Informationssicherheit im deutschen Mittelstand

Fachartikel von Stephan Gruber

In den meisten Firmen ist heute die Abarbeitung der Kernprozesse, also die Wertschöpfung des Unternehmens, ohne Unterstützung informationstechnischer Anlagen nicht mehr vorstellbar. In der Vergangenheit befanden sich wichtige Dokumente im Safe - heute findet man sie im Netz. Sind sich Management und Mitarbeiter dessen bewusst, schützen sie ihre Daten ausreichend?

Vorweg beantwortet – nein -. Die Studien der letzten Jahre zeigen immer wieder, dass es sowohl beim Einsatz verfügbarer Sicherheitstechnik, aber insbesondere bei der Entwicklung des Sicherheitsbewusstseins der Nutzer erhebliche Defizite gibt. Sicherheit ist nur, übrigens egal in welchem Bereich, durch ein Paket von Maßnahmen zu erreichen. Niemand käme auf die Idee, die Polizei mit Waffen auszurüsten, aber diese nicht im Umgang hiermit zu schulen. An dieser Stelle liegt das Problem, Informationssicherheit ist keine Domäne der IT-Abteilung, sondern eine resortübergreifendes Thema.   

Während eine technische Sicherheit (Passwortschutz, Firewall, Virenschutz …) heute überwiegend gegeben ist, fehlt es innerbetrieblich, im gegensätzlichen Maße an organisatorischen und rechtlichen Rahmenbedingungen. Zwar sind die Geschäftsleitungen durch Vorschriften wie beispielsweise KonTraG, Basel II oder das Strafrecht gebunden, jedoch scheitert es in den meisten Fällen schon an der Frage: „Welche Daten wollen wir eigentlich besonders schützen?“ Alle, ist hier meist nicht die Antwort, in der Vergangenheit sind auch nicht alle Ordner in den Safe gewandert. Mehr Sicherheit kostet schließlich auch mehr Geld, das Ergebnis ist häufig ein allgemein niedriges Sicherheitsniveau. Zunächst steht die Frage, welche Daten und Applikationen für meinen Wertschöpfungsprozess unabdingbar sind. Folgend ergibt sich eine Einstufung in meist drei Sicherheitsklassen, hierauf bauen dann alle weiteren Maßnahmen und Handlungen auf.

Da die Informationstechnik doch ein komplexes Thema ist und häufig jeder Experte auch eine andere Meinung vertritt, fällt es dem Management schwer entsprechende Entscheidungen zu treffen. Ursache ist jedoch häufig, die fehlende Risikoeinschätzung für Daten und Applikationen. Für die Unternehmensleitungen wäre es wichtig, in  transparenter Form  feststellen zu können, welche Maßnahmen dringend umgesetzt werden sollten. Hier kommen sogenannte Basissicherheitsaudits zum Einsatz, sie zeigen die Handlungsfelder und Defizite übersichtlich auf. Selbstverständlich sollte man nicht sein IT-Systemhaus oder –Lieferanten mit dieser Aufgabe betrauen, ein Schelm wäre, wer ein unabhängiges Urteil erwartet. Es gibt eine Reihe von Auditoren und Beratungshäusern welche schwerpunktmäßig diese Leistungen anbieten. Diese unabhängigen Audits orientieren sich an den Vorgaben des Bundesamtes für Informationssicherheit bzw. dem internationalen Standard ISO 27001.     

Es bleibt zu hoffen, dass die häufigeren und gezielten Angriffe die Sensibilität für dieses existenzielle Aufgabenfeld schärfen.