IT-Sicherheit Warten bis zum Datenklau

Auch wenn die Welt am Jahrestag der Terrorattacken auf die USA trauert - im Bewusstsein der deutschen Unternehmer haben sich Anschläge vom 11. September wenig niedergeschlagen. Sie investieren nicht in die Sicherheit ihrer Kundendaten - und die Hackerangriffe nehmen zu.

Hamburg - An mangelnden Schlagzeilen lag es nicht. "Hacker knacken den Bayerischen Landtag". Oder: "Kölner Stadtverwaltung kämpft mit Nimda-Virus". Mitte vergangenen Jahres lief über den Ticker: "Computervirus zielte auf Web-Site des Weißen Hauses."

Seit etlichen Jahren erhalten Regierungen, Behörden und Unternehmen immer neue Schreckenensmeldungen über Sicherheitslecks in Computersystemen. Und wenn Hacker sogar das Netzwerk von Microsoft knacken können, so geschehen im Oktober 2000, sollte das eigentlich zu Denken geben - auch in der freien Wirtschaft.

Seit den Terrorattacken vom 11. September 2001 zittert die Welt zudem vor möglichen Al-Qaida-Angriffen aus dem Cyberspace auf Kernkraftwerke und Staudämme. Positiver Nebeneffekt: Die Gesellschaft scheint für Sicherheitsfragen stärker sensibilisiert. Auch für die Viren und Würmer, die ganze Festplatten zerstören und in den Firmennetzwerken Tausende von Kundendaten vernichten, für Wirtschaftsspionage durch Netzwerk-Einbrüche via Internet und Datenklau.

Also: Die deutsche Wirtschaft investiert in Anti-Viren-Pakete, Verschlüsselungsprogramme, neue Identifizierungs- und Überwachungssysteme, um sich vor Angreifern aus dem Netz zu schützen? Falsch.

Deutschland hinkt hinterher

828 Datensicherheitsbeauftragte deutscher Unternehmen wurden in einer neuen Studie gefragt, wieviel sie in den vergangenen zwölf Monaten zusätzlich in Sicherheit investiert haben - und jedes dritte Unternehmen musste antworten: Gar nichts. Bei 60 Prozent der Unternehmen stagnieren die Budgets für die IT-Sicherheit oder gehen sogar zurück. Der im Auftrag der Unternehmensberatung Mummert + Partner erstellten Studie zufolge liegt Deutschland damit hinter den USA und Großbritannien klar zurück.

Dabei sind die Sicherheitslücken in deutschen Datennetzen für Unternehmen ein echter Verlustfaktor. Insgesamt 1,2 Millionen Tage sind die Computersysteme in deutschen Unternehmen im vergangenen Jahr aufgrund von Attacken auf die IT-Infrastruktur ausgefallen.

Sowie sie ihr Netzwerk ans Internet angeschlossen haben, sind Unternehmen generell angreifbar. In Deutschland besitzen fast zwei Drittel der Firmen eine Internetseite. Jedes zweite Unternehmen nutzt ein sogenanntes virtuelles privates Netzwerk (VPN), das interne Daten mit Hilfe des Internets verbreitet. Die Internetseite funktioniert dabei wie eine geöffnete Tür, die Hacker gerade dazu einlädt, das Firmennetzwerk aufzumischen - und die Cyberpiraten nahmen der Mummert-Studie zufolge die Einladung dankbar an.

Zeitmagel oder Überforderung?

Mehr als die Hälfte der befragten Firmen war demnach im vergangenen Jahr Opfer eines Angriffs. Die Auswirkungen: Anwendungsprogramme wie Word oder Excel funktionieren nicht mehr, das E-Mail-System streikt, das gesamte Netzwerk wird lahmgelegt oder - noch schlimmer - vertrauliche Daten werden gestohlen oder verschwinden - nicht selten an die Konkurrenzfirma.

Das wissen auch die Unternehmer. Datensicherheit genießt der Studie zufolge bei den Firmenlenkern höchste Prioriät. Doch die Verantwortlichen klagen schlicht über Zeitmangel: Die Datensicherheitsexperten in drei von vier Firmen fühlen sich überfordert, am laufenden Band die Firewall mit neuer Update-Software zu aktualisieren, neue Antivirensoftware zu installieren und das System zu warten. Mit der Firewall schottet sich bereits fast jedes Unternehmen von der Außenwelt ab. Die Mauer zwischen Firmennetzwerk und Internet prüft jedes Datenpaket, dass von außen eindringen will. Das klappt aber nur, wenn die Dateiart bekannt ist, und die erkennt die Firewall nur bei regelmäßigen Updates.

Computerkriminalität steigt stetig

Wer das Computersystem so gründlich pflegen will, braucht Zeit - und Geld. In mehr als der Hälfte der befragten Unternehmen ist das Budget für den IT-Sicherheitsbereich so begrenzt, dass die Firma den neuartigen Viren schutzlos ausgeliefert ist - das Management will oder kann nicht die teuren Updates bezahlen.

Das sollten sie aber, sagen Experten, denn die Computerkriminalität in Deutschland steigt an. Mindestens jede zweite Unternehmen ist schon Opfer von Saboteuren oder Hackern geworden, hat der Bundesverband Informationstechnik, Telekommunikation und Neue Medien (Bitkom) herausgefunden. Und die Dunkelziffer ist hoch. Hackerangriffe werden nicht als solche erkannt und zum Beispiel als technisches Problem fehlinterpretiert. Aber schon in drei Jahren werden neun von zehn deutschen Unternehmen von Angriffen auf ihre Computeranlagen berichten, prognostizieren IT-Sicherheitsexperten von Mummert und Partner.

Wenn die Unternehmen bis dahin überhaupt merken, dass sie angegriffen werden. Die wahre Zahl der kriminellen Attacken aus dem Cyberspace liegt noch weitaus höher, sagt Wilhelm Alms, Vorstandsvorsitzender von Mummert und Partner. Da komplette Ausmaß der Computerkriminalität werde erst dann sichtbar werden, wenn sich die Sicherheitskontrollen stark verbessern würden. Und Verbesserung scheint nötig, denn im Internet wird es immer gefährlicher.

Internet ist ein extrem gefährlicher Ort

Im vergangenen halben Jahr nahmen die Angriffe auf Organisationen im Internet um 28 Prozent zu. Beliebte Ziele waren die Webseiten von Technologie-, Finanz- und Energieunternehmen, hat die amerikanische Internet-Sicherheitsfirma Riptech festgestellt. "Das Internet ist ein extrem gefährlicher Ort, und die Attacken haben signifikant zugenommen", sagt Riptechs Vizepräsident Elad Yoran.

Was viele Manager zudem gar nicht wissen: Gelangen Hacker beispielsweise an vertrauliche Personaldaten, so drohen dem Arbeitgeber, der gesetzlich zu größter Sorgfalt beim Schutz dieser Informationen verpflichtet ist, erhebliche finanzielle und rechtliche Konsequenzen. Werden so wichtige Firmengeheimnisse veröffentlicht oder wandern gar zum Konkurrenten, ist schnell das Image zerstört, die Kunden weg und neue Aufträge nicht mehr in Sicht.

Und auch den Managern selbst kann es an den Kragen gehen: Wenn im Falle eines Hackerangriffs der Vorstand oder die Geschäftsleitung ihrer allgemeinen Sorgfaltspflicht nicht nachkommt und das Risiko eines Angriffs aus dem Netz minimiert, dann haften die Sicherheitsverantwortlichen selbst für entstandene Schäden. Zumindest die Sorge um sich selbst sollte für die Manager doch Motivation genug sein, künftig mehr in Sicherheit zu investieren. Dass möglicherweise vertrauliche Daten von Kunden in Gefahr sein könnten, scheint den deutschen Unternehmenslenkern ja bisher keine schlaflosen Nächte bereitet zu haben.

Hendrik Ankenbrand

Die Wiedergabe wurde unterbrochen.