Der
„Blackout“, der das komplette Unternehmen lahm legt, kann von außen
oder von innen kommen. Von außen durch Einbruch oder Internet-Hacker;
von innen durch Unfälle oder Computer-Sabotage. Die Wirkungen sind
in allen Fällen die gleichen, wenn die IT-Ausstattung eines Betriebes
betroffen ist: Wichtige Daten stehen nicht mehr zur Verfügung, müssen
mühsam rekonstruiert werden oder gelangen gar in falsche Hände.
Das Unternehmen ist in seinem Nervensystem getroffen. Neben dem Komplettausfall
des Geschäftsbetriebs können auch Imageverlust und Schadensersatzleistungen
die Folgen von Störungen in der IT-Infrastruktur sein. Wie läßt
sich solchen Fällen vorbeugen? Worauf müssen insbesondere mittelständische
Firmen bei Ausstattung und Training achten, um eine ausreichende IT-Sicherheit
herzustellen? Ein BW-Bericht zur IT-Sicherheit in Berlin.
|
| Ein ungeschützter Netzwerkzugang in einem Besprechungsraum ist eine typische IT-Schwachstelle. |
Woher „Red Worm“ kam, weiß Michael Weber, Geschäftsführer des Berliner IT-Unternehmens DResearch Digital Media Systems GmbH, bis heute noch nicht. Möglicherweise aus China, von wo Hacker-Programme diesen Typs in der Regel stammen. Der gezielte Computer-Angriff auf das Firmennetz der Lichtenberger Firma ereignete sich im September 2002. Gut eine Woche lang hatte sich das Ausspäh-Programm („root-kit“) aus dem Internet auf einem Webserver des Unternehmens eingenistet, bis es bei einer Überprüfung der Logfiles entdeckt wurde.
„Die IP-Nummer führte zu einem Provider in Bremen, aber das dürfte nur Tarnung gewesen sein“, meint DResearch-Chef Weber. Vom Programm „Redworm“ oder „Adore“ ist bekannt, dass es Informationen über den Rechner und spezielle Systemdateien sammelt und sie per e-mail an Server in China schickt. Sofort wurde der Rechner – einer von insgesamt 120 in dem 75-Mitarbeiter-Unternehmen – heruntergefahren t und die Festplatte ausgewechselt. Der Schaden hielt sich in Grenzen, weil eine „Firewall“ das Eindringen auf andere Firmen-Computer verhindert hatte.
Aktiver Mail-Filter als Problemlöser
Aber
der zielgerichtete Angriff aus dem Dunkeln war nicht das einzige IT-Sicherheitsproblem,
das die auf Software für Bildkompression und mobile Videoübertragung
spezialisierte Firma in den letzten Jahren zu verkraften hatte. Zwei Jahre
zuvor wurde DResearch – wie viele andere Firmen und Einrichtungen auch
– von einem e-mail-Virus heimgesucht, der sich in Windeseile verbreitete.
„Drei Rechner wurden dadurch unbrauchbar und wir mussten die Festplatten
neu bügeln“, berichtete Weber. „Unser Fehler war, dass wir keinen
ausreichenden Virenschutz besaßen“. Seitdem ein aktiver Mail-Filter
(Software-Kosten: 2500 bis 5000 e) benutzt wird ist, hat DResearch keine
Probleme mit Viren mehr.
 |
| Ein Server-Raum sollte immer über eine leistungsfähige Alarmanlage verfügen. |
Als ob die Software-Attacken nicht schon ausreichten, war das Unternehmen überdies wenige Wochen vorher von einem Komplett-Ausfall einer PC-Abteilung betroffen. Weil die Elektrik des Gebäudes nicht richtig installiert war, kam es zu Unterspannung im Netz und eine Reihe der PC-Monitore implodierten. „Nachträglich wirkt es komisch“, sagt der DResearch-Chef. „Aber damals war das für uns der Elektro-Gau; wir hatten Weltuntergangs-Stimmung“. Neben den Geräten waren mehrere Zehntausend Euro an Arbeitsausfall zu verbuchen.
Von ähnlichen Ereignissen, wenn auch meist nicht so geballt, wissen die meisten mittelständischen Unternehmen zu berichten. Jahr um Jahr haben sich EDV und Computertechnik beinahe unmerklich immer größere Bereiche des Betriebsablaufs erobert: die Schreibmaschine wich dem PC, der Postversand wurde von der electronic mail abgelöst, Buchhaltung, Warensubstitution und Kundenbetreuung laufen computergestützt – auch in Klein- und Mittelbetrieben gibt es kaum noch einen Bereich, der heute ohne Informationstechnik auskommt. Damit hat sich aber zugleich die Abhängigkeit erhöht, die sich besonders drastisch bei IT-Ausfällen bemerkbar macht. Gerade kleiner Firmen kommen dadurch schnell in die Nähe der existenziellen Bedrohung.
Andererseits ist das Bewusstsein für diese neue Form der Gefährdung in deutschen Firmen nur unzureichend vorhanden. Nur in 51% der Unternehmen sind die Mitarbeiter mit den firmeneigenen Richtlinien zur IT-Sicherheit vertraut, fand der Berliner IT-Dienstleisters TimeKontor AG in einer bundesweiten Umfrage heraus. „Das Thema IT-Sicherheit ist in der deutschen Wirtschaft noch nicht weit genug verbreitetet“, fasst Timekontor-Vorstand Thomas Leitert das Ergebnis der Befragung von über 700 Unternehmen zusammen. Derzeit führt Timekontor eine Reihe von Informationsveranstaltungen mit deutschen Branchenverbänden durch, um die Wachsamkeit gegenüber Computersabotage und Datendiebstahl zu erhöhen. „Wir sind aber noch längst nicht soweit, dass IT-Sicherheit überall Chefsache ist“, bemerkt Leitert.
Sicherheit bleibt oft Expertenwissen
Immerhin besitzen nach dem Ergebnis der Umfrage 73% der Unternehmen spezielle IT-Sicherheitsbestimmungen, die allerdings häufig nur den einschlägigen IT-Spezialisten bekannt sind. Am fortgeschrittensten sind hier die Finanz- und Versicherungsbranche und Unternehmen der Wasser- und Energieversorgung, wo neun von zehn Beschäftigten mit den wichtigsten Sicherheitsregeln vertraut sind.
Auch die Einführung technischer Sicherheitsvorkehrungen, wie etwa „Firewalls“ gegen unerwünschte PC-Hacker aus dem Internet, verläuft in jüngster Zeit nur schleppend. Als größte Hemmnisse für eine umfassende IT-Sicherheit in ihrem Unternehmen gaben 59% der Geschäftsführer die „knappen Budgets“ an. Nur 18% der Firmen wollen im kommenden Jahr mehr als 500 000 E in ihre IT-Infrastruktur investieren. 41% dagegen planen, es bei einem Zehntel davon zu belassen. Die gleiche Verteilung beim Computerschutz: Nur 15% der Unternehmen geben mehr als ein Fünftel ihrer IT-Ausgaben für die Sicherheit aus. Bei 40% der Firmen kommt der IT-Schutz dagegen nicht über die Fünf-Prozent-Hürde.
Eine gespaltene Entwicklung beobachtet Detlef Weidenhammer von der Berliner IT-Sicherheitsfirma GAI-Netconsult. So hat sich nach seiner Einschätzung die Sicherheitslage bei größeren Unternehmen in den letzten Jahren deutlich gebessert. „Security Policy, Sicherheitskonzepte und verstärkt auch Sicherheitsüberprüfungen gehören fast schon zum Standard“, stellt Weidenhammer fest. Hier habe „die Sensibilisierung durch stetes Mahnen, aber auch viele Vorfälle erkennbar Wirkung gezeigt“. Hinzu kommen für Aktiengesellschaften bestimmte Auflagen durch den Gesetzgeber. So sind Unternehmen durch das KonTraG dazu angehalten, auch für den IT-Bereich eine bestimmte Risikovorsorge zu betrieben. „Denn dessen nachhaltige Störung“, so Weidenhammer, „kann ebenso existenzbedrohend werden wie finanzielle Probleme.
Was die Experten von GAI-Netcosulz bei ihren Sicherheits-Checks immer wieder antreffen sind „ veraltete, nicht überarbeitete Policies“, die von der Entwicklung der Datentechnik häufig überholt worden sind. „Insbesondere die neue Techniken (WLAN, Web-Services usw.) werden wegen fehlendem Know-how in ihrer Brisanz unterschätzt und schlecht gesichert“, hebt Weidenhammer hervor.
Kritischer bewertet der GAI-Netconsult-Experte die Situation im Mittelstand. „Die meisten mittleren und kleinen Unternehmen haben weder ein Sicherheitskonzept, noch machen sie einen Sicherheitscheck“, ist die Erfahrung von Detlef Weidenhammer. „Hier fehlen meist die Ressourcen für ein adäquates Bearbeiten des Themas Security und man behilft sich mit unzureichenden Lösungen oder ‚Augen zu und durch’“. Dabei seien die wichtigsten Sicherheitsmaßnahmen bereits mit überschaubarem Aufwand zu realisieren. Die Erfahrung zeige, „daß die meiste Zahl der Mißbräuche auf uralten, leicht behebbaren, Schwachstellen beruht“.
Auch in den Augen von Frank Rostemeier, Leiter der 25 Mitarbeiter zählenden Berliner Niederlassung des IT-Sicherheits-Dienstleisters Secunet, werden die Gefahren einer ungeschützten IT-Infrastruktur „vom Mittelstand völlig unterschätzt“. Dies beruhe im wesentlichen auf einer Unkenntnis der Schadensszenarien , die möglich sind. Rostemeier: „Die ernsthaftesten Angriffe werden am wenigsten bemerkt“. Am unsichtbarsten, weil auch am professionellsten durchgeführt, verläuft das Schadensmuster „Wirtschaftsspionage“. Opfer dieser mit hoher krimineller Energie durchgeführten IT-Ausspähungen sind häufig forschungsintensive Unternehmen. Ein anderes Szenario beschreibt der Secunet-Experte mit dem Terminus „Enttäuschter Mitarbeiter“, der sich aus dem Inneren des Betriebes an Software oder Rechner zu schaffen macht: sei es aus psychischen Gründen, um sich für Heransetzungen zu rächen, oder mit einer finanziellen Motivation, um sich durch illegale Buchungstricks Geldbeträge zu organisieren.
Bester Schutzmechanismus ist der Mensch
Bestimmte technische Sicherheitsvorkehrungen wie Virenschutz und Firewalls hält auch Rostemeier für unerlässlich. Als beste Abwehrmaßnahme sieht indes den „sensibilisierten Mitarbeiter“ an, der von sich aus Warnsignale und Sicherheitslücken aufmerksam wird. „Das ist ein Schutzmechanismus, der besser ist als alle technische Ausstattungen“, so der Experte. Hier müsste allerdings wesentlich mehr als bisher getan werden. Drei Viertel aller mittelständischen Firmen haben nach Rostemeiers Einschätzung erheblichen bis dringenden Nachholbedarf. „Etliche wiegen sich auch in einer Scheinsicherheit“, bemerkt der Informatiker, um das Beispiel einer Firma anzuführen, die sich zwar ein Datensicherungssystem leistete – doch bei näherer Inspektion stellte sich heraus, dass das tägliche Daten-Backup auf einem fälschlich eingelegten Sicherungs-Band vorgenommen wurde.
IT-Sicherheit läßt sich nicht alleine durch die Anschaffung von Sicherheitstechnologien erreichen, sondern sie muß auch im Bewusstsein der Mitarbeiter verankert und Bestandteil der Unternehmenskultur werden. Wie fatal sich der Verzicht auf eine stringente Sicherheitspolitik im Unternehmen auswirken kann, zeigt sich an der Tatsache, dass Sicherheitsprobleme häufig durch vermeidbare Schlupflöcher in Unternehmensnetzen entstehen. Nach Aussage von Analysten der Gartner Group entstehen rund 90 % aller Sicherheitslücken durch falsch konfigurierte oder nicht ausreichend gepflegte Software. Angriffen wie „Denial-of-Service“ oder Datendiebstahl könnte in den meisten Fällen durch ordnungsgemäß installierte Tools ein Riegel vorgeschoben werden. Fehlender Überblick über die Sicherheitsinfrastruktur, verstreute Aktivitäten verschiedener Abteilungen oder der Verzicht auf eine regelmäßige Überprüfung der getroffenen Sicherheitsmaßnahmen verhindern ein gezieltes Vorgehen gegen Sicherheitsrisiken.
Das Schadenpotenzial ist enorm. Allein Computerviren wie »I love you«, »Code Red« oder »Nimda« haben nach Schätzungen von Experten weltweit einen Schaden von insgesamt mehr als 15 Mrd. US-Dollar verursacht. Auch aus Sicht des Bundeswirtschaftsministeriums, das in den vergangenen Jahren mehrere Initiativen zur IT-Sicherheit unterstützt hat (www.sicherheit-im-internet.de) ist das Thema „Datensicherheit“ inzwischen zu einem ernst zu nehmenden Faktor im globalen Wirtschaftswettbewerb geworden.
Allerdings gebe es in Deutschland noch „erheblichen Nachholbedarf“. Nach Erkenntnissen des Ministeriums verschlüsseln bislang nur 4% der deutschen Unternehmen ihre e-Mail-Kommunikation und nur 1% schützen ihre Telefonate oder Fax-Übertragungen mit einer modernen Kryptographie-Technik. Dabei können ausgefeilte mehrstufige „Firewall“-Systeme – durch die im PC die eingehenden Daten nach bestimmten Kriterien gefiltert werden – den Übergang zwischen dem IT-Netz im Unternehmen und dem weltweiten Internet gut gegen Angriffe von außen abschirmen. Auch dürfe die Möglichkeit, so die Warnung des Ministeriums, „dass Mitarbeiter als Innentäter gegen Interessen des Arbeitgebers tätig werden, oder dass Programme und Applets mit Schadenfunktionen einen Einbruch in das lokale Netz von innen her vorbereiten, nicht außer Acht gelassen werden“.
IT-Sicherheit ist aber nicht nur wegen der Geschäfte von heute wichtig, sondern auch für die Transaktionen von morgen. Den wachsenden Markt des per Internet abgewickelten E-Commerce hat Verisign im Blick, der weltweit größte Anbieter von digitalen Sicherheitslösungen, der im Oktober 2002 seinen deutschen Hauptsitz in Berlin eröffnet hat. Nach Aussage von Verisign-Geschäftsführer Arthur Wetzel gehen neuere Studien davon aus, dass dem deutschen E-Commerce-Markt im zurückliegenden Jahr 7,5 Mrd. E an Umsatz entgangen sind – „wegen mangelnder Sicherheit und mangelndem Vertrauen der Kunden“. Aus diesem Grund seien digitale Sicherheitslösungen „unabdingbar für den E-Commerce in Deutschland, weil E-Commerce und Kommunikation über das Internet nur dann wachsen, wenn das Vertrauen da ist“.
Sicherheitsstandard für´s Internetgeschäft
Aus diesem Grund sieht es die Berliner Verisign-Niederlassung als ihr wichtigstes Ziel an, „dem deutschen Internetgeschäft die höchstmöglichen Sicherheitsstandards für Internettransaktionen zu ermöglichen“, so Wetzel. “Nur dann werden Einzelpersonen und Unternehmen uneingeschränkt und regelmäßig im Internet Geschäfte tätigen und nur dann werden Unternehmen das volle Potenzial des Internets ausschöpfen.“. Für seine Verschlüsselungs-Techniken hat Verisign nach Angaben von Wetzels Geschäftsführer-Kollegen Marcus Ross bereits 10 000 Unternehmenskunden gewonnen, davon 60 % der DAX-Unternehmen und sieben der TOP 10 deutscher Banken. „Gerade mittelständische Unternehmen sind heute sehr abhängig von Daten und IT-Systemen“, meint Klaus-Dieter Godes von der Berliner Niederlassung des IT-Sicherheitsausstatters Lampertz. „Wenn hier ein Verlust eintritt, ist das kaum auszugleichen“. Das in den 30er Jahren in Berlin gegründete Unternehmen, heute mit dem Hauptsitz im bayerischen Hof, stellt physikalische Produkte das Datensicherungstechnik her, wie feuer- und einbruchsichere Safes und Archivräume.
Lampertz ist auf alle Eventualitäten eingestellt, die durch Schäden an der IT-Hardware entstehen, sei es ein Brandalarm mit anschließendem Löschwasserschaden, sei es ein normaler Wasserschaden. „Der Wiederanlauf der IT-Anlage danach dauert im Schnitt eine Woche“, bemerkt Godes. „Aber wie lange kann sich eine Firma eine solche Down-Time leisten?“ Fragen dieser Art werden in einer umfassenden Sicherheits-Analyse angeschnitten. In einer solchen Analyse, deren Erstellung in Durchschnitt 3500 E kostet, wird das Risikopotenzial untersucht, dem ein Unternehmen ausgesetzt ist. Nicht selten wird etwa eine Sprinkler-Anlage im Rechnerraum angetroffen, die selbst bei einem Fehlalarm die Firmen-EDV unter Wassser setzt.
Das
Ergebnis der Analyse kann die Anschaffung eines sicheren Rechenzentrums
von Lampertz sein, mit dem man gegen derartige Vorfälle gewappnet
ist. Auch die IHK Berlin verfügt im Ludwig Erhard Haus über einen
derartigen begehbaren, 30 m² großen Tresorraum, in dem die Server
untergebracht sind, und plant regelmäßige Sicherungsaudis.
