Man kann ein Unternehmen nicht komplett abschirmen, oft ist der einzelne Mitarbeiter das größte Risiko für die IT-Sicherheit. "Wenn jemand vom Büro aus ein Angebot oder eine Zeichnung an sein privates Postfach bei web.de schickt, schwirrt das Dokument quasi offen durch das Internet", sagt Günter Schulz*. Er ist verantwortlich für die Informationstechnologie eines Mittelständlers aus dem Bereich Maschinenbau/Automotive, der angesichts des heiklen Themas anonym bleiben möchte. Schulz zufolge geht die IT-Sicherheit über Technisches hinaus. Ebenso wichtig sei es, Bewusstsein bei den Mitarbeitern zu schaffen, ob mit Filmen, Faltblättern oder Schulungen.
Das Unternehmen hat vor zehn Jahren damit begonnen, ein integriertes System zur IT-Sicherheit aufzubauen. "Das ist mehr als die Virenschutz-Programme auf den Computern", sagt Schulz. Die Informationstechnologie wurde an den weltweiten Standorten hierarchisch und zentral organisiert. Früher hatten die Manager lokal entschieden. Auch folgt der Mittelständler den internationalen Normen für die IT-Sicherheit, ISO 27001 und 27002, und lässt deren Umsetzung an größeren Standorten alle drei Jahre von einer externen Stelle prüfen. Außerdem wichtig für die IT-Strategie der Firma ist das Sicherheits-Gremium, dem nicht nur Spezialisten wie Schulz angehören, sondern auch die gesamte Unternehmensführung. "Entscheidungen zur IT-Sicherheit müssen mit dem Top-Management getroffen werden, sonst besteht die Gefahr, dass die Mitarbeiter bei unbequemen Maßnahmen nicht mitziehen", sagt Schulz. Vor einigen Jahren beispielsweise führte der Mittelständler längere Passwörter für die Computer ein. Ohne die Hilfe der Unternehmensspitze wäre das wohl schwierig geworden.
Der besagte Mittelständler schützt seine Informationstechnologie also mit technischen und organisatorischen Mitteln. Wie wichtig diese Kombination ist, zeigt eine Umfrage der Beratungs- und Prüfungsgesellschaft Ernst & Young unter weltweit mehr als 1800 Unternehmen. Ergebnis: Rund 70 Prozent der Betriebe gaben an, IT-Sicherheitslücken seien nicht nur technisch bedingt, sondern auch organisatorisch. "Gerade kleinere Mittelständler haben oft nur eine Person, die sich neben ihrem Hauptjob um die IT-Sicherheit kümmert", sagt Olaf Riedel, Verantwortlicher Partner für IT- und Risiko-Managementberatung bei Ernst & Young in Hamburg.
Große Markenkonzerne mögen zwar eher das Ziel von Online-Angriffen sein als mittlere und kleinere Firmen. Dennoch sind die beiden Letztgenannten Riedel zufolge oft anfälliger für Viren, Würmer und Schadprogramme, weil ihr Bewusstsein für das Thema IT-Sicherheit weniger stark ausgeprägt ist.
Wo aber liegt die Gefahr? Auf technischer Ebene, etwa am Server im Rechenzentrum eines Unternehmens oder beim Mitarbeiter, der von seinem Computer aus E-Mails verschickt? Riedel: "Bei kleineren Firmen sehe ich die Gefahren insbesondere auch auf technischer Seite, weil sie ältere Rechner mit ebensolchen Kontrollmechanismen verwenden." Dennoch bestehen Risiken beim Mitarbeiter. "Wer mobile Endgeräte wie Smartphones zu Geschäftszwecken nutzt, läuft Gefahr, sie zu verlieren. Außerdem lassen sie sich leichter ausspionieren als feste Geräte", sagt Riedel.
Andreas Müller, Experte für Informationstechnologie bei der Handelskammer Hamburg, sieht die Gefahren vorwiegend beim Mitarbeiter und seinen mobilen Geräten: "IT-Sicherheitslücken gibt es insbesondere im wachsenden E-Mail-Verkehr und bei der zunehmenden, geschäftlichen Nutzung von Notebooks, Tablets sowie Smartphones." Problem sei, dass immer mehr sensible Informationen wie Geschäftsbriefe, Rechnungen und Protokolle darüber verschickt, aber nur unzureichend vor fremdem Zugriff und Verlust geschützt würden.
Heiko Roßnagel vom Fraunhofer-Institut für Arbeitswirtschaft und Organisation IAO in Stuttgart sieht auf technischer Ebene weniger Risiken, denn vor allem größere Firmen hätten ihre Rechenzentren mittlerweile gut gesichert. Der Experte für Informationsmanagement sieht aber oft fahrlässiges Verhalten der Nutzer. "Was nützt ein kompliziertes Passwort, wenn der Mitarbeiter es aufschreibt und den Zettel an den Bildschirm klebt?" Riskant sei auch, im Büro das gleiche Passwort zu verwenden wie auf dem privaten Rechner.
Wo auch immer Sicherheitslücken liegen: Es gibt technische Möglichkeiten dagegen vorzugehen. Allgemein bekannt sind die Anti-Viren-Programme. Eine Software-Variante für Mitarbeiter, die von ihrem eigenen Rechner aus arbeiten, sind virtuelle private Netzwerke, abgekürzt VPN. "Damit können sich die Mitarbeiter sicher und verschlüsselt im Netzwerk ihrer Firma einloggen", sagt Roßnagel vom Fraunhofer IAO. Eine Firewall wiederum schützt das Netzwerk im Unternehmen oder den Einzelcomputer vor Angriffen aus dem Internet.
Eine weitere Software-Lösung ist ein Angrifferkennungs-System, im Fachjargon Intrusion Detection System (IDS). Es erkennt, wenn jemand sich aus dem Internet im Firmen-Netzwerk einloggen will. Roßnagel: "Diese Software lohnt sich aus Kostengründen eher für größere Unternehmen." Will ein Mittelständler den Anmeldevorgang an seinen Computern sicherer gestalten, kann er mit einem System arbeiten, das Einmalpasswörter erstellt. "Das mindert die Gefahr, dass jemand im offenen Funknetz ein Passwort abhört und sich damit einloggt", sagt der Experte.
*Name geändert
No hay comentarios:
Publicar un comentario