IT-Sicherheit ist für viele noch ein Fremdwort
Der Mittelstand lebt gefährlich

Hubertus Soquat ist ernüchtert: "Die Aufklärung dauert wesentlich länger, als wir erwartet haben", räumt der Referent für IT-Sicherheit im Bundeswirtschaftsministerium (BMWI) ein. Aufgeklärt werden soll der Mittelstand - und zwar darüber, wie fahrlässig er häufig in Sachen IT-Sicherheit verfährt.

Derzeit seien nur etwa 20 % der rund 3,5 Millionen deutschen kleinen und mittleren Unternehmen bereit, ihre EDV-Anlagen mit entsprechenden Produkten zu schützen, sagt Soquat. Entsprechend mager fällt die Zwischenbilanz des im Frühjahr 2000 gestarteten ministerialen Info-Feldzugs "Sichere Internet-Wirtschaft" aus.

Großkonzerne haben die Gefahren dagegen längst erkannt, die von Würmern, Viren und Hackern ausgehen. Der westeuropäische Markt für IT-Sicherheit wird nach einer Hochrechnung des Marktforschungsinstituts IDC in den kommenden Jahren gewaltig wachsen. Von 1,8 Mrd. $ in 2000 sollen die Umsätze bei Firewalls, Krypto-Produkten und Biometrie-Lösungen auf über 6 Mrd. $ im Jahre 2005 steigen.

Nach einer Umfrage des BMWI haben aber nur 70 % des Mittelstandes das Problem im Blick - und vor den notwendigen Investitionen scheuten die meisten zurück. Zu einem ähnlichen Ergebnis kam die Befragung eines Panels aus IT-Managern der Marktforscher von Dialego im Auftrag von Handelsblatt Netzwert: 63 % der Befragten hielten ihr Unternehmen für unsicher in Sachen IT-Schutz, 75 % der Unternehmen waren innerhalb eines Jahres aber von Viren geplagt worden. Trotzdem steckte gerade mal ein Drittel der Firmen mehr als 5 % ihres IT-Budgets in Sicherheitsmaßnahmen.

BMWI-Experte Soquat gibt sich deshalb kämpferisch: "Wir müssen den Leuten in den Chefetagen klarmachen, dass es um ihre Existenz geht."

Fragt man die Sicherheitsfachleute der Unternehmen nach den Gründen der entspannten Einstellung, antworten sie - ohne zitiert werden zu wollen - mit der Nonchalance eines notorischen Schwarzfahrers: Das Risiko, "erwischt" zu werden, gilt als vergleichsweise gering, träte doch einmal ein Schadensereignis ein, wären die Einbußen wohl geringer als die Ausgaben für Präventivmaßnahmen.

Wie bedenklich diese Einschätzung ist, zeigt eine Anfang 2000 gemachte Untersuchung der UIMC Unternehmensberatung im Auftrag des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Durchschnittlich 6 000 kostete jedes Unternehmen ein Virenbefall. Bei den Verlusten für das größte in den zwei Jahren zuvor eingetretene Schadensereignis nannten die Befragten Summen zwischen 26 000 und 750 000 . Gar nicht zu quantifizieren sind die Folgeschäden durch Vertrauensverluste bei Kunden und Geschäftspartnern.

BMWI und die Industrie-Initiative D21 präsentierten unterdessen einen weiteren Baustein der staatlichen Unterstützung: Künftig sollen spezialisierte IT-Notfallteams nach dem Vorbild der US-amerikanischen "Computer Emergency Response Teams" (CERT) den Mittelständlern unter die Arme greifen und für Schadensbegrenzung sorgen. Die heute existierenden zehn nationalen CERT seien dazu personell und organisatorisch nicht in der Lage, heißt es in einer D21-Studie.

Als Dienstleister für "KMU-CERT" kämen sowohl etablierte Firmen in Betracht als auch solche, "die durch eine entsprechende Nachfrage motiviert werden, eigene Angebote zu entwickeln". Diese sollten, finanziert durch Sponsoren sowie die öffentliche Hand und koordiniert durch eine zentrale Instanz, eine vernetzte Infrastruktur bilden. Derlei Rückendeckung kommt der mittelständischen Wirtschaft sehr gelegen. So sind etwa Versicherungen für EDV-bezogene Schäden stark zurückgefahren worden. Die Rückversicherungen, verlautet aus dem Gesamtverband der deutschen Versicherungswirtschaft (GDV), sähen sich angesichts der immensen Schäden durch Computerviren in den vergangenen Jahren außer Stande, ihr Risikopotenzial zu überblicken. Gedeckt würden derzeit lediglich Attacken, die sich gezielt gegen einen Versicherungsnehmer richten.

Umso dringlicher sei der aktive Selbstschutz, meint Frank Schlottke, Geschäftsführer der IT-Beratung Applied Security (Apsec) aus dem hessischen Stockstadt: Die meisten Mittelständler lebten bis heute in einer "sicherheitstechnischen Diaspora". E-Security gelte den dortigen Entscheidern zu allererst als kostenträchtig, während ihnen ein betriebswirtschaftlicher Nutzen nicht ersichtlich scheine. Grund dafür sei fast immer fehlendes Fachpersonal, ohne das der individuelle Bedarf an Sicherheitslösungen und die entsprechenden Produktangebote nicht abgeschätzt werden können.

"Um keine Fehlentscheidungen zu treffen, verzichten viele Betriebe daher völlig auf jedwede Absicherung ihrer EDV-Anlagen", sagt Schlottke. Diese "fahrlässige Verharrungstendenz" stehe einer Verlagerung der Vertriebs- und Kommunikationskanäle auf das Netz im Wege und blockiere so oftmals die Einführung innovativer Geschäftsmodelle. Solche Firmen, davon ist der Sicherheitsfachmann überzeugt, könne man nur mit strikt bedarfsorientierten und kostentransparenten Beratungsmodellen erreichen.

Seine Berater verordneten dem Kunden daher "nur so viel Sicherheit wie nötig. Was er nicht braucht, muss er auch nicht bezahlen". Im Vordergrund stehe die Bedarfsermittlung, gekoppelt mit einer ausgiebigen Schwachstellenanalyse. Die Ergebnisse einer solchen fingierten "Hack-Attack" auf das Firmennetz (siehe auch S. 11) lieferten einen groben Rahmen für die benötigte Architektur, die dann herstellerunabhängig angepasst werde.

Eine Kostenlawine sei nicht zu befürchten, versichert Schlottke. Die Ausgaben eines Mittelständlers mit etwa 30 angeschlossenen Arbeitsplätzen für Beratung und Implementation von Basis-Komponenten wie Firewall, Anti- Viren-Software und E-Mail-Verschlüsselung bewegten sich "ohne weiteres noch im vierstelligen Bereich".

Serviceangebote
Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%