Die Bösen schlafen nicht
Weder Schreckensmeldungen über Datenkriminalität noch der NSA-Skandal konnten die Mehrzahl der kleinen und mittleren Unternehmen ernsthaft beunruhigen. Doch sie wiegen sich in falscher sicherheit, wenn man Experten glauben darf. Umfrageergebnisse, nach denen ein großer Teil der Mittelständler bereits Opfer von Hackern geworden ist, stützen diese Behauptung.
Lücke im Google-Browser erlaubt heimliches Lauschen“ – „Datendieb stiehlt und verkauft 2,5 Millionen Datensätze der Süddeutschen Klassenlotterie“ – „17 Millionen Datensätze von Mobilfunkkunden der Telekom entwendet“ – „Bankdaten von rund 21 Millionen Menschen zum Verkauf angeboten“ – „Das Bundesamt für Sicherheit in der Informationstechnik warnt: 16 Millionen Online-Konten geknackt.“
Wer morgens die Zeitung aufschlägt oder im Internet surft, muss nicht lange suchen: In den vergangenen zwei Jahren haben die Meldungen über Internetkriminalität und Datenklau rasant zugenommen. Allein die NSA-Affäre rund um das Spionageprogramm Prism dominierte die Medien monatelang.
IT Sicherheit im Mittelstand noch wenig verbreitet
Dennoch zeigt sich der Mittelstand weiterhin wenig beeindruckt von den Vorfällen. Zumindest im eigenen Haus sei man sicher, scheint die weit verbreitete Meinung – und außerdem hat das Thema einen entscheidenden Nachteil, denn wenn man es angehen möchte, kostet es Geld. Auf die Frage, ob nach dem NSA-Skandal besondere Maßnahmen im Bereich Datensicherheit geplant seien, antworteten in einer Studie der Wirtschaftsprüfer von Price, Waterhouse, Coopers (PWC) satte 59 Prozent der Unternehmen mit „Nein“.
Auch im Mittelstand der Region Stuttgart möchte sich beim Thema Datensicherheit kaum jemand zu Wort melden. Entsprechende Anfragen der Redaktion des IHK-Magazins Wirtschaft anlässlich des aktuellen Titelthemas „Datensicherheit“ blieben weitgehend erfolglos. „Leider kann man bei uns noch nicht viel dazu sagen. Das soll und wird sich aber in Zukunft ändern“, lautet beispielsweise die Antwort eines der befragten Unternehmen.
Viele weitere Firmen, die sonst gerne und bereitwillig Auskunft geben, melden sich gar nicht erst zurück.
IT Sicherheit im Mittelstand
Mit einer Ausnahme: Herma in Filderstadt, ein führender Spezialist für Selbstklebetechnik mit 840 Mitarbeitern und einem Jahresumsatz von zuletzt 245,6 Millionen Euro, ist durchaus bereit, Auskunft zu geben – aber er hat auch etwas vorzuweisen. „Wir kümmern uns von jeher um die Datensicherheit und haben dafür auch die volle Unterstützung der Unternehmensführung“, sagt Josef Marchner, der bei Herma für die IT zuständig ist. Nachvollziehen kann er dennoch, dass viele andere Unternehmen sich nicht äußern möchten. „Datensicherheit ist ein frustrierendes Thema – ganz einfach deshalb, weil es Geld und Manpower kostet und man es dennoch nie erschöpfend lösen kann.“ Auch bei Herma schwankt die Intensität der Vorbeugemaßnahmen, gesteht der IT-Manager. „Natürlich treten wir verstärkt in Aktion, wenn in den Medien wieder neue Themen hochkochen – oder wenn der Gesetzgeber mal wieder neue Vorgaben macht.“ IT Sicherheit im Mittelstand.
Davon abgesehen aber gibt es im Unternehmen eine Sicherheitsphilosophie, die schon in den Anfängen des EDV-Zeitalters, bei Herma also vor rund 25 Jahren, etabliert und seither systematisch ausgebaut wurde. Aus dieser Zeit stammt beispielsweise eine Maßnahme, die man heute in kaum einer anderen Firma finden wird: Bis auf einige wenige Arbeitsplätze in der IT gibt es bei Herma nicht die Möglichkeit, CDs und DVDs zu brennen oder USB-Sticks zu benutzen. „Das kommt natürlich bei den Mitarbeitern nicht immer unbedingt gut an, ist aber einer von vielen Sicherheitsaspekten, die bis heute relevant sind – eine Maßnahme, die uns mit Sicherheit schon viele Probleme vom Hals gehalten hat“, sagt Josef Marchner. Es soll damit dem Anwender auch kein grundsätzliches Misstrauen ausgesprochen werden; vielmehr ist Marchner zufolge eine gewisse Sorglosigkeit im Arbeitsalltag für viele Gefahren verantwortlich. „Da braucht nur mal jemand eine Preisliste per E-Mail um die Welt zu schicken. Eine Mail ist wie eine Postkarte – die kann jeder lesen, und ruckzuck ist so ein internes Dokument weltweit für jeden einsehbar.“
IT Sicherheit im Mittelstand ist ein Element der Existenzsicherung
Doch auch das ist nur eine kleine Facette all jener Sicherheitsthemen, mit denen sich die ITler von Herma befassen. „Datensicherheit bedeutet einen enormen administrativen Aufwand“, erläutert Josef Marchner, „weil man zunächst
einmal etablieren muss, welche Daten man hat und welche davon wie und wovor geschützt werden sollen.“ So macht beispielsweise der Gesetzgeber Vorgaben zur Buchhaltung, zur Gehaltsabrechnung und zum Datenschutz
der Mitarbeiter; gleichzeitig müssen das Produkt-Know-how, das Konstruktions- und Entwicklungswissen von Herma geschützt werden.
Und dann sollte noch dafür gesorgt werden, dass den Mitarbeitern stets alle relevanten Daten zur Verfügung stehen, dass also die Unternehmens-IT nicht plötzlich durch einen Virus oder eine Botnetz-Attacke lahmgelegt wird. Die IT-Sicherheit, so sieht es Josef Marchner, ist ein Element der Existenzsicherung des Unternehmens. „In regelmäßigen Abständen lassen wir deshalb unsere gesamte Sicherheitsinfrastruktur von externen Fachleuten auf den Prüfstand stellen. Und dann haben wir natürlich alles, was heute mindestens üblich ist: Firewall-Systeme, Virenschutz, Content-Filter.“
Und selbst da wird noch differenziert: Die Sicherheitsexperten kümmern sich sowohl um die Datenströme, die vom Unternehmen aus in die Welt geschickt oder von dort aus empfangen werden, als auch um die Datensicherheit am einzelnen Arbeitsplatz – damit beispielsweise keine rassistischen Daten, Pornographie oder Viren auf den Rechnern der 840 Mitarbeiter landen. Darüber hinaus werden verschiedene Netzwerkteile des Unternehmens voneinander abgetrennt. „Das funktioniert wie ein Empfangsbereich“, erklärt Josef Marchner, „die Daten, die ins Unternehmen gelangen, können beispielsweise nicht mit dem Server der Haupt-EDV-Anwendungen kommunizieren. Oder ein Produktionsrechner wird so eingerichtet, dass er nur mit jenen Netzwerken und Servern reden kann, mit denen er auch reden können muss.“ Denn dass es Attacken auf das Unternehmen gibt, davon ist Josef Marchner fest überzeugt. „Ich kenne die einschlägigen Studien, beispielsweise die von den Wirtschaftsprüfern der KPMG – ich würde sogar noch weitergehen und behaupten, dass nicht nur 95 Prozent, sondern 100 Prozent aller Unternehmen bereits entsprechende Angriffe gehabt haben.“
Zwar gebe es Firmen, die für die Hacker nicht so interessant seien, aber es müsse sich ja auch nicht um gezielte Angriffe handeln, sagt der Experte. „Pauschale Angriffe, bei denen eine entsprechend programmierte Software einfach mal prüft, ob sie überhaupt ins Unternehmen kommt, finden tagtäglich überall auf der Welt statt.“
Das Beispiel von Herma zeigt, dass es für den Mittelstand durchaus möglich und auch nötig ist, sich um die eigene digitale Sicherheit zu kümmern. Immerhin bieten mittlerweile zahlreiche Unternehmen den entsprechenden
Service.
Lesen Sie den kompletten Artikel „IT Sicherheit im Mittelstand“