Foto: Fotolia.com – Tim Friedrich

Conficker ist ein Computerwurm, dessen Wirkung noch übler ist als sein Name. Im letzten Jahr hatte ein Berliner Unternehmen ein Rendezvous mit Conficker. Konsequenz: 180 Mitarbeiter konnten über Tage hinweg ihre Rechner nicht nutzen, alle acht Firmenserver waren verseucht. Als Auslöser identifizierte das Team um Frank Lorenz vom F & M Computer Systemhaus einen USB-Stick. Und Lorenz fand noch etwas anderes: „Es war nur die kostenlose Antiviren-Software eines No-Name-Anbieters im Einsatz. Und die Windows-Updates waren auf allen Rechnern deaktiviert.“ Die Folgen des Wurmbefalls waren zwar nicht verheerend. Aber teils hochbezahlte Leute hatten nichts zu tun, wahrscheinlich gingen Geschäfte durch die Lappen. Und auch fürs Renommee war die Havarie ganz schlecht. Drei Tage brauchte Lorenz, um dem Spuk eine Ende zu machen. Er installierte Updates, entseuchte die Systeme, installierte professionelle Anti-Virensoftware. „Wir haben auch eine Security-Richtlinie verfasst, deren Einhaltung per Software geprüft wird.“ Noch im Rückblick ringt Ingenieur Lorenz um Fassung: „Wir haben den Kunden immer wieder darauf hingewiesen. Aber der wollte einfach nichts ausgeben für Sicherheit.“

Genau diese Haltung wird zunehmend gefährlicher. Der e-Crime-Studie 2010 zufolge ist jedes vierte Unternehmen in Deutschland in den letzten drei Jahren Opfer von Computerkriminalität geworden. Besonders häufig war der Diebstahl von Kunden- und Mitarbeiterdaten sowie von geschäftskritischem Know-how. Weiteres Ergebnis: Nicht die gefürchteten Hacker aus China und Russland sind bislang die Hauptübeltäter. Richtig gefährlich sind vielmehr die jetzigen und ehemalige Mitarbeiter sowie Geschäftspartner und Dienstleister. Von wo auch immer die Gefahr droht: Angesichts der steigenden Komplexität fühlen sich die Unternehmen zunehmend unterlegen im „Wettrüsten mit den Angreifern“. Ähnliche Erkenntnisse liefert der aktuelle Global Fraud Report. Die 1.200 befragten Top-Entscheider aus aller Welt nannten Datendiebstahl, Datenverluste und Hacker-Angriffe als zweitgrößte Plage der Wirtschaftskriminalität, hinter dem klassischen Diebstahl. Und auch hier sehen sich viele Befragte von den komplexen IT-Gefahren überfordert und weitgehend schutz- und hilflos ausgeliefert. Die sprunghaft gestiegenen mobilen Anwendungen und das immer beliebtere Cloud-Computing lassen die Anforderungen an Sicherheit steigen. Laut einer Untersuchung von BITKOM und der Uni Regensburg will nur noch jedes fünfte Unternehmen gar nichts mit der Cloud zu tun haben – und schon jedes sechste bezieht sogar seine IT-Sicherheit aus der Wolke.

Doch wie sollten sich vor allem kleinere Unternehmen dem komplexen Thema IT-Sicherheit nähern, vor allem solche ohne besondere technologische Affinität? Michael Stamm, Projektleiter beim Kompetenzzentrum eCOMM Berlin, kennt das Problem. eCOMM Berlin ist eines von 28 regionalen Kompetenzzentren des Netzwerks Elektronischer Geschäftsverkehr (NEG). Es berät kleine und mittlere Unternehmen und organisiert Veranstaltungen rund ums E-Business. Da vom Bundes¬ministerium für Wirtschaft und Technologie gefördert, sind die Angebote weitgehend kostenlos. „Wir bringen die IT-Sicherheit immer in einen Kontext mit dem unternehmerischen Alltag – dem Online-Shop, dem E-Mail-Verkehr, der Datensicherung. Bei einer grundsätzlichen Behandlung dieses weiten Themas kapitulieren die meisten Unternehmen.“ Es sei wie bei einem Auto, das der Fahrer auch als Ganzes sieht. Die wenigsten interessierten sich zuvorderst für Airbags oder Bremsen. „Sicherheit ist immer ein Thema, aber eben eines unter mehreren.“ Viele konkrete Bezüge bietet die Website kmu-sicherheit.de des Verbundprojektes „Sichere E-Geschäftsprozesse in KMU und Handwerk“. Hier erfahren Unternehmen aus Anlagenbau oder Lasertechnik, Hersteller von Verpackungsmitteln oder Kunststoffwaren alles über die besonderen IT-Tücken ihrer Branche. Infobroschüren über den korrekten Umgang mit mobilen Datenträgern, Smartphones oder Laptops runden diese empfehlenswerte Website ab.

An vielen Beiträgen beteiligt ist der Wirtschaftsinformatiker Andreas Gabriel. Der Dozent am Lehrstuhl für BWL und Wirtschaftsinformatik der Uni Würzburg ist im Netzwerk Elektronischer Geschäftsverkehr ein gefragter Sicherheitsexperte. Er kennt teils skurrile Geschichten aus der Praxis. Etwa die von einem Angestellten, der seine sadomasochistischen Praktiken auf Facebook offen darlegt, von Kunden entdeckt wurde und seinen Arbeitgeber so um etliche Geschäfte gebracht hat. „Die sozialen Medien sind nicht zuletzt arbeitsrechtlich noch weitgehend ungeklärte Gebiete“, so Gabriel. „Dieser rechtsfreie Raum macht es auch uns Beratern schwer.“ Er warnt vor allzu offenherzigem Verhalten. „Wer einen Kundentermin per Facebook kundtut, gibt Hinweise, die für die Konkurrenz wertvoll und das eigene Unternehmen schädlich sein können.“ Gefragt danach, welchen Grundschutz denn nun wirklich jedes Unternehmen haben muss, nennt er fünf Punkte. Erstens müssen die Mitarbeiter für die Angreifbarkeit des Unternehmens sensibilisiert werden. Denn sie verursachen geschätzte 70 Prozent der IT-Schäden – durch Unwissenheit oder Absicht. Zweitens sollte eine systematische Datensicherung durch Backuproutinen gewährleistet sein. Drittens gilt es, die Netzwerke durch Firewalls zu sichern. Viertens ist eine gute Antivirensoftware unabdingbar, und fünftens sollte jede Software aktualisiert werden. „Die Einhaltung dieser fünf Klassiker bietet schon ein vernünftiges Level. Wenn dann noch die Zugangsrechte definiert und Datenbestände und Mailverkehr verschlüsselt würden, könnte ich mir einen neuen Job suchen.“

Sicherer Schutz vorm IT-GAU - Teil II