Für grössere Unternehmen gehören ausführliche Sicherheitskonzepte zu den Geschäftsgrundlagen. Für viele kleinere Unternehmen begrenzen demgegenüber die zur Verfügung stehenden Finanzen die organisatorischen wie technischen Möglichkeiten. Umso wichtiger ist es für sie, keine unnötigen Massnahmen zu treffen. Denn wie immer in Sicherheitsfragen gilt: Absolute Sicherheit gibt es nicht. Gesucht ist ein Optimum zwischen Aufwand und Schutz.
Ob für die Abklärungen ein externer Berater eingesetzt werden soll, hängt vom Budget und dem internen Know-how ab, so Thomas Schlienger, der sich am internationalen Institut für Management in der Telekommunikation (iimt) der Universität Freiburg mit Sicherheits-Management beschäftigt. Grundsätzlich sei jemand von aussen aber weniger "betriebsblind" und könne auch grössere Veränderungen leichter durchsetzen als internes IT-Personal, gibt Schlienger zu bedenken.
Am Anfang jedes Sicherheitskonzepts stehen unabhängig von der Unternehmensgrösse eine Analyse der Netzwerkinfrastruktur sowie eine Risiko- und Bedrohungsanalyse. So können die neuralgischen Punkte identifiziert und die nötige Dicke der Schutzmauern festgelegt werden.
Elmar Hayoz vom auf Sicherheit und Netzwerktechnik spezialisierten Schulungs- und Beratungsunternehmen Brainstorm teilt dabei die einzelnen Bereiche in zwei Kategorien ein. Auf der einen Seite sind Daten mit einem niedrigen bis mittleren Schutzbedarf. Für sie ist die Umsetzung der im IT-Grundschutzbuch des Deutschen Bundesamts für Sicherheit in der Informationstechnik aufgezeigten generellen Massnahmen ausreichend. Für Daten, die geschäftskritisch sind, ist auf der anderen Seite eine detaillierte Risikoanalyse nötig. Dabei müssen zum einen die Bedrohung analysiert und zum anderen die möglichen Kosten bei einem Schadensfall beziffert werden. Aus der Summe dieser Faktoren werden dann die individuellen Massnahmen abgeleitet.
Die grundlegenden Sicherheitsvorkehrungen wie Antivirenprogramme, Back-up und Firewalls werden gemäss einer Studie des Informatik-Departements der Universität Freiburg heute in der Schweiz von zwischen 70 und 85 Prozent der Unternehmen eingesetzt. Problematisch ist hingegen der relativ geringe Anteil von weniger als 50 Prozent, der seine periodische Datensicherung auch regelmässig testet. Viele scheinen Sicherheit demnach nicht als Kultur, sondern als einmalige Technikinvestition zu verstehen. Ein potentiell verhängnisvolles Missverständnis, wenn man sich vor Augen führt. dass die Rate von defekten Back-up-Bändern im Prozentbereich liegt.
Für Hayoz ist im Gegensatz zur offensichtlich mehrheitlichen Praxis ein effektives Sicherheitskonzept immer ein Regelkreis. Zu diesem gehören neben der Bedarfs/Risikobeurteilung und den Schutzmassnahmen zwingend auch die regelmässige Überprüfung der Wirksamkeit der getroffenen Massnahmen. Diese sollte im Idealfall von Zeit zu Zeit durch eine unabhängige Drittfirma durchgeführt werden.
Auch organisatorische Massnahmen, die die sogenannten weichen Faktoren der Sicherheit mit einbeziehen, hat gemäss der Freiburger Studie nicht einmal die Hälfte der Firmen implementiert. Offensichtlich wird IT-Sicherheit vielerorts noch als reines Technikthema missverstanden.
Dies ist umso unsinniger, als Mitarbeiter das grösste Sicherheitsrisiko überhaupt darstellen. Für ein funktionierendes Sicherheitskonzept sind sowohl der Rückhalt durch die Firmenleitung als auch das Risikobewusstsein der einzelnen Mitarbeiter unabdingbar, so Schlienger. Zumal verschärfte Sicherheitsvorkehrungen meist auch mit einer Einschränkung der Benutzerfreundlichkeit verbunden sind und damit passiven Widerstand provozieren können.
Die dominierende Frage für die Anwenderseite sind immer die Kosten. Um selber abschätzen zu können, wie gross die Security-Aufwendungen sinnvollerweise sein sollen, rät Schlienger, beispielweise Versicherungen anzufragen, die IT-Risiken abdecken. Einen Peilwert gibt das auf Wahrscheinlichkeitsrechnungen beruhende sicherheitstheoretische Modell von Gordon und Loeb. Demnach sollen die Investitionen nicht mehr als 37 Prozent der potentiellen Schadenshöhe betragen. In den USA hätten aber Gerichtsverfahren gezeigt, dass 100 Prozent des Maximalschadens eingesetzt werden müssen, um nicht rechtlich belangt werden zu können, relativiert Schlienger die 37-Prozent-Grenze.
Wenn die Kosten zentral sind, kommt immer auch das Thema Outsourcing auf den Tisch. Und wie bei allen Auslagerungsfragen gilt auch bei der Sicherheit: Wer hofft, mit Outsourcing ein Problem loszuwerden, handelt sich entweder ein weiteres ein oder zahlt eine unnötig hohe Zeche.
So verlockend das Delegieren der IT-Sicherheit aus vielen Gründen ist, die eingangs erwähnte Risikoanalyse lässt sich damit nicht umgehen. Denn der daraus ermittelte Schutzbedarf ist die Basis einer erfolgreichen Zusammenarbeit mit dem Sourcer. Nur ein Anwender, der seine Sicherheitsbedürfnisse selber kennt, kann diese auch dem Outsourcer mitteilen und sicherstellen, dass zum einen keine vergessen gegangenen Löcher auftauchen und zum anderen keine unnötigen Massnahmen bezahlt werden müssen. Das Auslagern befreit also keinesfalls vom Erstellen eines Sicherheitskonzeptes.
In Schweizer Unternehmen implementierte IT-Sicherheitsvorkehrungen
• Nichts tun, weil bisher nichts passiert ist und es sowieso nur die anderen trifft.
• Einmal in Sicherheit zu investieren und sich dann zurückzulehnen.
• Den Wert und das Schadensrisiko der eigenen Daten und IT-Systeme nicht zu kennen, sondern alles zu delegieren.
• Eine rein technische Lösung anzustreben, ohne Einbezug der weichen Faktoren (Rückhalt durch das Managment, Bewusstsein der Mitarbeiter).
Verschiedene private und staatlich initiierte Internetseiten unterstützen KMU in Sachen Sicherheit. Die zwei wichtigsten unabhängigen Adressen der öffentlichen Hand sind das KMU-Gründerportal www.kmuinfo.ch des Seco (Staatssekretariat für Wirtschaft) und die Seite des deutschen Bundesamtes für Sicherheit in der Informationstechnik (BSI).
Auf KMU-Info findet sich eine Sammlung von speziell auf kleinere Unternehmen zugeschnittenen PDF-Führern zur Internet-Nutzung, darunter auch einer, der sich mit den grundlegenden Fragen von Sicherheitskonzepten auseinandersetzt. Dieser gibt einen guten Überblick über Gefährdungen, Massnahmen und rechtliche Aspekte.
Wer spezifische und detaillierte Anleitungen in Form von "Best Practices" sucht, wird auf dem Portal des deutschen Bundesamtes fündig. Das vom BSI herausgegebene IT-Grundschutzhandbuch gilt als Standardwerk, und die angegebenen Massnahmen entsprechen weitgehend dem ISO-Standard 17799 (BS 7799) für den Aufbau und die Verankerung eines Sicherheits-Managements. Das Handbuch kann als PDF gratis heruntergeladen werden. Neben dem Grundschutzhandbuch bietet das BSI-Portal noch viele weitere umfassende Informationen rund um die IT-Sicherheit.
Eine andere nützliche Sicherheits-Anlaufstelle im Netz ist www.fgsec.ch. Auf der Seite der Fachgruppe Security der Schweizer Informatiker Gesellschaft finden sich vor allem Hinweise auf Fachseminare zu aktuellen Sicherheitsthemen, die die Gruppe regelmässig organisiert.
