XING
Redaktionsbüro
Ingo Steinhaus
 
 
 

IT-Grundschutz leicht gemacht

80% der Unternehmen haben wenigstens einmal pro Jahr schwere IT-Probleme - dies ergab eine Studie im Auftrag des Bundeswirtschaftsministers.

"Die Diskussion über IT-Sicherheit ist mittlerweile auch im Mittelstand und im Handwerk angekommen. Das Thema wird jedoch oft noch unterschätzt", sagt Andreas Duscha, der die Studie "Informationssicherheit in Unternehmen" beim Institut für Handelsforschung in Köln verantwortet.

Die Untersuchung  wird alljährlich von der Initiative "Netzwerk Elektronischer Geschäftsverkehr (NEG)" beim Bundeswirtschaftsministerium in Auftrag gegeben. Sie untermauert die These, dass die IT aus dem täglichen Geschäftsbetrieb nicht mehr wegzudenken ist: Lediglich vier Stunden können die befragten Firmen im Durchschnitt ohne IT auskommen.

Sicherheitsprobleme bewirken also enorme wirtschaftliche Schäden. Dabei könnte es so einfach sein: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bietet mit seinen Grundschutzkatalogen eine umfassende Beispielkonzeption für IT-Sicherheit, die eigentlich nur noch angewendet werden muss.

Mit deutscher Gründlichkeit geht es dem BSI dabei um "die geeignete Kombination von organisatorischen, personellen, infrastrukturellen und technischen Sicherheitsmaßnahmen", so die Autoren in der Einleitung zu dem mehr als 3.000 Seiten umfassenden Werk.

"Das Problem beim IT-Grundschutz ist seine Komplexität: Die Entscheider in den Unternehmen starren erschreckt auf diese Fülle", meint IT-Sicherheitsexperte Alexander Geschonneck, einer der Autoren. Er arbeitet als Senior Manager bei der Ernst & Young AG und leitet dort den Bereich "Forensic Technology & Discovery Services".

Die Grundschutzkataloge geben Anregungen und helfen dem Unternehmer, die richtigen Fragen zu stellen. Geschonneck: "Vor allem ein Punkt ist wichtig: Was benötigt das Unternehmen unter dem Gesichtspunkt des Risikos? Dazu gehören vor allem Was-wäre-wenn-Szenarios. Was passiert, wenn plötzlich überhaupt keine IT mehr zur Verfügung steht? Kann ich trotzdem in Teilbereichen weiterarbeiten? Wo geht gar nichts mehr?"

Aus solchen Überlegungen entsteht ein Sicherheitskonzept, das an die Unternehmensgröße und den Umfang der IT-Nutzung angepasst werden muss. Unabhängig davon gibt es für jedes Unternehmen – auch für Selbstständige oder Kleinbetriebe – ein paar Elemente, die zumindest eine Basissicherheit geben.

"Wer einen Computer mit Internetverbindung ohne Firewall und Virencanner einsetzt, handelt grob fahrlässig", meint Mathias Gärtner vom Sachverständigenbüro Prof. Pausch & Partner in Darmstadt. Er arbeitet als IHK-Sachverständiger für IT-Sicherheit und ist im Vorstand der "Nationalen Initiative für Informations- und Internet-Sicherheit (NIFIS) e.V.", einer Selbsthilfeorganisation der Wirtschaft.

Aus seiner Sicht ist ein regelmäßiges Backup der Daten wichtig und es muss ebenso regelmäßig überprüft werden, ob die Sicherungsmedien auch wirklich lesbar sind. Doch ein wirkungsvoller Schutz der Firmendaten darf sich nicht nur auf die IT-Sicherheit konzentrieren.

Die NEG-Studie zeigt: In jedem vierten Unternehmen laufen Betriebsfremde unbeaufsichtigt und ohne Besucherausweis über die Flure. "Die Studie zeigt, dass IT-Sicherheit zwar ernst genommen wird", sagt Projektleiter Andreas Duscha vom E-Commerce-Center Handel in Köln, das die Studie umsetzte. "Doch der Eindringling kommt häufig einfach durch die Tür."

Ein Problem bei wirkungsvoller IT-Sicherheit sind die Kosten, die vor allem kleinere Unternehmen zu schlechten Kompromissen verführen. Eine sinnvolle und erschwingliche Lösung ist "Sicherheit zum Mieten", wie sie zum Beispiel die Kölner Druckerei Moeker Merkur nutzt.

Eine kleine Box am zentralen Telefonanschluss ist die Schnittstelle zum Internet. Sie reicht automatisch sämtliche Internetverbindungen in beiden Richtungen an einen Dienstleister für Internetsicherheit weiter. Dort werden die Daten nach höchsten Standards geprüft und dann erst an die Druckerei und – bei ausgehender E-Mail – an ihre Kunden geschickt.

Im IT-Jargon heißt so etwas "Managed Security Services". Über mehrstufige Firewalls blockiert der Dienstleister Angriffe auf die Rechner seiner Kunden, aktualisiert die Virenscanner im halbstündigen Rhythmus und sichert die Dokumente. Dabei wird eine abgesicherte und verschlüsselte Internetverbindung eingesetzt. "Die Übertragungsgeschwindigkeit leidet dabei nicht unter dem Umweg über den IT-Dienstleister", berichtet Friedhelm Spohr, einer der Geschäftsführer der Druckerei.

Diese externe Sicherheitsleistung kostet eine monatliche Mietgebühr, die je nach Art der eingesetzten Sicherheitsbausteine und der Anzahl der Arbeitsplätze berechnet wird. Für die Druckerei fallen Kosten von etwa 1.000 Euro im Jahr an. Im Gegenzug muss sich kein Mitarbeiter um Aktualisierungen und neue Sicherheitstechniken kümmern, der Dienstleister liefert immer "State of the Art". Für Friedhelm Spohr ist das die perfekte Lösung: "Umfassende IT-Sicherheit ohne große Investition."

(Euroexperts-Magazin 2009)