“Die fehlende Langzeitarchivierung wird uns mit voller Wucht treffen”

Feature | 29. März 2004 von admin 0

Jürgen Loga

Jürgen Loga

Wie wichtig sind Sicherheitsfragen für mittelständische Unternehmen?

Loga: Ich möchte mit einer Gegenfrage antworten: Wie wichtig ist Ihnen Sicherheit in ihrem PKW? Wieso achten Kunden beim Autokauf auf den Airbag, jedoch nicht auf die Sicherheit der Daten im eigenen Unternehmen? Die Antwort ist einfach: Viele denken noch in den Kategorien der 90er Jahre, wo eine EDV-Anlage teuer und sinnvoll war, mehr aber eben nicht. Das der Ausfall einer solchen Anlage dramatische Folgen haben kann, ist jedoch mittlerweile mehr als klar. Und dass sich die Folgen vervielfachen, wenn das Datenmaterial des Unternehmens dabei verloren gegangen ist, sollte ebenfalls jedem bewusst sein.

Was sind für kleine und mittelständische Unternehmen im Hinblick auf IT-Sicherheit die derzeit wichtigsten Fragestellungen?

Loga: Zur Pflicht gehört heute ein redundantes Backup-System, mit dem sich ein Unternehmen gegen den Ausfall der Hardware und den Totalverlust der Daten absichert. Ebenfalls zum Standard zähle ich den klassischen Virenscanner, ohne den ich fast schon von grober Fahrlässigkeit sprechen würde.

Zur Kür zählt ein ganzes Bündel sicherheitsrelevanter Fragestellungen. Wie schütze ich meine Daten vor Einsicht, Manipulation oder Löschung? Schließlich hat jedes Virus genau dieses Ziel, jeder Trojaner versucht genau diese Schutzmechanismen auszuhebeln! Wichtig ist aber auch der indirekte Schutz, etwa gegen ausspionierte E-Mails. Zu den Sicherheitsfragen zählen beispielsweise auch unzufriedene Mitarbeiter!
Auf den Punkt gebracht verbirgt sich hinter alldem im Grunde nur eine Fragestellung: Wie lässt sich ein kontinuierlicher Geschäftsbetrieb und damit auch sichere Einnahmen zu erträglichen Kosten gewährleisten? IT-Sicherheit ist und bleibt der Garant für ein stabiles Unternehmen. Woran erkenne ich also schnell und sicher ein Risiko für mein Unternehmen? Wie halte ich meinen Wissensstand aktuell? Wann muss mein Unternehmen welche Gegenmaßnahmen treffen?

Inwieweit spielen hierbei unterschiedliche internationale Rahmenbedingungen oder Gesetzgebungen eine Rolle?

Loga: Unterschiedliche Gesetzgebungen erfordern unterschiedliches Handeln – daran sind Unternehmer natürlich gewohnt. Ungewohnt ist die Rechtsunsicherheit, die außerhalb der EU herrscht. Wir kennen hier bei uns eine klare Gesetzgebung zu diesem Thema. Andere Länder bei weitem nicht.

Ein Beispiel: Der Datenschutz bei einer Datenübertragung in die USA. Formal gilt die USA trotz “safe harbour” nach der EU-Gesetzgebung immer noch als “datenschutzrechtlich unsicheres Drittland”. Die Übermittlung personenbezogener Daten ist – wenn überhaupt – nur durch bestimmte Rahmenverträge erlaubt. Es wurde jedoch eine Möglichkeit geschaffen, dass sich Unternehmen freiwillig entweder in die “safe harbour-list” eintragen lassen oder aber mit den EU-Geschäftspartnern einen individuellen Vertrag zum Schutz der Daten abschließen (“code of conduct”).

Decken sich die wichtigsten Fragestellungen zwangsläufig mit den eklatantesten Sicherheitslöchern?

Loga: Jeder denkt bei den Sicherheitslöchern immer zuerst an Viren, Würmer, Trojaner. Durch die richtige Software lässt sich hier ein passabler Schutz aufbauen. Aber ohne die richtigen organisatorischen Begleitmaßnahmen, wie Schulung der Mitarbeiter, Notfallkonzepte und Checklisten für Mitarbeiter, passiert genau das, was wir in den vergangenen Wochen erlebt haben: Die Würmer werden dennoch auf den PCs gestartet, die Sicherheit geht verloren.

So gesehen herrscht nicht unmittelbar ein kausaler Zusammenhang zwischen einer wichtigen Fragestellung und den größten Sicherheitslöchern. Erst wenn der Grundschutz vorhanden ist, können eklatante Sicherheitslöcher nicht mehr so gefährlich werden. Zum Grundschutz wiederum zähle ich die Einführung von Routineüberprüfungen, die Einweisung der Mitarbeiter, einen standardisierten Schutz gegen Viren, Würmer und Trojaner. Und: Die regelmäßige Aktualisierung der firmeninternen Betriebssysteme mit allen aktuellen Patches.

Was ist die derzeit größte Gefahr für die IT-Sicherheit? Warum geht von immer besser getarnten Trojanern eine immer größere Gefahr aus?

Loga: Die größte Gefahr ist nach meiner subjektiven Meinung der Trend, Ports auf PCs zu öffnen und dort später sensible Daten wie Passwörter für E-Banking auszulesen. Skurril findet es die Fachgruppe des VDEB auch, dass in Fachzeitungen mit der Manipulation von Daten Werbung gemacht wird. “10 Möglichkeiten, Ihr eigenes Netzwerk auszuspionieren” ist eine Titelseite, die erst neulich zu lesen war. Analog würde dies bedeuten, dass die Zeitung “Auto, Motor und Sport” mit der Schlagzeile “So fälschen Sie Ihren Kilometerstand richtig” aufmachen würde – undenkbar.

Der Versuch von Trojaner-Programmen, an PC-Daten zu kommen, ist aufgrund der bisherigen erfolgreichen Aktionen logisch und folgerichtig. Was sollte einen solchen Programmierer denn bremsen, weiterhin kriminell zu arbeiten? Die Wahrscheinlichkeit, dass Daten ausgespäht und manipuliert werden, wird also weiter steigen. Es ist dann nur noch eine Frage der Zeit, bis das Internet durch Schutzmechanismen langsam, umständlich und bei weitem nicht mehr so kreativ sein wird, wie es heute ist. Für Unternehmen wiederum ist es dann ein zu großes Risiko, sich im Internet frei zu “bewegen”. Schon heute beobachten wir, dass Unternehmen die Möglichkeiten einschränken, die viele Mitarbeiter bislang im Internet nutzen durften.

Welchen Anteil an IT-Sicherheit hat der Mensch, welchen die Software?

Loga: Sie sprechen da zurecht ein großes Problem an, dass sich aber überall findet. Die Software kann sehr gut Routinefunktionen abfangen, der Mensch jedoch ist als “kreativer Aspekt” weitaus mehr in der Verantwortung. Mit anderen Worten: Das größte Risiko für die Sicherheit ist der Mensch. Was niemanden überrascht.

Es mag natürlich verwundern, dass in der heutigen Zeit überhaupt noch Computerviren durch die Anwender ausgelöst werden. Jeder sollte doch mittlerweile mitbekommen haben, dass es gefährlich ist “fremde” Dateien in E-Mail-Programmen einfach auszuführen. Offenbar ist dem nicht so. Deshalb auch die – erschreckender Weise nicht rhetorisch gemeinte – Frage: Wer unterweist die Mitarbeiter eines Unternehmens in Sachen IT-Sicherheit?

Wo werden aus Ihrer Sicht künftig die großen Sicherheitsprobleme zu finden sein? Gibt es bereits heute Lösungsansätze, Lösungsideen?

Loga: Die schlimmsten Szenarien werden uns erst in acht bis zehn Jahren einholen. Dann allerdings mit voller Wucht. Gemeint ist das Problem der oft fehlenden Langzeitarchivierung. Die Tatsache, dass wir zwar Datenträger haben, die zehn Jahre und länger die Daten bewahren, ist schön und gut. Aber verfügen wir in zehn Jahren auch noch über die Geräte, um diese Daten einzulesen? Gibt es dann noch Betriebssysteme, die ein 3,5-Zoll-Diskettenlaufwerk erkennen und ansprechen? Was passiert mit den alten 5,25-Zoll Disketten? Haben wir in zehn Jahren noch Programme, die das alte Wordstar-Format von 1983 lesen können?

Sicherheit bedeutet nicht nur, dass bei Problemen die Daten sicher sind. Sicherheit bedeutet auch, dass die Daten vernünftig archiviert und abrufbar sind. Heute können Sie in Zeitungsarchiven noch Zeitungen aus dem vorletzten Jahrhundert finden – die Daten sind auf einem “sicheren Medium”. Wir befürchten, dass unsere Urenkel nur wenig von uns an Daten finden, weil eine DVD dann schon längst unbekannt ist.
Für diese Problematik gibt es indes bereits heute Lösungen. International agierende Unternehmen bieten diese Dienstleistungen an. Doch neben der technischen Aufgabenstellung gibt es auch hier eine menschliche Seite: Wer hat bisher daran gedacht, sich darum zu kümmern?

Was ist in punkto Sicherheit an Gesetzgebung, was an Schulung notwendig? Was wäre Ihr dringendster Wunsch an die (internationale) Gesetzgebung?

Loga: Würde das BDSG (Bundesdatenschutzgesetz) und die Konzeptionen des BSI (Bundesamt für Sicherheit in der Informationstechnik) konsequent umgesetzt, würde sich die IT-Sicherheit in Deutschland definitiv verbessern. Doch viele Unternehmen nehmen diese Konzepte und dieses Gesetz nicht ernst – ein schönes Beispiel ist, wie wenig GNUPP, eine kostenlose Email-Verschlüsselungssoftware, Eingang in den Alltag gefunden hat.

Der Druck kann nicht über Gesetze erfolgen, sondern muss durch wirtschaftliches Handeln entstehen. Dann werden Unternehmen auch bereit sein, dafür Mittel zu investieren. Die Aufzeichnungspflicht von Basel II etwa geht da schon in die korrekte Richtung – “Business continuity” muss künftig ein Kriterium sein, an dem sich ein modernes IT-Sicherheits-Konzept in einem Unternehmen erkennen lässt.
Ein Beispiel: Oftmals werden die 400 bis 500 EDV-Anwender eines Unternehmens von nur zwei bis drei EDV-Mitarbeitern betreut. Was, wenn diese beiden Mitarbeiter beim gemeinsamen Betriebsausflug verunglücken? Schließt dann das Unternehmen die Tore? Solche Abhängigkeiten sollten vermieden werden.
International muss es aktuell auch unpopuläre Forderungen an den Gesetzgeber geben, wenn es um die IT-Sicherheit geht: Die Einführung archivfester Dokumentformate gehört dazu.

Wie schätzen Sie die Sicherheitsstandards im internationalen Vergleich ein? Gibt es in Deutschland “zu viel” Sicherheit, anderswo zu wenig?

Loga: Ein “Zuviel” gibt es auf keinen Fall. Sehr oft beobachten wir, dass die Unternehmen die vorhandenen Sicherheitsstandards jedoch nicht ansatzweise umsetzen, weil sie darüber gar nicht informiert worden sind. Viele Geschäftsführer würden die Anwendung der Sicherheitsstandards akzeptieren, wenn sie denn bekannt wären. Dreh- und Angelpunkt sind oft semiprofessionelle IT-Fachkräfte, die aufgrund mangelnder Kenntnisse die eigene Klientel über Sicherheitsrisiken nicht aufklären. Die Erfahrung bei amerikanischen Unternehmen zeigt uns, dass zwar dort geforderte Sicherheitsstandards nicht so weit gehen wie bei uns, aber EDV-Leiter und Geschäftsführer von sich aus mehr in Sicherheitsmassnahmen investieren.

Leave a Reply