Mittelständler brauchen ganzheitliche Konzepte

Feature | 7. September 2005 von admin 0

Nahezu täglich erreichen uns Warnungen vor neuen Viren, Würmern oder Trojanern. Zu schaffen machen auch Spam-Mails, welche die elektronischen Postfächer verstopfen. Wer jedoch glaubt, ein Antiviren- und Antispam-Programm genügt, um Informationssicherheit herzustellen, der irrt. IT-Schadensfälle haben nämlich durchaus vielfältige Ursachen. Der Branchenverband BITKOM hat diese systematisiert und in die vier Kategorien „Höhere Gewalt“ (Feuer und Überschwemmungen), „Technisches Versagen“ (Softwarefehler und Stromausfall), „Vorsatz“ (Diebstahl und Hacking) sowie „Organisationsdefizite“ (unklare Vorschriften und Verantwortlichkeiten oder ungeschulte Mitarbeiter) eingeteilt. IT-Sicherheit wird so zum Überbegriff für Vertraulichkeit, Verfügbarkeit und Integrität von Informationstechnologien und sollte elementarer Bestandteil jeder Unternehmensstrategie sein.

Nutzen von IT-Sicherheit vermitteln

In mittelständischen Firmen wird der Schutz der eigenen IT-Infrastruktur oft vernachlässigt – trotz der schwerwiegenden Folgen eines Ausfalls der IT und des damit verbundenen Datenverlusts oder des Zugriffs Dritter auf sensible Geschäftsdaten. Zu dieser ernüchternden Bilanz kommt eine gemeinsame Untersuchung des Netzwerks Elektronischer Geschäftsverkehr (NEG) und des Marktforschungsinstituts Market Research & Services (MR&S).
Zwar räumen fast zwei Drittel der von NEG und MR&S befragten mittelständischen Firmen dem Thema IT-Sicherheit eine sehr hohe bis hohe Priorität ein, doch besitzt im Durchschnitt nur knapp ein Viertel von ihnen schriftlich dokumentierte Sicherheitsrichtlinien. Die zunehmende Komplexität der Materie, das hohe Tempo der Veränderungen sowie fehlende personelle Ressourcen erschweren zudem oft eine gründliche Beschäftigung mit dem Thema, so ein weiteres Ergebnis der Studie. Ein zusätzlicher Risikofaktor sind geringe Budgets. Laut Umfrage geben 45 Prozent der Befragten höchstens 5.000 Euro pro Jahr für IT-Sicherheit aus.

Zu ganz ähnlichen Ergebnissen kommt eine branchenübergreifende Studie, bei der die KPMG Innsbruck-Linz 340 vorwiegend mittelständische Firmen in Österreich befragte. Markus Oman, Leiter der Abteilung KPMG Business Services Information Risk Management (IRM), registriert eine „Entwicklung hin zu einer verstärkten Einbindung der Geschäftsführung in Fragen der IT-Sicherheit“. Daran lässt sich auch das gesteigerte Verständnis für die Bedeutung dieser Thematik für den Unternehmenserfolg ablesen. „Jedoch spiegelt sich das Bewusstsein für Informationssicherheit zu wenig in den intern getroffenen Maßnahmen wider, denn der Nutzen der IT wird den Entscheidern von ihren Fachabteilungen häufig nur unzureichend vermittelt“, legt der KPMG-Sicherheitsexperte dar. „Und das drückt sich dann häufig in falsch getroffenen Entscheidungen und Maßnahmen zur IT-Sicherheit aus.“

Wahrnehmung schärfen, Schadensrisiken minimieren

„Die Unternehmen verkennen“, so Markus Oman, „dass Sicherheitsrisiken oft hausgemacht sind, denn die Angriffe kommen meist von innen.“ Um die potenzielle Gefährdung gering zu halten, fordert der Sicherheitsexperte von Mittelständlern vermehrt organisatorische und kulturelle Maßnahmen. Dazu gehören neben der Einführung strukturierter Berechtigungskonzepte für die Mitarbeiter auch die Auswertung von Systemzugriffen über Logfiles. „Vor allem aber kommt es darauf an, das Bewusstsein der eigenen Mitarbeiter für die Thematik, etwa bei der Passwort-Sicherheit, zu schärfen sowie ein offenes Verhältnis für die Belange der IT-Sicherheit zu schaffen“, hebt Oman hervor.
Ein meist unterschätztes und deshalb vernachlässigtes Kapitel sind die rechtlichen Pflichten, mit denen die Unternehmen beziehungsweise ihre Verantwortlichen (ob Geschäftsführer, Vorstand oder IT-Leiter) im Zusammenhang mit der IT-Sicherheit konfrontiert sind. In Deutschland sind diese Aufgaben in Informations- und Kommunikationsdienste-Gesetzen wie dem Gesetz zum elektronischen Geschäftsverkehr (EGG), dem Teledienstegesetz (TDG) oder dem Bundesdatenschutzgesetz (BDSG) geregelt. Genau wie ein Autofahrer die Straßenverkehrsordnung kennen muss, so wird von einem professionellen Verantwortlichen in der IT-Sicherheit nämlich verlangt, dass er die wesentlichen rechtlichen Zusammenhänge für sein Aufgabengebiet kennt – so die Rechtsanwälte Robert Niedermeier und Markus Junker in einem Leitfaden zur IT-Sicherheit.

Blauäugigkeit kommt teuer zu stehen

Dass dem nicht immer so ist, illustriert ein Fall, der vor dem Oberlandesgericht Hamm (AZ: 13 U 133/03 OLG Hamm) verhandelt wurde: Ein Reiseunternehmen hatte eine Computerfirma beauftragt, Reparaturen an seinem IT-System durchzuführen. Im Anschluss daran kam es zu Fehlermeldungen im System. Als ein Mitarbeiter der Computerfirma das Problem durch den Austausch einer Festplatte beheben wollte, stürzte der Server ab, und wichtige Firmendaten gingen verloren. Neben den eigentlichen Kosten für die Reparaturarbeiten in Höhe von 14.000 Euro sollte der Auftraggeber nun noch einmal 14.000 Euro für die Beseitigung des Schadens zahlen. Dagegen klagte das Unternehmen und verlor. In seiner Urteilsbegründung stellte das Gericht fest, dass der Betrieb die Sicherung von Daten „schon vor dem Absturz grob fahrlässig (blauäugig) vernachlässigt“ hatte. Deshalb sei er für den entstandenen Schaden selbst verantwortlich.
Auch mangelnder Schutz gegen Virenattacken kann ein Unternehmen teuer zu stehen kommen. Eine Studie von ICSA-Labs, einem Anbieter von Tests und Zertifizierungen von Sicherheitsprodukten und Teil von Cybertrust, fand heraus, dass Zahl und Schwere der Angriffe, etwa in Form erheblicher Schäden und finanzieller Verluste, seit 2003 zugenommen haben. Um die durch Virenbefall ausgefallenen oder gestörten Computersysteme wiederherzustellen, wendeten die von ICSA-Labs befragten 300 Unternehmen im Durchschnitt rund 130.000 US-Dollar auf.

Persönliche Haftung nicht ausgeschlossen

Peter Tippett, Chief Technology Officer von Cybertrust, fordert alle Unternehmen daher auf, ein umfassendes und proaktives Verständnis von Sicherheit zu entwickeln. Daran hapert es aber bei Mittelständlern. Die NEG-MR&S-Studie konstatiert einen Mangel an generellem Problembewusstsein bei den Entscheidern sowie fehlende Sicherheitsstrategien. Das ist erstaunlich, denn vorsätzliche oder fahrlässige Verstöße gegen Datenschutzrichtlinien im elektronischen Geschäftsverkehr werden – ganz abgesehen vom finanziellen Schaden und dem Imageverlust für eine Firma – auch vom Gesetzgeber belangt. In besonders schweren Fällen droht sogar eine Freiheitsstrafe von bis zu zwei Jahren.
Wer bei einem Schadensfall in einem Unternehmen persönlich haftet, das hat der BITKOM nach den drei Bereichen „Strategische“, „Konzeptionelle“ und „Operative Aufgaben“ aufgeschlüsselt: Während für die strategischen Aufgaben grundsätzlich der Vorstand (Geschäftsführung/Aufsichtsrat) zuständig und verantwortlich ist, kann es bei den konzeptionellen und operativen Aufgaben auch Mitarbeiter treffen, die aufgrund ihrer Rolle als betriebliche Datenschutzbeauftragte oder IT-Leiter entsprechende Pflichten erfüllen.

IT-Sicherheit umfassend und mit System

„Effizientes Sicherheitsmanagement im Mittelstand muss daher immer als ganzheitlicher und kontinuierlicher Prozess angelegt sein, der alle Unternehmensbereiche umfasst“, fordert Markus Oman. Um langfristig die Informationssicherheit unternehmensinterner Daten zu garantieren, müssen die Firmen ihre Sicherheitsstrategien und -konzepte in der Informations- und Kommunikationstechnologie hinsichtlich Leistungsfähigkeit und Wirksamkeit ständig überprüfen und im Rahmen von Technologieplänen verbessern. „Das ist zwar bei Mittelständlern immer mit der Kostenfrage verknüpft, doch oft muss gar nicht mehr Geld für die Informationssicherheit ausgegeben werden. Es reicht schon, wenn die vorhandenen IT-Budgets sinnvoll und intelligent eingesetzt werden“, stellt der KPMG-Sicherheitsexperte abschließend fest.

Weitere Informationen:

Allgemein: www.bitkom.org, www.impulse.de/the/ebu/258769.html (rechtlicher / juristischer Leitfaden der Rechtsanwälte Robert Niedermeier und Markus Junker), www.olg-hamm.nrw.de sowie die Zeitschriften „WIK“ (www.wik.info) und „kes online“ (www.kes.info)
Recht: Eine umfassende Sammlung der einschlägigen Gesetze findet sich unter www.bmwa.bund.de/Navigation/Technologie-und-Energie/Informationsgesellschaft/medienrecht,did=5752.html sowie unter www.iukdg.de
Studien: www.cybertrust.com/pr_events/2005/20050405.html (ICSA-Labs-Studie), www.kpmg.at,
www.mr-s.com

Dr. Andreas Schaffry

Dr. Andreas Schaffry

Tags: ,

Leave a Reply