Archiv


Eine Frage der Sicherheit

IT.- Die Gefahr, Opfer einer Hacking-Attacke zu werden, sollte kein Unternehmen zu gering einschätzen. Schließlich lassen sich Firmeninterna oft prima an die Konkurrenz verkaufen. Nötig ist also mindestens ein IT-Grundschutz. Wie der funktioniert, hat das Bundesamt für Sicherheit in der Informationstechnik in einem Handbuch zusammengefasst.

Von Holger Bruns |
    Industriespionage hat weltweit Konjunktur und ist ein milliardenschwerer Geschäftszweig. Bedroht sind vor allem innovative Unternehmen, die sich mit neuen Technologien befassen.

    "Es gibt Studien dazu. Unter anderem die Universität in Lüneburg, die von 50 Milliarden spricht. Wir wollen uns dazu nicht so eindeutig äußern, wie hoch das Schadenspotenzial ist. Es ist auf jedem Fall riesig."

    Andreas Bertram, zuständig für den Wirtschaftsschutz beim nieder-sächsischen Verfassungsschutz. Er berät Unternehmen darin, wie sie ihre Datenbestände durch IT-Grundschutz sichern können. Mit dem IT-Grundschutzkatalog hat das Bundesamt für Sicherheit in der Informationstechnik eine rund 4200 Seiten starke Loseblattsammlung veröffentlicht, die in unregelmäßigen Abständen mit Ergänzungslieferungen auf den neuesten Stand gebracht wird. Das ist der Nektar, den Andreas Bertram saugt.

    "Viele Fehler, die in Unternehmen gemacht werden in punkto Sicherheit gehen vom Menschen aus. Insofern ist die Sensibilisierung, das Bewusstseinstraining der Mitarbeiter für die Geschäftsprozesse ein ganz entscheidender Baustein; darüber hinausgehend natürlich auch die Zufriedenheit, denn ein zufriedener Mitarbeiter, der weiß, was er tut, ist immerhin noch der beste Schutz für Unternehmen."

    Der IT-Grundschutzkatalog spart nicht mit gutgemeinten Vorschlägen. So sollen Kopierer und Drucker überwachbar aufgestellt werden, damit niemand heimlich etwas ausdruckt oder kopiert. Unbefugte dürfen keine Bildschirme einsehen. Software-Updates während der Geschäftszeiten können das Unternehmen lahmlegen und dürfen daher erst nach Feierabend stattfinden. Die Rechner sollen mit einer Firewall geschützt werden, die ein- und ausgehenden Datenverkehr filtert. Und Notebooks lässt man nicht einfach so im Büro herumliegen. Die könnten ja geklaut werden. Wenn existenzbedrohende Datendiebstähle ein Unternehmen schädigen, verspricht der Verfassungsschutz ein diskretes Vorgehen.

    "Wir sind vier Polizeibeamte, die sich um das Thema 'Know-how-Schutz in Unternehmen' kümmern. Das heißt, die Unternehmen bleiben Herr des Verfahrens. Es findet keine Durchsuchung, Beschlagnahmung von Rechnern, diese Dinge, statt. Das Unternehmen entscheidet, was gemacht wird. Wir können über Sicherheit sprechen, weil wir Vertraulichkeit zusichern können."

    Andreas Bertram spricht hier vom Juwel der Firma und meint damit denjenigen Datenbestand, der besonders geschützt werden muss und niemals in fremde Hände geraten darf, der also auch nichts auf Notebooks von Geschäftsreisenden zu suchen hat. Empfehlung hier: Das Notebook ist vor Antritt der Reise sorgfältig zu filzen.

    "Sie haben gewisse Vorgaben bei der Einreise in die USA. Sie dürfen keine verschlüsselten Daten einführen. Die Laptops werden häufig beim Zoll kontrolliert. So auf diese Weise ist nachweislich auch schon Know-how entwendet worden."

    Liest man sich in die BSI-Standards zum IT-Grundschutz nun hinein, findet man überwältigend viel Text zu den Aufgaben des Managements, zu der Qualität von Information, zur Schadensvermeidung; aber man bleibt hilflos, wenn man nun wissen will: Was soll ich denn jetzt machen? Wie soll ich vorgehen? Man merkt dabei sehr bald, dass es eben nicht um eine technische Frage geht, sondern um ein organisatorisches Problem. So wird zum Beispiel empfohlen, die Stelle des IT-Managers und die des Systemsadministrators getrennt auszuschreiben, weil es hier nach Meinung des BSI zu Zuständigkeitskonflikten kommen kann. Das gilt insbesondere auch für die Vergabe von Aufträgen an externe Dienstleister im Rahmen des sogenannten Cloud-Computings.

    Andreas Bertram:

    "Wir kommen immer wieder zu dem Punkt zurück: Was ist mein Juwel? Wenn ich Forschung, Entwicklung betreibe und wichtige Daten dort erzeuge, dann muss ich mir überlegen, ob ich diese Daten in der Cloud speichern möchte."

    Einerseits. Andererseits ist es verlockend, viel Geld in der eigenen IT zu sparen, wenn man unternehmensbezogene Daten von Dienstleistern verarbeiten lässt. Das ist letztendlich alles, was man wirklich tun kann: Entweder man traut den Leuten über den Weg oder eben nicht. Thomas Kemmerich vom Bremer Technologiezentrum Informatik:

    "Das Problem ist, Sicherheit hat nur zu 50 Prozent etwas mit Technik zu tun, und zu 50 Prozent etwas damit zu tun, wie die Menschen damit umgehen, wie die Organisation realisiert ist. Und darum geht es eigentlich an dieser Stelle. Wir brauchen Technik, das ist wichtig, aber wir brauchen Bewusstsein und bewusstes Umgehen. Wir brauchen Regeln. Wir brauchen Erkenntnis des sicheren Handelns."