IT Sicherheit im Mittelstand

Die Bösen schlafen nicht

Weder Schreckensmeldungen über Datenkriminalität noch der NSA-Skandal konnten die Mehrzahl der kleinen und mittleren Unternehmen ernsthaft beunruhigen. Doch sie wiegen sich in falscher sicherheit, wenn man Experten glauben darf. Umfrageergebnisse, nach denen ein großer Teil der Mittelständler bereits Opfer von Hackern geworden ist, stützen diese Behauptung.

Lücke im Google-Browser erlaubt heimliches Lauschen“ – „Datendieb stiehlt und verkauft 2,5 Millionen Datensätze der Süddeutschen Klassenlotterie“ – „17 Millionen Datensätze von  Mobilfunkkunden der Telekom entwendet“ – „Bankdaten von rund 21 Millionen Menschen zum Verkauf angeboten“ – „Das Bundesamt für Sicherheit in der Informationstechnik warnt: 16 Millionen Online-Konten geknackt.“

Wer morgens die Zeitung aufschlägt oder im Internet surft, muss nicht lange suchen: In den vergangenen zwei Jahren haben die Meldungen über Internetkriminalität und Datenklau rasant  zugenommen. Allein die NSA-Affäre rund um das Spionageprogramm Prism dominierte die Medien monatelang.

IT Sicherheit im Mittelstand noch wenig verbreitet

Dennoch zeigt sich der Mittelstand weiterhin wenig beeindruckt von den Vorfällen. Zumindest im eigenen Haus sei man sicher, scheint die weit verbreitete Meinung – und außerdem hat das Thema einen entscheidenden Nachteil, denn wenn man es angehen möchte, kostet es Geld. Auf die Frage, ob nach dem NSA-Skandal besondere Maßnahmen im Bereich Datensicherheit geplant seien, antworteten in einer Studie der Wirtschaftsprüfer von Price, Waterhouse, Coopers (PWC) satte 59 Prozent der Unternehmen mit „Nein“.

Auch im Mittelstand der Region Stuttgart möchte sich beim Thema Datensicherheit kaum jemand zu Wort melden. Entsprechende Anfragen der Redaktion des IHK-Magazins Wirtschaft anlässlich des aktuellen Titelthemas „Datensicherheit“ blieben weitgehend erfolglos. „Leider kann man bei uns noch nicht viel dazu sagen. Das soll und wird sich aber in Zukunft ändern“, lautet beispielsweise die Antwort eines der befragten Unternehmen.
Viele weitere Firmen, die sonst gerne und bereitwillig Auskunft geben, melden sich gar nicht erst zurück.

Mit einer Ausnahme: Herma in Filderstadt, ein führender Spezialist für Selbstklebetechnik mit 840 Mitarbeitern und einem Jahresumsatz von zuletzt 245,6 Millionen Euro, ist durchaus bereit, Auskunft zu geben – aber er hat auch etwas vorzuweisen. „Wir kümmern uns von jeher um die Datensicherheit und haben dafür auch die volle Unterstützung der Unternehmensführung“, sagt Josef Marchner, der bei Herma für die IT zuständig ist. Nachvollziehen kann er dennoch, dass viele andere Unternehmen sich nicht äußern möchten. „Datensicherheit ist
ein frustrierendes Thema – ganz einfach deshalb, weil es Geld und Manpower kostet und man es dennoch nie erschöpfend lösen kann.“ Auch bei Herma schwankt die Intensität der Vorbeugemaßnahmen, gesteht der IT-Manager. „Natürlich treten wir verstärkt in Aktion, wenn in den Medien wieder neue Themen hochkochen – oder wenn der Gesetzgeber mal wieder neue Vorgaben macht.“ IT Sicherheit im Mittelstand.

Davon abgesehen aber gibt es im Unternehmen eine Sicherheitsphilosophie, die schon in den Anfängen des EDV-Zeitalters, bei Herma also vor rund 25 Jahren, etabliert und seither systematisch ausgebaut wurde. Aus dieser Zeit stammt beispielsweise eine Maßnahme, die man heute in kaum einer anderen Firma finden wird: Bis auf einige wenige Arbeitsplätze in der IT gibt es bei Herma nicht die Möglichkeit, CDs und DVDs zu brennen oder USB-Sticks zu benutzen. „Das kommt natürlich bei den Mitarbeitern nicht immer unbedingt gut an, ist aber einer von vielen Sicherheitsaspekten, die bis heute relevant sind – eine Maßnahme, die uns mit Sicherheit schon viele Probleme vom Hals gehalten hat“, sagt Josef Marchner. Es soll damit dem Anwender auch kein grundsätzliches Misstrauen
ausgesprochen werden; vielmehr ist Marchner zufolge eine gewisse Sorglosigkeit im Arbeitsalltag für viele Gefahren verantwortlich. „Da braucht nur mal jemand eine Preisliste per E-Mail um die Welt zu schicken. Eine Mail ist wie eine Postkarte – die kann jeder lesen, und ruckzuck ist so ein internes Dokument weltweit für jeden einsehbar.“

IT Sicherheit im Mittelstand ist ein Element der Existenzsicherung

Doch auch das ist nur eine kleine Facette all jener Sicherheitsthemen, mit denen sich die ITler von Herma befassen. „Datensicherheit bedeutet einen enormen administrativen Aufwand“, erläutert Josef Marchner, „weil man zunächst
einmal etablieren muss, welche Daten man hat und welche davon wie und wovor geschützt werden sollen.“ So macht beispielsweise der Gesetzgeber Vorgaben zur Buchhaltung, zur Gehaltsabrechnung und zum Datenschutz
der Mitarbeiter; gleichzeitig müssen das Produkt-Know-how, das Konstruktions- und Entwicklungswissen von Herma geschützt werden.

Und dann sollte noch dafür gesorgt werden, dass den Mitarbeitern stets alle relevanten Daten zur Verfügung stehen, dass also die Unternehmens-IT nicht plötzlich durch einen Virus oder eine Botnetz-Attacke lahmgelegt wird. Die IT-Sicherheit, so sieht es Josef Marchner, ist ein Element der Existenzsicherung des Unternehmens. „In regelmäßigen Abständen lassen wir deshalb unsere gesamte Sicherheitsinfrastruktur von externen Fachleuten auf den Prüfstand stellen. Und dann haben wir natürlich alles, was heute mindestens üblich ist: Firewall-Systeme, Virenschutz, Content-Filter.“

Und selbst da wird noch differenziert: Die Sicherheitsexperten kümmern sich sowohl um die Datenströme, die vom Unternehmen aus in die Welt geschickt oder von dort aus empfangen werden, als auch um die Datensicherheit am einzelnen Arbeitsplatz – damit beispielsweise keine rassistischen Daten, Pornographie oder Viren auf den Rechnern der 840 Mitarbeiter landen. Darüber hinaus werden verschiedene Netzwerkteile des Unternehmens voneinander abgetrennt. „Das funktioniert wie ein Empfangsbereich“, erklärt Josef Marchner, „die Daten, die ins Unternehmen gelangen, können beispielsweise nicht mit dem Server der Haupt-EDV-Anwendungen kommunizieren. Oder ein Produktionsrechner wird so eingerichtet, dass er nur mit jenen Netzwerken und Servern reden kann, mit denen er auch reden können muss.“ Denn dass es Attacken auf das Unternehmen gibt, davon ist Josef Marchner fest überzeugt. „Ich kenne die einschlägigen Studien, beispielsweise die von den  Wirtschaftsprüfern der KPMG – ich würde sogar noch weitergehen und behaupten, dass nicht nur 95 Prozent, sondern 100 Prozent aller Unternehmen bereits entsprechende Angriffe gehabt haben.“

Zwar gebe es Firmen, die für die Hacker nicht so interessant seien, aber es müsse sich ja auch nicht um gezielte Angriffe handeln, sagt der Experte. „Pauschale Angriffe, bei denen eine entsprechend programmierte Software einfach mal prüft, ob sie überhaupt ins Unternehmen kommt, finden tagtäglich überall auf der Welt statt.“
Das Beispiel von Herma zeigt, dass es für den Mittelstand durchaus möglich und auch nötig ist, sich um die eigene digitale Sicherheit zu kümmern. Immerhin bieten mittlerweile zahlreiche Unternehmen den entsprechenden
Service.

GM Consult IT GmbH

Eines davon ist die GM Consult  IT GmbH mit Sitz in Stuttgart. „Als Dienstleister im Bereich Dokumentenmanagement, der für den Umgang mit sensiblen Daten verantwortlich ist, stecken wir mittendrin in all den Fragen rund um die IT-Sicherheit“, erklärt Geschäftsführer Alexander Fuchs und erinnert sich: „Vor rund 15 Jahren kam das Thema richtig hoch. Damals entschieden zahlreiche Banken und Versicherungen, dass nicht mehr jeder Finanzdienstleister ein eigenes Druckzentrum braucht, sondern man diesen Bereich genauso gut outsourcen könne.“ Diesen Part übernimmt die GM Consult IT – und tut alles dafür, technisch auf dem neusten Stand zu sein. „Ob Software oder Hardware, die ‚weißen Hacker’, die von uns engagiert werden, sind erstklassig. So bleiben wir mit den ‚schwarzen Hackern’ immer mindestens auf Augenhöhe.“

Das allerdings können Alexander Fuchs und sein Prokurist Karl Peter Jegglin längst nicht von allen Mittelständlern sagen, mit denen sie in der Region Stuttgart geschäftlich zu tun haben. „Ich weiß von mindestens zwei Global Playern, die mit sensiblen Daten schlampig umgehen – in diesem Fall nicht intern, da stimmt noch alles, sondern extern, wenn Partner involviert sind“, sagt Karl Peter Jegglin. Das Problem, erklärt der Fachmann, liegt darin, dass die betreffenden Unternehmen mit ihren Partnern möglichst nutzerfreundlich kommunizieren wollen – auf Kosten
der Sicherheit. „In den meisten Fällen fängt diese Sorglosigkeit schon an der Unternehmensspitze an. Wir brauchen uns nur unsere Bundeskanzlerin anzuschauen: Sie möchte SMS versenden, will sich aber nicht jedes Mal authentifizieren und setzt auf diese Weise ihre Datensicherheit aufs Spiel.“ Bequemlichkeit, da sind sich die Experten einig, fungiert als Türöffner Nummer eins für Datendiebe.

Ein weiteres Hindernis ist der Gedanke: „Wir sind so klein, es interessiert doch niemanden, was wir kommunizieren, und das Geld für Datensicherheit möchten wir uns eigentlich auch lieber sparen.“ Hier können Alexander Fuchs und Karl Peter Jegglin nur kollektiv den Kopf schütteln. „Nehmen Sie ein Architekturbüro mit 40 Mitarbeitern, welches mit internationalen Kunden an einem Riesenprojekt arbeitet und Pläne hin- und herschickt. Wenn irgendjemand davon weiß und Hacker ansetzt, kann das ganze Knowhow des kleinen Unternehmens plötzlich weg sein.“ Dabei könnte es so einfach sein, E-Mails zu verschlüsseln, erklären die Fachleute.

Sie setzen auf regimail, die patentierte und datenschutzgeprüfte Lösung des technologisch führenden Unternehmens Regify, die weltweit einsetzbar und leicht anzuwenden ist. „Dort gibt es eine permanente Weiterentwicklung. Das ist wichtig, denn die Bösen schlafen nicht“, fasst Alexander Fuchs das Problem zusammen.

 

Lesen Sie den kompletten Artikel „IT Sicherheit im Mittelstand“