Stuttgart - Sicherheit ist ein menschliches Grundbedürfnis. Dieser schlichte, aber wahre Satz findet sich auf der Homepage des Bundesamtes für Sicherheit in der Informationstechnik http://www.bsi.bund.de (BSI) in Bonn. Man fühlt sich an das Märchen vom Hasen und Igel erinnert: Die Entwicklungsabteilungen der Elektronikindustrie sind fast immer als erste am Ziel, während die Sicherheits-Experten in Unternehmen und Behörden häufig das Nachsehen haben. Zwangsläufige Folge: Die Sicherheit bleibt hinter dem technischen Fortschritt zurück, schreibt der Staatsanzeiger für Baden-Württemberg http://www.staatsanzeiger-verlag.de in seiner aktuellen Ausgabe.
Die Sicherheitslage sei insgesamt katastrophal. Leider rangiere der Komfort zumeist vor der Sicherheit, so die Erkenntnis des IT-Fachmanns Wolfgang -Redtenbacher. Der Chef der Firma Redtenbacher Software http://www.redtenbacher.de weiß, wovon er spricht. Er leitet nicht nur sein Unternehmen in Renningen, das eigene Standard-Software zur gefahrlosen Nutzung des Internets entwickelt. Außerdem berät das baden-württembergische Unternehmen schon seit Jahren Firmen in Fragen der EDV- und Internet-Sicherheit. Vor sieben Jahren war ich noch ein einsamer Rufer in der Wüste. In den letzten drei Jahren hat sich das Bewusstsein jedoch gewandelt. Die Menschen sind zumindest sensibilisiert worden und sind sich der Gefahr von Datenklau, Datensabotage, Trojanern, Viren, Hacker-Angriffen und ähnlichen Bedrohungen bewusst, führt Redtenbacher gegenüber dem Staatsanzeiger aus. Sein Wissen komme auch nationalen und internationalen Fachgremien zugute. Außerdem kooperiert er mit dem Städtetag Baden-Württemberg.
IT-Sicherheit ist mittlerweile ein internationales Thema. Da gibt es keine großen Unterschiede zwischen Böblingen oder Bombay, Mannheim oder Montreal. Die meisten Informationen und Lösungsvorschläge kommen aus den Vereinigten Staaten, wobei die amerikanischen Hacker auch die Hauptverursacher der Probleme sind. Beim Auftreten eines neuen Virus wird dann immer gebetsmühlenartig der Ruf nach schärferen Sicherheitsmaßnahmen lauter; zumeist gerichtet an die Adresse von Bill Gates von Microsoft. Beim Softwaregiganten wird diese Problematik nicht auf die leichte Schulter genommen. "Bei Microsoft arbeiten wir aber jeden Tag hart daran, hier Abhilfe zu schaffen und das weltweit in Verbindung mit Industriepartnern, Behörden, Regierungsstellen, Universitäten und mit dem privaten Sektor. Dadurch wollen wir den Einfluss bösartiger Hacker so gering wie möglich halten", sagt Wolfgang Branoner, Direktor Public Sector von Microsoft http://www.microsoft.de. Nach seiner Einschätzung werde es wohl niemals möglich sein, das Sicherheitsproblem vollständig zu lösen. Vor allen Dingen dürfe der Faktor Mensch nicht unterschätzt werden. Irrtum und Nachlässigkeit der Mitarbeiter sei ein wesentlicher Faktor für die Schwachstellen der IT-Sicherheit. "Seit dem Millennium sehen wir eine Entwicklung der Nachlässigkeit und einen Rückgang der Sensibilität in Sicherheitsfragen", so Branoner. Über die betriebswirtschaftlichen und volkswirtschaftlichen Schäden von Computerviren, Würmern und Trojaner herrsche in der Öffentlichkeit noch große Unklarheit. Wichtig wäre die Kommunikation über reale Schäden, die bei Unternehmen und Privathaushalten auftreten. "Über einen Security Day wie in Skandinavien oder über eine breitangelegte Kampagne sollten alle wichtigen Institutionen Aufklärung leisten. Das ist eine gesellschaftspolitische Aufgabe", betont Branoner.
Ein großes Problem sind nach dem Bericht des Staatsanzeigers Angriffe von außen. Die modernen Bankräuber rücken nicht mehr mit dem Schneidbrenner an. Viel leichter geht es über die Datensysteme der Kreditinstitute, sagt Wolfgang Redtenbacher. Und er setzt noch einen drauf: Ein Hacker, der was taugt, kann 95 Prozent der deutschen Unternehmen infiltrieren, trotz Firewall und anderer Schutzmaßnahmen. Entgegen der landläufigen Mär sind 18-jährige Jugendliche nicht die besten Hacker. Es ist ein Glück, dass bisher kaum ältere und erfahrenere Hacker aktiv geworden sind. Bei den Automobilzulieferern und beim Mobilfunk, die Opfer von Wirtschaftsspionage wurden, habe man diese Probleme erkannt und Gegenmaßnahmen ergriffen. Eine Studie des Non-Profit-Verbandes Comp TIA http://www.comptia.org (Computing Technology Industry Association) hat ergeben, dass für viele Unternehmen und Behörden das eigene IT-Personal das größte Sicherheitsrisiko darstellt. Rund zwei Drittel aller IT-Angriffe so das Ergebnis dieser Untersuchung, lassen sich auf mangelnde Kenntnisse und Fehleinschätzungen des Personals -zurückführen.
Massimiliano Mandato, Sicherheitsexperte beim Stuttgarter IT-Dienstleister NextiraOne http://www.nextiraone.de , kennt dieses Problem sehr gut. Viele Firmen betreiben deshalb Outsourcing: Sie lagern IT-Sicherheitsdienstleistungen aus und delegieren sie an Dienstleister wie NextiraOne, die dann einen fortlaufenden Schutz organisieren. Dazu gehören ganz einfache, aber äußerst wichtige Dinge, wie die Verlängerung der Laufzeit eines Virenschutzprogramms. Der Unternehmer kann sich seinem ohnehin anstrengenden Tagesgeschäft widmen, während externe Dienstleister den das Sicherheitsmanagement Mandato ist davon überzeugt, dass sich Managed Security Services lohnen: Häufig sieht es so aus, als ob Firewall und Lizenzkosten für Software die hauptsächlichen Kostenblöcke für die Sicherheit sind. Ab und zu wirft dann jemand einen Blick auf die Firewall, alles läuft prima. Dass der betriebene Aufwand nicht reicht, stellt sich immer dann heraus, wenn es zu spät ist.
Mangelnde Sicherheitsvorkehrungen können für Unternehmen richtig teuer werden. Deutsche Firmen investieren rund zwölf Prozent ihrer IT-Budgets in Sicherheit, doch jeder dritte Betrieb verzichtet auf die Kontrolle, ob die Investitionen auch wirklich wirksam sind. Dies hat die Studie IT-Budget der Fachzeitschrift Informationweek http://www.informationweek.de ergeben. Unternehmen sind jedoch gesetzlich zum IT-Risikomanagement verpflichtet. Sollte ein Mitarbeiter beispielsweise virenverseuchte E-Mails an die Kunden verschicken, kann das Unternehmen für den entstandenen Schaden haftbar gemacht werden. Die Pflichten zur Datensicherheit werden also nicht nur auf das eigene Unternehmen beschränkt, sagt Michael Sander vom Beratungshaus TCP Terra Consulting http://www.terraconsult.de in Lindau am Bodensee.
X