Special IT-Sicherheit - IHK Frankfurt am Main

IT-Sicherheit: Wo Tod und Teufel lauern

Herr Semmler, gehen Sie selbst noch ins Internet oder ist es Ihnen mittlerweile zu gefährlich?

Semmler: Ich bin nach wie vor im Internet unterwegs und das mit unglaublich viel Spaß. Ich mache sogar Online-Banking mit allem Drum und Dran. Denn es gibt da draußen zwar Gefahren, ganz klar, aber die meisten können mit verhältnismäßig geringem Aufwand wirkungsvoll minimiert beziehungsweise komplett unterbunden werden.

Wie stufen Sie die Sicherheitslage im Internet ein?

Semmler: Wir haben in den vergangenen Jahren eine stetig wachsende Flut von Angriffen gegen Privatanwender, Firmen, Behörden und Institutionen. Kriminelle haben das Internet für sich entdeckt, quasi als Biotop, fühlen sich dort wunderbar wohl und probieren mit kriminellen Aktivitäten, die sehr stark in die Masse gestreut werden, ihr Geld zu verdienen. Beispiel: Das Programmieren und Verbreiten von Viren und Schadsoftware war früher ein Sport. Da haben sich junge Kerle hingesetzt und gesagt: „Wow, ist das cool, was ich hier machen kann, ich programmiere das mal, rein aus Neugier, Lust oder aus Steigerung meines Bekanntheitsgrades.“ Heute ist das ganz anders. Dadurch, dass alle Rechner miteinander vernetzt sind und dort auch wertvolle Daten liegen, Online-Banking gemacht wird und Ähnliches mehr, gibt es Kriminelle, die nun diese Schadsoftware professionell programmieren und professionell ausrollen, um über diesen Weg möglichst viel Geld zu verdienen. Die Gefährdung von Schadsoftware im Netz ist an allererster Stelle zu nennen.

Ist Online-Banking überhaupt noch sicher?

Semmler: Benutzen Sie bitte keine PIN/TAN- oder PIN/iTAN-Verfahren. Sicheres Online-Banking heißt: Machen Sie Online-Banking entweder nach dem HBCI-Standard (Homebanking Computer Interface) und mit einem Klasse-3-Kartenleser oder benutzen Sie mTAN (mobile-TAN). Mobile-TAN ist in diesem Zusammenhang sehr komfortabel: Überweisungen werden online ausgefüllt und nach wenigen Sekunden kommt eine SMS auf Ihr Handy mit den Transaktionsdaten. Dort können Sie sehen, was Sie gerade legitimieren und bekommen eine einmalig generierte Nummer, die ausschließlich für diesen Vorgang und nur für wenige Minuten gültig ist. Dieses Verfahren ist heute sehr smart, sehr pfiffig. Es wird mittlerweile von vielen Banken angeboten und gilt als sehr sicher.

Sprechen wir über Sicherheitsmaßnahmen. Wie kann sich ein Unternehmen wirkungsvoll vor den Gefahren des Internets schützen?

Semmler: Es gibt eine wunderbare Definition von Sicherheit: „Die Abwesenheit nicht beherrschbarer Gefahren“. Das heißt: Was sicher ist, hängt vor allem davon ab, gegen welche Gefahren sich ein Unternehmer wappnen muss. Eine hundertprozentige Sicherheit wird es nie geben. Dennoch gibt es Grundschutzmaßnahmen, mit deren Hilfe man sich vor den meisten Gefährdungen schützen kann, mit überschaubarem Aufwand. Aber wir sehen vor allem eins: Selbst dieser Grundschutz ist heute bei vielen privaten PCs und auch bei Firmen, die es eigentlich besser machen müssten, weil sie mit ihren Rechnern Geschäft und Umsatz generieren, oftmals nicht implementiert. Insbesondere bei den kleinen Unternehmen sieht es bisweilen düster aus. Vergleichen Sie die Grundschutzmaßnahmen mit einem Sicherheitsgurt im Auto: Niemand würde ein Auto ohne Sicherheitsgurt kaufen, auch wenn Sie der Sicherheitsgurt nicht schneller von A nach B bringt.

Wie sehen solche Grundschutzmaßnahmen konkret aus?

Semmler: Grundschutzmaßnahme Nummer 1: Machen Sie um Gottes Willen in regelmäßigen Abständen ein Backup Ihrer Daten und testen Sie das Wiederherstellen der Datensicherung. Maßnahme Nummer 2: Regelmäßig die Rechner durchpatchen. Aktivieren Sie die automatische Windows- und Softwareaktualisierung. Maßnahme Nr. 3: Wenn Sie „draußen“ viel unterwegs sind, kann es sein, dass Sie sich etwas einfangen. Da muss ein Antivirus parat stehen. Keinen PC, weder im privaten noch im geschäftlichen Bereich, ohne einen permanenten, im Speicher mitlaufenden, aktualisierten Virenschutz betreiben. Maßnahme Nummer 4: Stellen Sie eine Firewall auf einem Rechner bereit, der nur für diesen Zweck eingesetzt wird.

Ist dieser Schutz für jedes Unternehmen ausreichend?

Semmler: Wenn ein Unternehmen auf Gedeih und Verderb von dem Funktionieren seiner IT-Infrastruktur und der Anwesenheit der Daten abhängig ist, dann reicht der Grundschutz nicht mehr aus. Dann muss ganz klar gesagt werden: IT-Sicherheit ist nun endgültig zur Chefsache geworden. Die Leitungsebene muss zunächst definieren, wie wichtig welche Daten für das Unternehmen sind. Diese werden anhand ihrer Vertraulichkeit und der Anforderung an ihre Verfügbarkeit klassifiziert: Wie schnell muss ich meine Daten haben? Wie lange kann ich auf Daten verzichten, wenn etwas passieren sollte? Und auch die Integrität der Daten ist zu beachten: Wie stark muss ich sicherstellen, dass ich mich auf diese Daten auch hundertprozentig verlassen kann? Danach wird analysiert, wo diese Daten gespeichert, übertragen und verarbeitet werden und welche Gefahren an diesen Orten existieren. Auf dieser Grundlage lassen sich angemessene und kostenoptimierte Sicherheitslösungen erarbeiten.

Worin sehen Sie das größte Bedrohungspotenzial?

Semmler: Die größte Schwachstelle in der IT-Sicherheit ist nicht der Rechner, sondern der Mensch vor der Kiste. Häufig existieren keine definierten Regeln für die Mitarbeiter: Was darf ich im Netzwerk tun und was ist definitiv verboten? Wenn dem Mitarbeiter, dem Kollegen, dem Chef nicht verbindlich erklärt wird, was er im Netz tun darf und was nicht, darf man ihm nicht böse sein, wenn er Tod und Teufel herunterlädt: Wenn man ihm nicht erklärt, dass er nicht irgendwelche Programme beliebig aus dem Netz herunterladen darf, dann wird er das tun. Wenn man ihm nicht erklärt, dass er keine Firmendaten auf einem USB-Stick mit nach Hause nehmen darf, dann wird er das tun und vielleicht den USB-Stick auch mal verlieren.

Welche Konsequenzen sollen Unternehmen daraus ziehen?

Semmler: IT-Sicherheit ist heute nicht mehr nur das Installieren eines Virenschutzes oder einer Firewall. Das gehört als Grundschutzmaßnahme mit dazu, ganz klar. Es ist vor allem das Coaching der Mitarbeiter. Verbindliche Vorgaben zu machen, verbindliche Anleitungen an die Hand zu geben, was erlaubt ist und was nicht. Wichtig ist in diesem Zusammenhang: Wer diese Vorgaben im Unternehmen nicht hat, und diese Vorgaben müssen von der Unternehmensleitung kommen, der fährt nach gültiger Rechtsprechung fahrlässig. Im Falle eines Schadens haftet die Geschäftsführung persönlich.

Ist diese Botschaft in den Unternehmen bereits angekommen?

Semmler: IT-Sicherheit wird leider immer noch vor allem als Kostenfaktor wahrgenommen. Nicht berücksichtigt wird dabei, dass IT-Sicherheit einige Dinge im Unternehmen regelt. Wer darf was? Wer darf etwas nicht? Im Zuge einer sauberen Absicherung eines Unternehmens wird genau das geklärt. Dadurch verschlanken sich Abläufe. Die Administration wird einfacher. Es werden dadurch Kosten eingespart. Die Geschäftsführer sollten IT-Sicherheit als Wettbewerbsvorteil nutzen. Und last, but not least, Geschäftsführer sollten sich einfach mal zeigen lassen, was IT-Sicherheit oder IT-Unsicherheit heute bedeutet. Entweder von einem Berater oder bei einem Live-Hacking. Denn die Schäden, die wir da draußen durch nicht implementierte IT-Sicherheit haben, durch quasi grob fahrlässiges Handeln im Bereich der IT, sind beträchtlich.

Das Gespräch führte
Daniel Weichert,

Fachlicher Leiter, BIEG Hessen, Frankfurt.

daniel.weichert@bieg-hessen.de

Mark Semmler,

Inhaber, Security Services, Darmstadt.

IHK WirtschaftsForum
Januar 2009