IT-Security im Büro
Automatische Sicherheitssysteme werden immer perfekter

DÜSSELDORF. Wer beim Thema IT-Sicherheit im Büro in erster Linie an Hacker denkt, liegt falsch: Unzufriedene oder ehemalige Mitarbeiter sind laut einer Studie der Wirtschaftsprüfer KPMG dreimal häufiger für Sicherheitsverletzungen in Unternehmen verantwortlich als externe Datenspione. Wer im Büroalltag mit sensiblen Daten arbeitet, sollte also mehr tun, als sich nur auf Firewalls, Antivirensoftware und andere Software-Werkzeuge der IT-Verantwortlichen eines Unternehmens zu verlassen.

Softwarehersteller bieten eine Vielzahl von Funktionen in ihren Programmen, die Büroanwendern dabei helfen, Daten für Unbefugte unzugänglich zu machen. Alle modernen Betriebssysteme bieten etwa die Möglichkeit, Bildschirmschoner zu aktivieren, die Arbeitsoberflächen verdecken und sich nur mit Eingabe eines Passworts wieder schließen lassen. Wer sich für einige Minuten vom Arbeitsplatz entfernt, kann sicher gehen, dass Neugierige weder Daten einlesen noch mit seinen Zugriffsrechten im Netzwerk arbeiten.

Auch der Einsatz von Verschlüsselungssoftware sollte zum Alltag gehören. Mit ihr kann verhindert werden, dass Unbefugte Zugriff auf sensible Daten haben, falls ein Laptop verloren geht oder sich jemand Zugang zum Bürorechner verschafft. Für die elektronische Geschäftspost ist Verschlüsselung ebenfalls ein Muss, obwohl heute nur ein Bruchteil aller Anwender solche Programme benutzt. Unverschlüsselte E-Mails sind beinahe so leicht für Unbefugte mitzulesen wie eine Postkarte. Und auf der würde wohl kaum jemand relevante Geschäftsinformationen versenden.

Der E-Mail-Kodierer Pretty Good Privacy ist das bekannteste dieser Verschlüsselungsprogramme und auf jeder Plattform einsetzbar. Ein weiteres, den GNU Privacy Guard (GnuPG), gibt es für Linux- und andere Unix-Rechner. Dank der Unterstützung durch das Bundesministerium für Wirtschaft und Technologie ist die Software jetzt auch für Windows-Rechner erhältlich.

Ein Programm wie Disappearing Mail schützt vor bösen Überraschungen, wie sie Microsoft-Chef Bill Gates erlebte: Er bekam vor einem amerikanischen Gericht seine eigenen E-Mails mit Strategiepapieren und Memos als Beweismittel für die Monopolpolitik des Redmonder Software-Konzerns vorgehalten. Disappearing Mail verknüpft alle elektronischen Briefe mit einem Verfallsdatum. Nachdem es überschritten ist, werden sie unwiederbringlich gelöscht und können nicht in falsche Hände fallen - selbst wenn der Empfänger oder der Sender sorglos mit ihnen umgeht.

Für übertrieben hält Dr. Ralf Röhrig, Leiter des Bereichs Security Services bei der TÜV Secure IT GmbH in Köln, solche Maßnahmen nicht: "Wer nur den Putzplan verwaltet, muss sich keine Gedanken machen. Wer aber Umsatzzahlen oder Gehaltslisten auf seinem Rechner hat, trägt eine Verantwortung, der er gerecht werden muss." Gehen Daten verloren oder gelangen sie nach Außen und richten Schaden an, ist unter Umständen auch der haftbar, der dies durch Fahrlässigkeit ermöglicht hat. Dr. Joachim Schrey, Partner der Sozietät Pünder, Volhard, Weber & Axster in Frankfurt, betont: "Das Haftungsrisiko der IT-Verantwortlichen - vom Vorstand, Geschäftsführer, Behördenleiter oder IT-Manager - ist weit reichender, als dies weithin angenommen wird."

Laut der Unternehmensberatung Frost & Sullivan wurden im letzten Jahr im Bereich IT-Security 524,6 Millionen US-Dollar umgesetzt, 2007 sollen es 3,13 Milliarden US-Dollar sein. Wichtiger als der Kauf von Software ist aber laut TÜV-Experte Röhrig ein durchgängiges Konzept zur Datensicherheit, das eine Schwachstellen- und Prozess-Analyse einschließt. "Wer steuert den Einsatz der Komponenten? Wie ist gewährleistet, dass der Virenscanner aktualisiert wird? Diese Fragen müssen beantwortet werden", fordert er. Oft sei eine einfache Schulung über den sensiblen Umgang mit Dateien, die an E-Mails angehängt werden, effektiver als die teuerste Antivirensoftware. Entscheidend sei, alle Mitarbeiter von der Notwendigkeit eines Sicherheitskonzepts zu überzeugen. Röhrig: "Man kann nicht Leute wahllos zur Benutzung von Bildschirmschonern verdonnern, und die beste Verschlüsselungssoftware ist witzlos, wenn Leute ihre Schlüssel weitergeben. Man muss die Köpfe der Leute erreichen." Auch Stephen Wolthusen vom Fraunhofer für Graphische Datenverarbeitung-Institut (IGD) in Darmstadt sagt: "Die technische Seite wäre eigentlich nicht das Problem, sondern die vorherrschende Einstellung, dass es schon irgendwie schief gehen wird."

Weil der Faktor Mensch erst viele Sicherheitslücken schafft, geht die Tendenz bei den Herstellern immer mehr zu automatischen Sicherheitssystemen, die den Nutzern gar keine Chance lassen, etwas falsch zu machen. Wer nicht regelmäßig daran denkt, Sicherungskopien anzufertigen, kann sich beispielsweise auf eine Lösung von Riodata verlassen. Das Softwarehaus aus Mörfelden-Walldorf bietet ein Online- Backup-System für Mittelständler an, das die Datensicherung per Mausklick im Internet ermöglicht. Alle Daten werden auf den Riodata-Rechnern sicher vorgehalten und automatisch kopiert. Auch das Team am IGD hat ein automatisiertes Sicherungssystem entwickelt: Das Cryptographic Intellectual Property Rights Enforcement System (Cipress). Mit Cipress sind Sicherheitsadministratoren in der Lage, die Verwendung von analogen Kopien der Daten zu verfolgen, um Lecks auf die Spur zu kommen. Cipress bettet in Konstruktionszeichnungen oder Fotos nicht wahrnehmbare digitale Wasserzeichen ein, die es erlauben, die Herkunft der Daten zu rekonstruieren.

Serviceangebote
Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%