SMBs brauchen ganzheitliche Sicherheitskonzepte (Teil 2)

Viele Mittelständler sind heute in den verschiedensten Formen vernetzt. Neben einem in sich geschlossenen Firmennetz (Intranet) gibt es Internetzugänge, E-Mail-Kommunikation sowie Internet-gestützte Kommunikation mit anderen Unternehmen, Filialen, Fernwartung, Einwahlmöglichkeiten für Außendienstmitarbeiter, Funkverbindungen, Webserver und vieles mehr. Mit der wirtschaftlich bedingten, notwendigen Offenheit von Firmennetzen kommen auch neue informationstechnische Bedrohungen auf Unternehmen zu. Besonders das Arbeiten von unterwegs im „mobilen Büro“ birgt zahlreiche Gefahren und Risiken.

Schotten dicht bei Netzwerken

Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) weist ausdrücklich darauf hin, dass die rasant wachsende Zahl völlig ungesicherter drahtloser Netze (Wireless LAN; WLAN) in den letzten Jahren deutlich gestiegen ist. „Begeisterung für eine neue Technik und die Möglichkeit, auf lästige Verkabelung verzichten zu können, lassen Sicherheitsaspekte vergessen. Unzählige Firmen ‚veröffentlichen‘ somit unfreiwillig ihre vertraulichen Daten“, verdeutlicht der Sicherheitsleitfaden des BSI. „Sich in diesem Bereich in Datenflüsse von Unternehmen einzuklinken ist unproblematisch und leicht möglich“, pflichtet Mario Hoffmann vom Fraunhofer Institut für Sichere Telekooperation (SIT) bei. Verschiedene Studien und Feldversuche bestätigen seine Einschätzung. Während im LAN die Daten über ein Kabel übertragen werden, sendet ein WLAN die Informationen frei durch den Äther. Somit reicht im Prinzip eine Antenne und ausreichend Nähe zum Access Point, um Zugang zu firmeninternen Informationen zu erhalten.
Versuche des Information & Telecommunications Technology Center (ITTC) der Universität von Kansas zur WLAN-Sicherheit wiesen außerdem nach, dass sich die reale Ausbreitung der WLAN-Signale nicht exakt vorhersagen lässt. „Der Vorteil eines WLAN ist zugleich auch sein größter Nachteil: Funkwellen können sich offen ausbreiten und lassen sich nur schwer auf einen bestimmten Bereich begrenzen“, bemerkt Hans-Georg Büttner, Autor des Reports „WLAN – ein Paradies für Hacker?“ und zuständig für den Bereich IT-Netzwerksicherheit bei der Ernst & Young IT-Security Gesellschaft. Der Umfrage zufolge behandeln viele IT-Verantwortliche das Thema WLAN innerhalb ihrer generellen Sicherheitsstrategie „eher stiefmütterlich“. Dies ist noch positiv formuliert, denn in Wirklichkeit sind die Umfrageergebnisse in Bezug auf die Sicherheit von Funknetzwerken verheerend. 52 Prozent der Unternehmen nutzen nämlich entweder gar keine Verschlüsselung oder verlassen sich auf das unzureichende symmetrische Verschlüsselungsverfahren WEP (Wired Equivalent Privacy), welches Bestandteil des Industriestandards IEEE 802.11 (= Institute of Electrical and Electronics Engineers) ist. Auch Fraunhofer-Forscher Mario Hoffmann bezeichnet die WEP-Technologie als „anfällig“ und rät zu Host-basierten Verfahren wie VPN (Virtual Private Network). Doch lediglich 48 Prozent verwenden zum Verschlüsseln ein VPN oder sichere Spezialsoftware, was die Experten von Ernst & Young erstaunt, zumal „mindestens die Hälfte der befragten Unternehmen bereits Opfer von Hackern wurde – und die Dunkelziffer groß ist“, wie es in dem Bericht heißt. Marcus Rubenschuh, Bereichsleiter Information Security bei der Wirtschaftsprüfungsgesellschaft vergleicht den mangelhaften Schutz der Funknetze „mit dem öffentlichen Auslegen einer beliebigen Anzahl von Hausschlüsseln für die Eingangstür zum Unternehmen.“

Alles was Recht ist

Werden einem Unternehmen, das sich derart fahrlässig verhält, wichtige Geschäfts- und Kundendaten gestohlen oder vernichtet oder gelangen durch bloße Fahrlässigkeit nach außen, hat die betroffene Firma nicht nur einen immensen Schaden zu verkraften, es drohen schlimmstenfalls auch rechtliche Konsequenzen. Welch umfangreiche Anforderungen der Gesetzgeber in puncto Datensicherheit an Unternehmen stellt, ist dabei oft nur wenig bekannt. Stichworte wie Bundesdatenschutzgesetz (BDSG), TDDSG (für Teledienstanbieter), EU-Richtlinien zum Datenschutz und KonTraG (Gesetz zur Konzentration und Transparenz im Unternehmensbereich) verdeutlichen aber die rechtliche Dimension des Themas. Die Gesetze formulieren konkrete Verpflichtungen für Unternehmen, ein angemessenes IT-Sicherheitsniveau zu schaffen und zu halten. Dies ist auch unter datenschutzrechtlichen Aspekten relevant, denn jede Firma muss Kundendaten absolut vertraulich behandeln und diese vor unbefugtem Zugriff schützen.
Letztlich liegt es im Interesse jedes einzelnen Unternehmens, seine Daten zu schützen, denn „Datenschutz ist gegenüber Interessenten und Kunden ein nicht zu unterschätzender Wettbewerbsfaktor“, bestätigt Datenschutzexperte Dr. Thilo Weichert, Vorsitzender der deutschen Vereinigung für Datenschutz (DVD). Ausführliche IT-Sicherheitskonzepte wirken sich aber auch positiv oder negativ auf die Kreditvergabe an Firmen aus, denn Banken müssen im Rahmen von Basel II inzwischen ebenso die IT-Risiken eines Kreditnehmers in die Bewertung, das so genannte Rating, mit einbeziehen. Demnach gilt: Je besser das Sicherheitskonzept ist, desto besser fällt die Bewertung in diesem Bereich aus.

(Unsicherheits-)Faktor Mensch

Doch jede Firma, auch wenn sie über eine ausgeklügelte Sicherheitsstrategie und ein ausgefeiltes Sicherheitssystem verfügt, hat eine quasi systemimmanente Schwachstelle: Das ist und bleibt der Mensch. Darauf weist eine bereits 1999 von der Universität Essen durchgeführte Untersuchung hin. Sie bewertet sowohl Irrtum und Nachlässigkeit eigener Mitarbeiter als auch Informationsdiebstahl und Wirtschaftsspionage als besonders hohe Risiken für die Informationssicherheit. Nachlässigkeit der Mitarbeiter wird häufig sogar als größtes Risiko eingestuft.
Auch die US-Marktforscher von Gartner rechnen in einer aktuellen Prognose bis zum Jahr 2008 mit einer deutlichen Zunahme finanzieller Verluste, die Mitarbeiter allein oder zusammen mit externen Helfern durch nicht autorisierten Gebrauch von Computern oder Netzwerken verursachen. Gemessen an den gesamten Sicherheitsverletzungen machen diese Vorfälle zwar „nur“ rund 30 Prozent aus, sind aber für 70 Prozent der finanziellen Schäden verantwortlich. Deshalb plädiert Gartner, ähnlich wie die OECD, für eine „security-aware culture“ in Firmen, damit speziell geschulte und vorbereitete Mitarbeiter im Ernstfall wissen, was zu tun ist. Allerdings liege da noch reichlich Arbeit vor den Firmen, denn es dauert Jahre, eine entsprechende Kultur in Unternehmen zu schaffen, meint META-Group-Sicherheitsanalyst Chris Byrnes.

Codes, die alle kennen

Besonders gern schlampen Mitarbeiter bei Geheimwörtern und Zugangscodes, mit denen sich Zugriffsberechtigte entweder am internen Netz anmelden oder in für sie reservierte Sicherheitsbereiche einloggen. Zettel mit dem Geheimwort liegen entweder neben dem Rechner oder sind gar fein säuberlich und gut lesbar seitlich am Bildschirm befestigt. Aus Bequemlichkeit wählt man ein einfaches Passwort, wie etwa den eigenen Vornamen, den der Frau oder des Kindes, und verwendet es zudem noch – wo nötig – für mehrere Anmeldevorgänge. Oft können sich auch ehemalige Angestellte noch Tage nach ihrem Ausscheiden in interne Netze einklinken, weil vergessen wurde, die Passwörter zu ändern beziehungsweise den Zugang zu sperren. Solche Nachlässigkeiten können ehemalige Mitarbeiter dazu verführen, geschäftskritische Daten wie eine Kundenkartei zu kopieren oder diese zu zerstören. Fraunhofer-Sicherheitsexperte Mario Hoffmann fordert denn auch zurecht, den „Zugriff auf Unternehmensdaten für ausgeschiedene Mitarbeiter sofort zu unterbinden.“
„Die Rache entlassener Mitarbeiter kann ein Unternehmen empfindlich treffen – und Firmennetzwerke sind ein neuralgischer Punkt“, weiß Frank Lemm, Chairman des SAP Business Partners realtime. Speziell zum Schutz von SAP-Systemen entwickelte realtime daher mit bioLock eine biometrische Sicherheitslösung. Diese prüft über den Fingerabdruck eines Anwenders, ob er für eine SAP-Lösung registriert ist. Mitarbeiter melden sich dann per Fingerabdruck im SAP-System an. Gemäß den hinterlegten individuellen Benutzerrechten können sie damit auf die für sie freigegebenen Daten und Funktionen zugreifen. Das Programm ersetzt nicht das Berechtigungskonzept eines Unternehmens, sondern stellt sicher, dass Funktionen tatsächlich von einem berechtigten Mitarbeiter ausgeführt werden. Allerdings lehrt uns Bruce Schneier in „Secrets & Lies“, dass kein Schutz vollkommen ist, denn selbst das intelligenteste Sicherheitskonzept verhindert keine Angriffe, die auf menschlichen Schwächen basieren.

Umfassende Konzepte sind gefragt

Wenn Firmen ein solches Konzept entwickeln, sollten sie systematisch vorgehen und zunächst ihre Unternehmenswerte – darunter fallen auch Geschäftsprozesse und deren Einbettung in eine Wertschöpfungskette – inventarisieren und nach Schutzbedarf klassifizieren. Anschließend sind mögliche Bedrohungen und Schwachstellen zu analysieren. Relevante Aspekte sind hier beispielsweise Spionage oder Diebstahl, Sabotage, Zerstörung oder Veränderung von Informationen und Programmen (zum Beispiel durch Viren) sowie Ausfall der IT-Systeme. Nach einer anschließend durchgeführten Risikoanalyse der IT-Systeme werden schließlich die vorrangigen Schutzziele festgelegt und entsprechende Maßnahmen ergriffen. „Ein umfassendes IT-Sicherheitskonzept beginnt bei Administrationsrechten und endet bei der Zugriffskontrolle“, kommentiert BSI-Präsident Udo Helmbrecht.
Hier beginnt die Kärrnerarbeit für SMBs, zumal eine Umfrage der Zeitschrift „Computerwoche fokus Mittelstand“ unter ihren Lesern herausfand, dass IT-Schutz selten systematisch betrieben wird. „Risiken werden meist nicht objektiv betrachtet und bewertet“, ergänzt Sicherheitsexperte Christian Aust. Weitere Defizite von SMBs seien die mangelnde Bereitschaft, in eine umfassende Risikoanalyse zu investieren. Stattdessen werden Sicherheitsmaßnahmen „nach dem Gießkannenprinzip verteilt“, kritisiert Aust, „und bleiben so weitgehend wirkungslos. Ferner fehlt es an einem effizienten Controlling und gegebenenfalls einer Korrektur bestehender Maßnahmen sowie deren Anpassung an veränderte Rahmenbedingungen“, bilanziert er. Den wirklich „höheren Reifegrad der Diskussion“, sieht Deloitte-Sicherheitsexperte Wirnsperger erst dann erreicht, wenn SMBs IT-Sicherheit als Möglichkeit erkennen, ihre Geschäfte effizienter und somit profitabler zu machen. Dabei helfen ein geschärftes Bewusstsein für Sicherheitsprobleme sowie bedachtes und planvolles Vorgehen, denn nur sichere Systeme garantieren wirtschaftlichen Erfolg.