„Viele SMBs leben in dem Glauben, dass ihr Unternehmen nicht gefährdet sei, doch dies ist ein Irrglaube“, sagt Peter Wirnsperger, Senior Manager in der Security Services Group beim Wirtschaftsprüfungsunternehmen Deloitte & Touche. „Viren“, bemerkt Peter Wirnsperger weiter, „machen nämlich keinen Unterschied zwischen einem multinationalen Konzern und einem kleinen Handwerksbetrieb.“ Schon ein Systemausfall von nur wenigen Stunden „kann für ein mittelständisches Unternehmen verheerende Folgen haben“, weiß Wirnsperger. Und die Statistiken geben ihm Recht. Der deutsche Branchenverband BITKOM rechnet für 2003 „weltweit mit mehr als 700 Millionen Sicherheitsvorfällen durch neue Computerviren, Hackerangriffe oder andere Bedrohungen.“ Der dadurch verursachte wirtschaftliche und finanzielle Schaden liege bei über einer Milliarde Euro. Besonders Schädlingsprogramme wie Viren oder Würmer vermehren sich nahezu ungehemmt. Der aktuelle Internet Risk Impact Summary (IRIS) Report des US-Sicherheitsspezialisten Internet Security Systems (ISS ) registrierte pro Tag durchschnittlich neun neue Viren und Würmer allein für das dritte Quartal 2003.
IT-Sicherheit zwischen Wunsch und Wirklichkeit
Trotz dieser erkennbaren wirtschaftlichen Gefährdungen attestiert die jüngst veröffentlichte Untersuchung der Wirtschaftsprüfer von Deloitte & Touche dem deutschen Mittelstand, dass sein IT- und Sicherheitsmanagement schlichtweg „unzureichend“ sei. Immerhin 66 Prozent der befragten SMBs hätten einen „bemerkbaren Ausfall ihrer IT-Systeme“ in den vergangenen zwölf Monaten zugegeben. Ähnliche Erfahrungen machten bereits 2002 die Marktforscher von IDC in einer europaweiten Umfrage. IT-Sicherheit wird von SMBs nicht als integraler Teil ihres Geschäftsmodells begriffen, heißt es dort. Ebenso fehle es kleinen und mittelständischen Firmen an Sicherheitskonzepten, was die Implementierung und Durchführung von Sicherheitsmaßnahmen betrifft. Auch die META Group ist skeptisch, ob Mittelständler genug in IT-Sicherheit investieren, seien doch die IT-Security-Budgets bei SMBs zwischen 200 und 499 Mitarbeitern „eher gering und derzeit stagnierend.“ Eine Befragung des Consulting-Unternehmens Pricewaterhouse Coopers (PwC) bei rund 400 US-Firmen (Umsatz zwischen fünf und 150 Millionen US-Dollar) deckte zudem auf, dass zwar über 66 Prozent angaben, IT-Sicherheit sei ein wichtiger Baustein für ihre künftige Geschäftsentwicklung, doch „spiegle sich diese Erkenntnis kaum im Budget der Firmen wieder“, registriert PwC-Sicherheitsexperte Mark Lobel etwas ratlos. Als Grund vermutet PwC die Entkoppelung von Unternehmens- und Sicherheitsbudgets. Auch Deloitte & Touche-Sicherheitsexperte Wirnsperger konstatiert, dass bei SMBs zu oft „die Frage im Raum steht, ob überhaupt strukturierte Maßnahmen zur IT-Sicherheit durchgeführt werden sollen, statt über das Wie zu sprechen.“
Allerdings melden sich auch Gegenstimmen zu Wort. Allein in den USA hätten SMBs im Jahr 2002 rund 1,4 Milliarden US-Dollar für IT-Sicherheitsmaßnahmen ausgegeben, und IT-Security zähle bei SMBs zu den Top-Ten-IT-Trends, ermittelte die auf mittelständische Firmen spezialisierte US-Beratungsfirma Access Markets International Partners (AMI). Laut Yankee Group wollen die meisten SMBs innerhalb der nächsten zwölf Monate mehr Geld für Sicherheitsprodukte und -services ausgeben. Nur elf Prozent würden die Ausgaben in diesem Bereich kürzen. Den AMI-Beratern zufolge ist das gestiegene Sicherheitsbewusstsein primär auf die Terroranschläge des 11. September 2001 zurückzuführen.
Viel Awareness, wenig Budget
Trotzdem stellt AMI relativ ernüchtert fest, dass „immer noch rund 2,2 Millionen kleine Firmen keinerlei Maßnahmen zur IT-Sicherheit ergriffen haben.“ Ein Widerspruch? Nicht unbedingt, denn aus einem gestiegenen Sicherheitsbewusstsein folgt nicht zwingend, dass auch die Budgets für entsprechende Maßnahmen steigen, so die Erkenntnis einer weltweiten Ernst & Young-Studie. Zwar stehe für 90 Prozent der Befragten das Thema ganz oben auf der Agenda, doch mussten 55 Prozent zugeben, dass bestehende Sicherheitslücken zum Großteil auf zu geringe Budgets oder ein zu geringes Interesse des Managements zurückzuführen seien. Für Marcus Rubenschuh, IT-Sicherheitsexperte bei der Wirtschaftsprüfungsgesellschaft Ernst & Young, stimmen denn auch „Geschäftsziele und Sicherheitsstrategie der Unternehmen oft nicht überein.“
Erhärtet wird so der Verdacht, dass IT-Sicherheit eher als „lästiges Übel“ denn als vorrangiges Ziel in der Geschäftsstrategie definiert ist, wie Wirnsperger feststellt. „Da kann es nicht wundern“, schreibt die auf Sicherheitsthemen spezialisierte Fachzeitschrift KES voller Unmut, „dass rund einem Drittel der deutschen Unternehmen, die zwischen 100 und 500 Mitarbeiter beschäftigen, ihre Informationssicherheit (Gehälter, Hardware, Software und andere Ausgaben) im Jahresbudget 2002 nicht einmal 10.000 Euro wert war.“ Für Peter Wirnsperger ist klar, dass die hohe Zahl und lange Dauer von Systemausfällen direkte Folge der oft dramatisch niedrigen Budgets für IT-Sicherheitsmaßnahmen und dem fehlenden Problembewusstsein in kleinen und mittleren Unternehmen sind. Die durchschnittliche Dauer der Systemausfälle liegt bei zwölf Stunden.
Wirnsperger geht allerdings davon aus, „dass die eigentliche Zahl der Systemausfälle wesentlich höher liegt.“ Am häufigsten, so hat Deloitte & Touche ermittelt, fallen bei SMBs die E-Mail-Systeme (42 Prozent) aus. Stolze 25 Prozent gaben an, dass geschäftskritische Anwendungen wie ERP-Systeme durch Systemausfälle beeinträchtigt werden. Peter Wirnsperger rät aufgrund dieser Ergebnisse: „Dass in Unternehmen Systeme in der genannten Häufigkeit ausfallen, sollte ein deutlicher Warnhinweis sein, mehr in das Management der IT-Infrastruktur zu investieren.“ Nach Erkenntnissen des Bundesamts für Sicherheit in der Informationstechnik (BSI) wird dabei die „Mehrzahl der Sicherheitsverstöße durch Innentäter verursacht.“ Nicht immer sei Vorsatz im Spiel, oft entstehen große Schäden auch durch mangelndes Problembewusstsein – ein Hinweis, dass besonders in kleineren Firmen noch zu wenig für den Schutz der IT auf Mitarbeiterebene getan wird.
Strukturen verbessern, Ausfälle reduzieren
Zudem haben E-Commerce und E-Business, deren Basis vernetzte und offene Infrastrukturen sind, die Sicherheitsanforderungen auch für SMBs nachhaltig verschärft. Unternehmen, die mit Kunden, Partnern, Lieferanten und Auftragnehmern über das Internet kommunizieren und Daten austauschen, müssen Vertraulichkeit, Integrität und Verfügbarkeit der IT-Systeme garantieren. IT-Sicherheit muss demnach auch bei Mittelständlern Teil eines ganzheitlichen Sicherheitskonzeptes sein, das juristische, organisatorische und nicht zuletzt personelle Aspekte einschließt.
SMBs sollten, so der Ratschlag des BSI, in jedem Fall schriftliche Sicherheitsrichtlinien (Security Policies) einführen sowie deren Einhaltung kontrollieren. Zugriffsrechte dürften nur restriktiv vergeben werden, Administratoren und IT-Sicherheitsverantwortliche müssten laufend geschult werden – nicht nur, um stets auf dem neuesten Stand zu sein, sondern auch, um die „Security Awareness“ im Betrieb generell zu fördern. Zudem sollten sich Unternehmen zertifizieren lassen, um den Nachweis zu erbringen, dass sie definierte Sicherheitsstandards erfüllen. Möglich sind beispielsweise Zertifizierungen nach Common Criteria (ISO/IEC 15408), ITIL (IT Infrastructure Library), BS 7799-2 (Standard des British Standard Institute) oder nach dem IT-Grundschutzhandbuch des BSI. Ähnliche Programme zur IT-Sicherheit von SMBs wie das BSI bieten in den USA das National Institute of Standards and Technology (NIST) sowie die United States Small Business Administration (SBA) an.
Aber auch Softwareanbieter sind in puncto IT-Sicherheit bei SMBs in der Pflicht. So hat SAP beispielsweise einen mehrbändigen Sicherheitsleitfaden zu SAP R/3 herausgegeben. Ebenso arbeitet der Walldorfer Konzern mit Partnern wie der Secude GmbH zusammen, die mit ihren von der SAP zertifizierten Sicherheitslösungen betriebswirtschaftliche und personenbezogene Daten in lokalen und globalen SAP-Netzen schützen. Zudem unterstützt die SAP mit Mcert ein Online-Portal, das seit Mitte Dezember 2003 spezielle Services für die IT-Sicherheit im Mittelstand anbietet.
Sicherheit integrieren
Offensichtlich beginnen die von verschiedenen Seiten aufgelegten Maßnahmen langsam zu greifen. So registriert Deloitte & Touche, dass die befragten Betriebe innerhalb der nächsten sechs Monate Sicherheitsprogramme auflegen wollen. Ganz oben auf der Agenda stünden organisatorische Verbesserungen bei der Infrastruktur, dem Applikationsumfeld und dem Security-Management. Laut dem PwC-Experten Mark Lobel sollten SMBs zudem mehr in vorbereitende Maßnahmen investieren. Er vergleicht die Situation mit einem Scheibenwischer-Wechsel beim Auto. Es sei immer klug, sie zu erneuern, wenn die Sonne scheint: so ist man auf den nächsten Regen vorbereitet. „Allerdings“, und da wird Deloitte & Touche-Experte Wirnsperger nachdenklich, „wird Technologie immer noch zu oft als Selbstzweck und Allheilmittel betrachtet.“ Zwar werde in Basistechnologien wie Antiviren-Software oder Firewalls investiert, wichtig sei jedoch, dass das Thema IT-Sicherheit in die Geschäftsprozesse integriert und „gelebt“ wird. Denn Sicherheit sei nur so gut und effektiv, wie sie die Mitarbeiter im täglichen Arbeitsablauf auch umsetzen. „Und da darf es bei SMBs ruhig noch etwas mehr sein“, schließt Wirnsperger.
Weitere Informationen:
Allgemein: www.bsi.de, www.bitkom.org, http://csrc.nist.gov/securebiz/, www.cert.org, www.mcert.de, www.sba.gov
Studien: www.ami-usa.com, www.barometersurveys.com (= PwC-Trendbarometer), www.deloitte.de, www.ey.com/de, www.metagroup.de, www.idc.com, www.yankeegroup.com, https://gtoc.iss.net (= IRIS-Report)
SAP AG: www.sap.com, www.it-audit.de (Sicherheitsleitfaden für R/3)
