Informationstechnologie ist heutzutage Bestandteil fast aller unternehmenskritischen Prozesse. Umso wichtiger ist daher die Gewährleistung von IT-Sicherheit. Aber wie kann ich ein gesundes Maß an Sicherheit erreichen? Dieser Artikel gibt Antworten.
Es ist Montag Morgen, 9.15 Uhr in einem mittelständischen Unternehmen in Mittelhessen. Bernd Z, Leiter der Vertriebsabteilung, beginnt gerade, die über das Wochenende aufgelaufene E-Mail in seinem Postfach zu sortieren und Wichtiges von Werbemüll zu trennen. Eine Spam-E-Mail nach der anderen landet im virtuellen Papierkorb, als Herr Z. gerade noch rechtzeitig die E-Mail mit dem Betreff „Happy Birthday“ entdeckt. „Ja, wer schickt denn noch so verspätet eine Glückwunsch-Email? Mein Geburtstag liegt doch immerhin schon eine Woche zurück! Want to make your wife happy? Click here! Ach nein, doch nur Spam, da wäre er doch beinahe ’drauf reingefallen, also weiter“. Was Herr Z nicht weiß ist, dass sich von ihm unbemerkt in diesem Moment ein Computervirus in seinem PC eingenistet hat.
Ach ja, jetzt ist klar, worauf der Verfasser dieses Artikels hinaus will! Schützen Sie Ihren PC mit einem Antivirus-Programm! Dies können Sie auch direkt bei XY käuflich für 50 € im Jahr erwerben. Nicht ganz. Die betreffende Firma hat nämlich in diesem Fall eigentlich nichts falsch gemacht. Sie schützt ihr Netzwerk bereits vor Viren, in dem jeweils auf Firewall, Server und jedem PC Virenscanner laufen, die diese bösartigen Programme abhalten sollen. Ganz nach der Empfehlung Ihres Systemhauses wurden sogar unterschiedliche Virenscanner von verschiedenen Herstellern angeschafft. Optimale Sicherheit! In der Tat wurde auf diesem Gebiet zunächst nichts falsch gemacht. Der Virus konnte sich nur einnisten, weil er so neu war, dass ihn noch keines der Antiviren-Programme erkennen konnte. Beim nächsten Update wird er also erkannt und vom System gelöscht. Problematisch ist nur, dass er von seinem Schöpfer den Auftrag erhielt, sofort nach der Installation sämtliche Netzlaufwerke zu durchsuchen und dort alle Word, Excel und Powerpoint Dateien zu löschen.
Der IT-Administrator merkt dies als erstes, als er sich über den freiwerdenden Plattenplatz auf dem Server zu freuen beginnt, ihm aber recht schnell klar wird, das hier etwas nicht mit rechten Dingen vor sich gehen kann. Sofort trennt er den Server vom Netz und fängt an, anhand der Protokolle festzustellen, wer denn die Dateien gelöscht hat. PC194, aber das ist doch Herr Z., der vor knapp einem Monat Lese- und Schreibrecht für alle Dateien erhalten hatte, weil er als Vertriebsleiter ja schließlich schnell und unkompliziert Zugriff auf sämtliche Informationen erhalten muss. „Na klasse“, denkt sich der Administrator, „da wird er sich wohl irgendwie einen Virus eingefangen haben. Und ich bin der Dumme und muss die ganzen Dateien vom Backup wiederherstellen. Das kostet mich den ganzen Tag, wobei ich ja sonst auch nichts zu tun habe!“. Hier könnte diese Geschichte nun enden. Aus der aktuellen Top-10-Liste der „Besten Virenscanner für Windows“ wird ein weiteres Produkt ausgewählt und sofort installiert, damit dieser Vorfall nun endgültig der letzte dieser Art ist. Zusätzlich wird die Rechtvergabe überdacht, aus Fehlern lernt man ja schließlich.
Wozu also dieses Beispiel? Der Schaden hält sich doch im Rahmen und der Administrator wird ja schließlich sowieso bezahlt, ob er jetzt defekte PCs repariert, Programme installiert oder verlorene Dateien wiederherstellt. Sofern dies denn auch möglich ist. Eine Datensicherung wird heutzutage in jedem Unternehmen durchgeführt. Zu diesem Zweck wird meist ein Bandlaufwerk (Tape) eingesetzt, die einzelnen Kassetten (Cardriges) werden täglich gewechselt und hin und wieder kommen diese sogar in den Safe. Auch bei unserer mittelständischen Firma wird dies so gehandhabt. Leider wurde aber nur einmal - nämlich bei der Installation des Laufwerks vor drei Jahren - getestet, ob die Dateien auch wieder zurückgesichert werden können. Unglücklicherweise wird in unserem Fall seit 1 ½ Jahren nur noch Datenmüll auf die Bandlaufwerke gesichert – aus welchen Gründen auch immer.
Als nach zwei Stunden der Geschäftsführer den Administrator nebenbei fragt, wann er denn wieder an seine Dateien kann – schließlich habe er morgen früh eine wichtige Präsentation für die (hoffentlich) neuen Investoren – muss unser zu diesem Zeitpunkt stark transpirierender Administrator dem Geschäftsführer gestehen, dass er immer noch nach den Dateien sucht, er diese aber höchst wahrscheinlich sowieso nicht wieder finden würde. Für den Administrator bedeutet dies letztendlich die fristlose Kündigung, obwohl er doch eigentlich alles richtig gemacht hat. Für den Geschäftsführer bedeutet dies den Bankrott oder neudeutsch auch Insolvenz genannt, da die Firma mit dem Verlust der Daten praktisch handlungsunfähig geworden ist.
Diese, nicht ganz an den Haaren herbeigezogene Geschichte, soll jedoch auch nicht nur auf eine ordnungsgemäße Datensicherung (mit Verantwortlichkeitsregelung, ständige Kontrolle und Rücksicherungstests) hinweisen. Sie soll zwei Dinge verdeutlichen:
1. IT-Sicherheit ist Chefsache
Die Schuldfrage im vorliegenden Fall scheint zunächst klar. Der Administrator ist seinen Aufgaben und Pflichten nicht nachgekommen und ist dafür zur Rechenschaft zu ziehen. Sicher, die Datensicherung oblag dem Administrator, der diese ja auch regelmäßig durchgeführt hat – mit dem bekannten „Schönheitsfehler“. Genau zu diesem Zweck wurde er ja auch eingestellt, damit sich der Geschäftsführer nicht mehr um diese Dinge kümmern muss. Und IT-Sicherheit ist für den Geschäftsführer auch ein Thema, was neben Datenschutz oder dem leidigen Thema GDPdU (u.a. Pflicht zur E-Mail Archivierung) „eh nur Geld kostet und nichts bringt“. Dies sieht jedoch nicht nur der Gesetzgeber anders. Bereits das Handelsgesetzbuch (HGB) schreibt dem Kaufmann vor, Informationen wirksam vor dem Verlust oder gegen unberechtigte Veränderung zu schützen. Das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) sowie Aktiengesetz (AktG) oder GmbH-Gesetz (GmbHG) fordern ein aktives Risiko- und Sicherheitsmanagement und machen Vorstände und Geschäftsführer im Schadensfall persönlich haftbar. IT-Sicherheit ist daher immer Chefsache, egal ob mit oder ohne IT-Leiter. Wer nun denkt: „Für solche Fälle habe ich ja meine D&O-Police“ liegt falsch. Denn für grobe Fahrlässigkeit - und das ist ein Gesetzesverstoß im Allgemeinen - ist noch keine Versicherung eingetreten!
2. IT-Sicherheit muss ganzheitlich betrachtet werden
Was nutzen mehrfach hintereinander geschaltete Virenscanner, wenn die Datensicherung nicht ordnungsgemäß durchgeführt wird? Was nutzen ausfallsichere Server, wenn der Serverraum durch einen Wasserrohrbruch überflutet wird? Was nutzt eine Firewall, wenn jeder zweite PC eine ISDN-Karte eingebaut hat? Diese Liste lässt sich beliebig fortführen. Die Aussage ist klar: Es müssen immer sämtliche Aspekte der IT betrachtet werden, um wirkliche Sicherheit zu erreichen. Bauliche Vorkehrungen (z.B. Keine wasserführenden Leitungen im Serverraum, Klimatisierung,…) gehören ebenso zu einem Sicherheitskonzept, wie die richtige Organisation (z.B. Notfallkonzepte) und der Einsatz technischer Hilfsmittel (z.B. Firewall, Virenscanner, etc.). Das Personal gehört dabei zu einem der wichtigsten Punkte, die es zu betrachten gilt. Wie gut ist der EDV-Ausbildungsstand der Mitarbeiter? Sind die Mitarbeiter für IT-Sicherheit sensibilisiert (richtiger Umgang mit Kennwörtern, E-Mail, dem PC-Arbeitsplatz, Notebooks, etc.)? Nebenbei: Jedes Jahr werden alleine in Deutschland über 1000 Firmennotebooks in Taxis vergessen. In der Regel sind die Daten auf diesen Notebooks unverschlüsselt.
Wie aber lässt sich eine optimale IT-Sicherheit erreichen? Für diese Frage gibt es keine allgemeingültige Antwort. Jede Branche, jedes Unternehmen hat unterschiedliche Anforderungen an die IT und damit unterschiedliche Anforderungen an IT-Sicherheit. Ein kleines Handwerksunternehmen, welches seine Leistungen größtenteils ohne EDV-Unterstützung erbringt, wird wohl kaum eine Firewall mit Intrusion Prevention oder ein 3-stufiges Virenschutzkonzept benötigen. Bei dem typischen Mittelständler (so es diesen denn gibt) mit EDV-gestützter Produktion, EDI und Außendienstanbindung via VPN sieht das schon anders aus. Die grundlegenden Probleme sind aber die gleichen: Wie schütze ich mich vor Datenverlust, Datenmanipulation oder Datenspionage? Eine weithin akzeptierte Lösung für diese Anforderung gibt das Grundschutzhandbuch des Bundesamts für Sicherheit in der Informationstechnik, kurz BSI. In diesem umfangreichen und ständig aktualisierten „Kochrezept“ werden grundsätzliche Konzepte für eine sichere IT vorgestellt. Wer sich an diese Richtlinien hält, kann letztendlich ein definiertes Maß an IT-Sicherheit erlangen, was neben einem besseren Schlaf auch zu monetären Vorteilen führen kann (z.B. unter Berücksichtigung der Basel II-Richtlinien zum Rating bei der Kreditvergabe, die zum 01.01.2007 in Deutschland Gesetz werden). Die Initiative „Sicher im Netz“ (unter der Schirmherrschaft des Bundesministeriums für Wirtschaft und Technologie) hat sich zum Ziel gesetzt, Richtlinien für die sichere Nutzung des Internets zu entwickeln, so dass sich Privatpersonen sowie kleine und mittelständische Unternehmen wirksam vor den Gefahren des Internets schützen können. Die Website bietet neben Basiswissen und Checklisten konkrete Handlungsanweisungen für Geschäftsführer und IT-Verantwortliche.
Und welches Maß an IT-Sicherheit ist für mein Unternehmen notwendig? Diese Frage kann nur durch eine genaue Analyse des jeweiligen Unternehmens und dessen IT beantwortet werden. Wozu nutzt das Unternehmen Informationstechnologie? Welche Auswirkungen hat es, wenn die IT mehr als einen Tag ausfällt? Welcher Schaden kann entstehen, wenn IT-gestützte Prozesse nicht mehr ordnungsgemäß ablaufen können? Das Ergebnis dieser und weiterer Fragen wird den bereits umgesetzten Maßnahmen für die IT-Sicherheit gegenübergestellt. Der hierbei erreichte Status-Quo bildet so denn die Grundlage für eine zielgerichtete Optimierung der IT-Sicherheit.
Aber IT-Sicherheit ist nicht nur ein notwendiges Übel, sie hilft auch Kosten zu senken und die Produktivität zu steigern. Mittels Virtuellen Privaten Netzen (VPN) können Niederlassungen und Standorte kostengünstig und sicher über das Internet vernetzt werden. Diese Technologie hat inzwischen die teuren Standleitungen verdrängt und so manche Expansion erst möglich gemacht. Durch die elektronische Rechnungsstellung mittels kryptografischer Verfahren (Digitale Signatur) lassen sich die damit verbundenen Kosten für Porto, Druck und Kuvertierung enorm senken. Automatisierte Softwareverteilung hält alle Systeme im Netzwerk auf dem aktuellsten Stand und stellt neue Funktionen schnell und Ressourcen schonend zur Verfügung - „Turnschuhmethode“ adé.
Informationstechnologie ist heutzutage Bestandteil fast aller unternehmenskritischen Prozesse. Diese Abhängigkeit wird jedoch oft erst dann bemerkt, wenn es bereits zu spät ist. Im Schadensfall ist nicht nur der Fortbestand des Unternehmens gefährdet, die Geschäftsführung haftet sogar persönlich für den entstandenen Schaden (hier hilft auch eine D&O Police nicht). IT-Sicherheit sollte daher ein grundlegendes Instrument der Unternehmensführung sein, die hier vorgestellten Informationen und Konzepte unterstützen Sie dabei.
[Erschienen in Lahn Dill Wirtschaft 11/2006, ab Seite 43]
