Unternehmen
Management + Personal
IT-Sicherheit für Unternehmen
"Viele Computernutzer gehen recht blauäugig an das Thema IT-Sicherheit heran und unterschätzen die Gefahren", sagt Dr. Nicolas Apostolopus, Leiter des Center für Digitale Systeme (CeDiS) an der Freien Universität Berlin. Gerade wegen der zunehmenden Vernetzung von internen und externen Systemen ist die Sicherheit ein sehr wichtiges Thema geworden. Das Bundesministerium des Innern verzeichnete im vergangenen Jahr 57.488 Fälle von Computerkriminalität. Die Zahl der von Viren oder Würmern infizierten Rechner geht jedes Jahr in die Millionen.
Erhebliche Schäden drohen
Die ungewollten Eindringlinge können wichtige Informationen entwenden oder zerstören und die Geschäftsprozesse lahm legen. Reparaturen und verlorene Arbeitsergebnisse kosten oft Zeit und Geld. Viel schwerer für ein Unternehmen wiegt der mit Computer-Pannen verbundene Imageverlust. Wer seine Kunden und Partner mit elektronisch mit Viren infiziert, hinterlässt keinen guten Eindruck, sagt Patrick Heinen Sicherheitsexperte beim Softwareunternehmen Symantec, das mit dem Programm Norton AntiVirus Marktführer bei Anti-Viren-Software. Gerade Banken seien inzwischen sehr für das Thema IT-Sicherheit sensibilisiert - ein unvorsichtiger Umgang mit Kundendaten kann das Vertrauensverhältnis nachhaltig belasten. Unternehmer sollten daher von Anfang an die Absicherung ihrer IT-Systeme in ihre Planungen einbeziehen.
Bundesamt gibt ausführliche Informationen
Das www.bsi.de (Link zum: Bundesamt für Sicherheit in der Informationstechnik, BSI) (BSI) bietet auf seiner Internetseite unter www.bsi.de ausführliche Informationen über IT-Grundschutz, Internetsicherheit und Computerviren. Zwei kostenlose Informationsangebote speziell für kleine und mittlere Unternehmen ermöglichen laut BSI einen schnellen und kompakten Einstieg in das Thema "IT-Grundschutz". Der Leitfaden "IT-Sicherheit" umfasst rund 55 Seiten über die wichtigsten organisatorischen, infrastrukturellen und technischen IT-Sicherheitsmaßnahmen. Ein ca. vierstündiger Web-Kurs soll dem Benutzer helfen, die Sicherheitsanforderungen in seinem Unternehmen zu definieren und umzusetzen sowie Sicherheitslücken aufzudecken und diese zu schließen.
Neue Gefahren für die IT
Durch den technischen Fortschritt entwickeln sich auch die Gefahren für die IT-Sicherheit von Unternehmen weiter. Angreifer sind heute in der Lage, bestimmte Programme in Firmennetzwerke einzuschleusen. So können sie die dortigen Rechner fernsteuern. Die damit verbundenen Sabotagemöglichkeiten reichen vom Versenden von tausenden Mails zugleich - um so die Kapazitäten zu überlasten - über das Herunterladen von Schadsoftware bis hin zum Diebstahl betriebsinterner Informationen.
Eine andere Variante, um ein Firmennetzwerk zu sabotieren, sind die so genannten DDoS-Attacken (engl. Distributed denial-of-service attack). "Hierbei wird ein (Firmen-)Netzwerk massiv mit Anfragen überflutet, so dass es aus Überlastungsgründen nicht mehr zur Verfügung steht", sagt Matthias Gärtner, Pressesprecher beim Bundesamt für Informationstechnik (BSI).
Zusätzlich zu diesen relativen Gefahren werden auch die Verbreiter von Schadsoftware immer raffinierter. "Mittlerweile kann schon der Besuch auf gewissen Webseiten dazu führen, dass Viren oder Würmer auf den Rechner heruntergeladen werden", sagt Gärtner. Schließlich wissen mittlerweile die meisten Computernutzer, dass Anhänge von unbekannten E-Mails in der Regel nicht geöffnet werden sollten.
Eine andere Variante, um ein Firmennetzwerk zu sabotieren, sind die so genannten DDoS-Attacken (engl. Distributed denial-of-service attack). "Hierbei wird ein (Firmen-)Netzwerk massiv mit Anfragen überflutet, so dass es aus Überlastungsgründen nicht mehr zur Verfügung steht", sagt Matthias Gärtner, Pressesprecher beim Bundesamt für Informationstechnik (BSI).
Zusätzlich zu diesen relativen Gefahren werden auch die Verbreiter von Schadsoftware immer raffinierter. "Mittlerweile kann schon der Besuch auf gewissen Webseiten dazu führen, dass Viren oder Würmer auf den Rechner heruntergeladen werden", sagt Gärtner. Schließlich wissen mittlerweile die meisten Computernutzer, dass Anhänge von unbekannten E-Mails in der Regel nicht geöffnet werden sollten.
Vorsicht beim E-Mail-Verkehr
Experte Gärtner rät, unbedingt entsprechende Sicherheitsvorkehrungen zu treffen. "Wenn Sie eine E-Mail unverschlüsselt verschicken, dann ist das ungefähr der Sicherheitsstandard einer Postkarte, die mit Bleistift geschrieben ist", sagt der Pressesprecher des BSI. Der Inhalt kann von jedem eingesehen und leicht verändert werden. Auf diesem Wege brisante oder vertrauliche Informationen zu versenden, ist grob fahrlässig. Der Verschlüsselungscode muss lediglich einmal zwischen Absender und Empfänger ausgetauscht werden, damit der künftige Mailverkehr verschlüsselt stattfinden kann.
Sich der Gefahren bewusst sein
"Es ist ganz enorm wichtig, die Risiken zu kennen und einzuschätzen, um im Vorfeld Maßnahmen zu ergreifen", sagt Gärtner. So gibt es neben den externen auch interne Risikofaktoren, derer man sich bewusst sein muss. Gärtner rät zwar nicht zu einer paranoiden Einstellung gegenüber den eigenen Mitarbeitern. Ein "gesundes Maß an Misstrauen" sei aber durchaus zu empfehlen. Nach seiner Ansicht sollte man eine Regelung dafür finden, wie und in welchem Maße Mitarbeiter mit Datenträgern wie USB-Sticks oder auch DVDs auf die Rechner zugreifen dürfen. Dieser Zugriff sollte nicht nur aus Angst vor Datenklau reglementiert werden. Auch die bewusste oder unbewusste Verbreitung schädlicher Programme kann so unterbunden werden.
Eine weitere firmeninterne Gefahr für die IT-Sicherheit ergibt sich aus den Laptops der Angestellten. Werden diese gestohlen oder gehen verloren und geraten so in fremde Hände, sollte vorher sichergestellt werden, dass wichtige Daten vor einem nicht autorisierten Zugriff geschützt sind. "Grundsätzlich muss man sich die Frage stellen, welche Daten wirklich benötigt werden, und welche man vom Laptop löschen kann", sagt Gärtner.
Eine weitere firmeninterne Gefahr für die IT-Sicherheit ergibt sich aus den Laptops der Angestellten. Werden diese gestohlen oder gehen verloren und geraten so in fremde Hände, sollte vorher sichergestellt werden, dass wichtige Daten vor einem nicht autorisierten Zugriff geschützt sind. "Grundsätzlich muss man sich die Frage stellen, welche Daten wirklich benötigt werden, und welche man vom Laptop löschen kann", sagt Gärtner.
Produktauswahl nicht einfach
Der Markt für Sicherheitssoftware ist nach Ansicht von Experten breit gefächert und für Laien kaum zu überschauen. Noch schwieriger wird es, die Vor- und Nachteile der einzelnen Produkte und Marken zu erkennen. Wie schwer die richtige Auswahl ist, zeigen die Tests von verschiedenen Zeitschriften, die zwar die gleichen Produkte unter die Lupe nehmen, aber zu ganz unterschiedlichen Ergebnissen kommen. Ein gutes Virenschutzprogramm und eine Firewall sind selbstverständlich, rät Prof. Apostolopolus. Das gilt für ein Netzwerk genauso wie für den Einzelarbeitsplatz.
Sicherheitsexperte rät zu professioneller Hilfe
Die Experten raten Unternehmern beim Aufbau ihrer Computernetzwerke deshalb zu professioneller Hilfe. "Nur Sicherheitsprodukte zu kaufen, reicht da nicht aus", sagt Heinen von Symantec. Die in vielen Zeitschriften angebotenen Ratgeber und Tipps zum schnellen Aufbau eines Sicherheitssystems seien ausschließlich für Privatanwender gedacht. Sichert man das Betriebs-Netzwerk von Anfang an gründlich und akribisch gegen Angriffe von außen ab, kann man so später mögliche Reparatur- und Wartungskosten einsparen.
Sicherheit gibt es nicht umsonst
Experten raten, lieber nicht am falschen Ende zu sparen und von Anfang an in hochwertige Software zu investieren. Als Faustregel empfehlen sie, von den Hard- und Softwarekosten zehn bis 20 Prozent zusätzlich in IT-Sicherheit zu investieren. Die Höhe der Aufwendungen ist davon abhängig, welche Geschäftsprozesse über die IT abgewickelt werden. Je abhängiger ein Unternehmen von einem funktionierenden IT-System ist, desto höher sollten auch die Ausgaben für die elektronische Sicherheit sein. Professor Apostolopoulus warnt davor, Softwarekopien im Sicherheitsbereich einzusetzen. Außer, dass deren Nutzung nicht erlaubt ist, bieten sie nicht den gleichen Schutz wie ein Originalprodukt. Kostenloser Software, die im Internet zum freien Download zur Verfügung steht, fehlt es meistens an der nötigen Qualität, argumentieren viele Experten.
Den richtigen Anbieter finden
Wie bei den Produkten gibt es auch bei den Dienstleistern gewaltige Unterscheide bei Umfang, Preis und Leistungsangebot.
Nach der Entscheidung für einen Berater ist es unerlässlich, auf eine vollständige und umfangreiche Dokumentation zu drängen, empfiehlt der Uni-Experte Dr. Apostolopolus. Mit einer richtigen Dokumentation kann sich bei einem Ausfall des Dienstleisters der Ersatz schnell in das System einfinden.
Nach der Entscheidung für einen Berater ist es unerlässlich, auf eine vollständige und umfangreiche Dokumentation zu drängen, empfiehlt der Uni-Experte Dr. Apostolopolus. Mit einer richtigen Dokumentation kann sich bei einem Ausfall des Dienstleisters der Ersatz schnell in das System einfinden.
Einzelplatzrechner
Ein Einzelplatzrechner mit einem Internetzugang braucht dagegen nicht zwingend einen professionellen Berater. Hier reicht in der Regel eine gut eingestellte Firewall und ein Virenschutzprogramm, weiß Brunzel aus Erfahrung. Dr. Apostolopolus rät auch diesen Nutzern mindestens ein eintägiges Sicherheitsseminar zu besuchen. Angeboten werden diese von Handelskammern oder professionellen Schulungsanbietern.
Lena Stenz, Eva Blumenfeld, aktualisiert März 2010.
Lena Stenz, Eva Blumenfeld, aktualisiert März 2010.
Weitere Informationen
- Bundesamt für Sicherheit in der Informationstechnik (Link zu: Bundesamt für Sicherheit in der Informationstechnik, www.bsi.de)
- Center für Digitale Systeme (CeDiS) an der Freien Universität Berlin (Link zu: Center für Digitale Systeme, www.cedis.fu-berlin.de)
- Deutschland sicher im Netz - Abteilung Unternehmen, Sicherheitspaket Mittelstand (Link zu: Deutschland sicher im Netz e.V., www.sicher-im-netz.de )
