanweisung zu regeln (unter anderem Beschreibung der technischen und organisatorischen Maßnahmen - beispielsweise sind externe Datenträger wie Disketten, CDs oder USB-Sticks vor dem Einsatz im Unternehmen immer einer Virenprüfung zu unterziehen).

Anbindung ans Internet
Spezielle Gefahren sind mit der Anbindung eines Unternehmens an externe Netze wie das Internet verbunden - hier bedarf es besonderer Schutzmechanismen. Zu-nächst ist bei der Beurteilung der Frage, ob ein Anschluss fremder Netze erforderlich ist, ein strenger Maßstab anzulegen. Auch wenn die Erforderlichkeit bejaht wird, ist zu prüfen, ob dies nicht schon durch den Anschluss eines isolierten Rechners erreicht werden kann. Mit dieser einfachen und kostengünstigen Lösung können zahlreiche Risiken umgangen werden. Erfolgt der Zugang über eine zentrale Schnittstelle, wären im Schadensfalle nicht nur ein einzelner, sondern alle Rechner betroffen.

Besteht eine Verbindung zu externen Netzen, ist diese in jedem Fall durch eine Firewall abzusichern. Eine Firewall hat die Aufgabe, nur zugelassene netzübergreifende Aktivitäten zu ermöglichen und Missbrauchsversuche frühzeitig zu erkennen. Selbst wenn eine Firewall installiert ist, erhöht sich im Laufe der Zeit das Missbrauchsrisiko, z.B. durch Bekannt werden von Schwachstellen, Herausbilden neuer Angriffsformen oder auch durch Verbessern der Systemausstattung von Angreifern. Daher ist die Sicherung mit der Firewall ständig dem Stand der Technik anzupassen.

Beauftragung externer Dienstleister
Ist im Unternehmen nicht ausreichend fachliche Kompetenz für die Installation und Wartung der IT-Systeme vorhanden, sollte man auf externe Dienstleister zurückgreifen. Doch die Wartung und Systembetreuung durch externe Stellen schafft auch Gefahren und Risiken für die Sicherheit. Eine Beauftragung darf nur erfolgen, soweit derartige Gefahren durch technische und organisatorische Sicherungsmaßnahmen wirksam beherrscht werden können.

IT-Sicherheit ist "Chefsache"
Eine 100prozentige Sicherheit gibt es nicht - und wäre in der Regel auch nicht bezahlbar. Es gilt der Leitsatz: "Soviel Sicherheit wie nötig und nicht wie möglich". Ein angemessenes Sicherheitsniveau ist auch in Zeiten knapper Kassen und personeller Ressourcen realisierbar. Ein Patentrezept für eine Sicherheitsstrategie gibt es ebenso wenig. Jedes Unternehmen braucht eine individuelle, an die spezifische Situation angepasste Lösung. Wichtig ist, dass Sicherheit im Unternehmen "gelebt" wird - die Initiative dafür muss von der Unternehmensleitung ausgehen.

Dr. Katrin Sobania, DIHK