Geschäftsapplikationen aus dem Netz: Sind sie sicher?

Noch vor wenigen Jahren sträubten sich mittelständische Unternehmen, ihre Geschäfts und Kundendaten Dritten anzuvertrauen. Ähnliche Skepsis lösen auch die neuen Bezugsformen für IT wie Cloud Computing und Software as a Service (SaaS) aus.

   

Allmählich macht sich aber im Mittelstand ein Umdenken bemerkbar: Denn mit hauseigenen Mitteln sind viele kleine und mittlere Unternehmen nicht mehr in der Lage, beispielsweise steuerrelevante Daten so sicher zu lagern, wie es der Gesetzgeber verlangt. Besonders die internationale ISO-Sicherheitsnorm, unverzichtbar etwa bei Ausschreibungen in der Industrie, überfordert Budget, Kapazitäten und IT-Know-how vieler mittelständischer Unternehmen. Software as a Service bietet sich hier als Ausweg aus der Bürokratiefalle an.

 

Ganz schön (un)geschickt: Ein Mitarbeiter findet auf dem Firmenparkplatz einen USB-Stick mit dem Logo seines Unternehmens. Hilfsbereit nimmt er den verloren gegangenen Datenspeicher mit ins Firmengebäude und schließt ihn an seinen Rechner an, um festzustellen, wem er gehört. Da auf dem Datenträger keine Inhalte sichtbar und USB-Sticks heutzutage kein großer Kostenfaktor sind, legt er ihn beiseite. Was er nicht ahnt: Seine Hilfsbereitschaft haben sich findige Hacker zu eigen gemacht, die den mit Firmenlogo und Trojaner präparierten Datenträger auf dem Parkplatz ausgelegt haben. Unbemerkt haben sie so ihre Schadsoftware ins Firmennetz geschleust. Den Hackern stehen damit Tür und Tor zur Unternehmens-IT offen.

 

 

So dramatisch wie diese Aktionen verlaufen nicht alle Attacken auf Firmendaten. Von den täglichen Sicherheitsvorfällen erfährt die Öffentlichkeit meist wenig. Dennoch gibt es sie: „Gerade im Mittelstand spielt der Aspekt ‚Interlectual Property’ eine große Rolle“, weiß Peter Bodino, IT-Sicherheitsberater der IT-Consulting-Firma Trigonum. Gemeint sind beispielsweise Konstruktionsdaten von Automobilzulieferern. „Wenn ein Unternehmen etwa in anderen Ländern produzieren lässt, sollte es sicherstellen, dass sein geistiges Eigentum nicht in falsche Hände gerät“, sagt Bodino. Erst im Juni warnte Bundesinnenminister Thomas de Maizière im jährlichen Verfassungsschutzbericht davor, den Schaden der Wirtschaftsspionage in deutschen Unternehmen zu

unterschätzen.

 

Im täglichen Arbeitsalltag machen den Unternehmen zudem noch andere Security-Fragen zu schaffen. „Neben der Vertraulichkeit sind die Integrität der Daten und die Verfügbarkeit die wichtigsten Bausteine einer guten Sicherheitsstrategie“,  so Clemens Plieth, Geschäftsführer  und zuständig für den Servicebetrieb  beim ITK-Outsourcer Pironet NDH Datacenter. Insbesondere das Thema Verfügbarkeit  sorge bei vielen Unternehmen  jedoch immer wieder für unnötige Kosten.  So könne auch der kurzzeitige Ausfall eines Datenbestandes schnell den  ganzen Geschäftsbetrieb für mehrere Stunden lahmlegen. Plieth: „Viele Unternehmen  betrachten derartige Ausfälle oft  als gegeben und haben sich bereits damit  abgefunden.“ Doch vor dem Hintergrund der steigenden Bedeutung der IT  für fast alle Unternehmensprozesse sei  eine derartige Rücksichtnahme auf  Dauer geschäftsschädigend.  

 

 

In vielen Branchen haben Unternehmen  ohne umfassende Sicherheitsstrategie keine Chance mehr bei Ausschreibungen: zum Beispiel in der Automobilindustrie, die Zulieferern nur bei Nachweis entsprechender Sicherheits-Zertifikate  Zugang zu ihren Daten und Systemen  gewährt. „Gerade in der Automobilindustrie  werden sensible Daten bereits in  der Frühphase nach außen gegeben. Nur so ist es möglich, gemeinsam etwa an der Konstruktion neuer Bauteile für  einen PKW zu arbeiten“, sagt Peter Bodino. Neben der Wirtschaft stellt auch  der Gesetzgeber laufend höhere Anforderungen an die Datensicherheit. Seit  mehreren Jahren schon verlangen die  Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU) die revisionssichere Aufbewahrung  steuerrelevanter Unterlagen. Auch die Europäische Kommission knüpft die Vergabe von Fördergeldern an die Einhaltung eigener Vorgaben zur  IT-Sicherheit beim Antragsteller.  

 

 

Als De-facto-Standard für sämtliche Sicherheitsaspekte, angefangen vom Schutz vor Wirtschaftsspionage über die Verfügbarkeit bis hin zur Einhaltung der gesetzlichen Vorgaben, setzt sich immer mehr die internationale ISO Norm 27001 durch. 133 Punkte umfasst  der ISO-Sicherheits-Katalog (siehe unten). „Die Norm definiert sehr detailliert,  wie Unternehmen mit Themen wie Personalsicherheit, physischer Sicherheit  der Daten oder der Dokumentation aller Änderungen an IT-Systemen umgehen  sollten.“ Dabei sei es nicht so, dass die meisten Mittelständler der Datensicherheit nicht genügend Aufmerksamkeit  schenken würden. Im  Gegenteil: Die wichtigsten Security-Maßnahmen wie den Schutz der Daten  vor Angriffen von Außen mithilfe von Firewall-Systemen oder die Sicherung  der Daten durch Backups hätten fast alle Mittelständler umgesetzt.  

 

Die Schwachstellen verbergen sich jedoch  weniger im technischen Bereich als viel mehr in den Arbeitsabläufen. Bodino:  „Oft sind etwa für das Rückspielen der Daten keine hinreichenden Prozesse vorhanden: Ein Datenbackup existiert zwar, aber auf veralteten Bandgeräten und die Wiederherstellung dauert oft Stunden.“ Auch die fehlerhafte Synchronisation von Datenbanken führe oftmals zu Aussetzern im Geschäftsalltag der  Unternehmen. Um derartige Störzeiten zu vermeiden, trifft die Norm auch für die Verfügbarkeit von Datenbeständen genaue Regelungen.  

 

 

„Security ist kein rein technischer Aspekt,  der nur die Unternehmens-IT  etwas angeht. Es sollte vielmehr ein Top-down-getriebener Prozess sein“, meint Clemens Plieth, „Hierbei ist wichtig,  dass bereits das Management für sicherheitsrelevante  Aspekte sensibilisiert ist.“  Nur dadurch setze sich der Sicherheitsgedanke in allen Unternehmensbereichen  und bei allen Angestellten durch. Schließlich könnten sich auch vermeintlich unwesentliche Vorfälle im Nachhinein  als kritisch herausstellen. Angefangen  vom Putzpersonal, das zu später  Stunde unbeabsichtigt einem Eindringling  Zugang zu den Geschäftsräumen verschafft, bis hin zu wichtigen Geschäftsdokumenten, die in aller Vollständigkeit  im Altpapier landen und so  für jedermann einsehbar sind.  

 

„Nur wenn alle Mitarbeitern im  Unternehmen beim Thema Sicherheit  an einem Strang ziehen, kann ein Security-  Konzept greifen“, erklärt Plieth. So  stellte die Pironet NDH Datacenter bei  der Vorbereitung auf die ISO27001-Zertifizierung  beispielsweise fest, dass die  meisten Aspekte der ISO-Norm bereits  seit Jahren im Unternehmen gelebt werden.  Doch die umfassende Umsetzung des internationalen Standardwerks hat  auch für den ITK-Outsourcing-  Dienstleister und Cloud-Computing-Anbieter neue Aspekte mit sich gebracht.  Wenn beispielsweise eine  Schwachstelle in einem System vermutet  wird, sieht die Norm für sämtliche  darauf folgende Vorgänge von der Überprüfung der Software bis zur Problembehebung  eine genaue Dokumentation  vor. Der anfängliche Mehraufwand  entpuppt sich langfristig als positiv für den gesamten Geschäftsablauf: Ziel der Übung ist es, dass Unternehmen  aus Fehlern lernen und so  künftige Sicherheitslecks besser in den  Griff bekommen.

 

 

So effektiv die geforderten Strategien und  Maßnahmen der ISO-Norm auch sind:  „Für einen typischen Mittelständler sind  viele Anforderungen des Katalogs aus eigener Kraft heraus kaum zu leisten“,weiß Sicherheitsberater Bodino. So könnten die wenigsten IT-Abteilungen beispielsweise bei der Kontrolle wichtiger Änderungen an IT-Systemen das geforderte Vier-Augen-Prinzip anwenden. „Viele Mittelständler mit kleinen IT-Abteilungen sind bei der Umsetzung einer umfassenden Security-Strategie verglichenmit großen Konzernen oder spezialisierten Dienstleistern klar im Nachteil. Ihnen fehlen schlichtweg die personellen Möglichkeiten.“

 

Im Outsourcing ihrer IT sehen daher immer mehr Unternehmen die Chance, die Anforderungen seitens der Partnerfirmen und des Gesetzgebers umzusetzen. Gerade für den Mittelstand sind das insbesondere flexible IT-Bezugsmodelle wie Software as a Service und Cloud Computing. Nutzungsabhängige Ansätze bieten kleinen und mittleren Unternehmen einen investitionsschonenden Einstieg ins Outsourcing und einen Hebel für die Konsolidierung der eigenen IT-Landschaft. In den vergangenen zwei Jahren hat Bodino daher einen regelrechten Hype rund um das Thema Security festgestellt. Viele Firmen entschließen sich beispielsweise vermehrt dazu, ihre besonders empfindlichen Datenbestände von Profis verwalten zu lassen. So hat der Hamburger Security-Consultant kürzlich die Auslagerung von Teilen der IT-Struktur eines der führenden Textilservice-Unternehmen in Europa begleitet. Der Grund für die Auslagerung sei eindeutig der Security-Mehrwert des IT-Outsourcing-Dienstleisters Pironet NDH Datacenter gewesen.

 

„Jeder, der sich umfassend mit Sicherheitsaspekten auseinandersetzt, stellt schnell fest, dass Sicherheit kein lästiges Übel ist. Richtig umgesetzte Security-Strategien bringen in der Summe die gesamte Prozessqualität eines Unternehmens nach vorne“, so Clemens Plieth. Zudem führten weniger Ausfälle in der Unternehmens-IT automatisch zu weniger kostenintensiven Aussetzern in der gesamten Prozesskette des Unternehmens.

 

Mit der Normspezifiziert die Internationale Organisation für Normung (ISO) die Anforderungen an die IT-Sicherheit in Unternehmen. Die Norm umfasst 133 Kriterien. Hier ein gekürzter Auszug:

• Informationssicherheitsleitlinie: Das Management muss die Informationssicherheit innerhalb der Organisation aktiv unterstützen. Es muss eine Informationssicherheitsleitlinie genehmigen, veröffentlichen und alle Angestellten und relevanten Externe davon in Kenntnis setzen.
• Überprüfung der Informationssicherheit: Die Organisation zur Handhabung und Umsetzung der Informationssicherheit muss in regelmäßigen Abständen, von unabhängiger Seite überprüft werden.
• Sicherheit im Umgang mit Kunden: Alle identifizierten Sicherheitsanforderungen müssen berücksichtigt sein, bevor Kunden Zugang zu Informationen der Organisation gegeben wird.
• Sensibilisierung und Schulung für Informationssicherheit: Alle Angestellten der Organisationmüssen geeignete Sensibilisierungsmaßnahmen in Sachen Informationssicherheit erhalten und regelmäßig über organisationseigene Regelungen informiert werden. 
• Disziplinarverfahren: Für Angestellte, die einen Sicherheitsverstoß begangen haben, muss es ein formales Disziplinarverfahren eingeleitet werden.
• Zutrittskontrolle: Sicherheitsbereiche müssen durch angemessene Zutrittskontrollen geschützt sein. 
• Dokumentierte Prozesse: Die informationsverarbeitende Einrichtung muss Betriebsprozesse dokumentieren.
• Aufteilung von Verantwortlichkeiten: Die informationsverarbeitende Einrichtung muss Pflichten und Verantwortungsbereiche aufteilen.
• Aufteilung von Entwicklungs-, Test- und Produktiveinrichtungen: Entwicklungs-, Test- und Produktiveinrichtungen müssen getrennt sein, um das Risiko unbefugten Zugriffs oder Änderungen des Produktivsystems zu verhindern.
• Überwachung und Überprüfung der Dienstleistungen von Dritten: Die von Dritten gelieferten Dienstleistungen, Berichte und Aufzeichnungen müssen regelmäßig überwacht und überprüft werden, und Audits sollten regelmäßig durchgeführt werden.
• Auditprotokolle: Es müssen Auditprotokolle erstellt werden, in denen Benutzeraktivitäten, Fehler und Informationssicherheitsvorfälle festgehalten werden.
• Melden von IT-Sicherheitslecks: Informationssicherheitsereignisse müssen so schnell wie möglich über geeignete Managementkanäle gemeldet werden.
• Sicherstellung des Geschäftsbetriebs: In der gesamten Organisation muss ein gelenkter Prozess zur Sicherstellung des Geschäftsbetriebs entwickelt und aufrechterhalten werden.

 

JAN ERLINGHAGEN