BIEG Hessen

No Risk – More Fun Wie sicher ist Ihre IT?

Träger des BIEG Hessen

1/5

Frankfurt am Main Fulda Hanau-Gelnhausen-Schlüchtern Offenbach am Main

BIEG Hessen

No Risk – More Fun

Unzureichende Investitionen in die IT-

Sicherheit kommen teuer zu stehen

„Informationssicherheit hat zum Ziel, die Ver-

arbeitung, Speicherung und Kommunikation

von Informationen so zu gestalten, dass die

Vertraulichkeit, Verfügbarkeit und Integrität

der Informationen und Systeme in ausreichen-

dem Maße sichergestellt werden“ – soweit die

Definition von IT-Sicherheit. Doch wie sieht die

Realität in deutschen Unternehmen aus? Man-

gelhafte Systeme fordern ihren Tribut und

ziehen teils existenzbedrohende Folgen nach

sich. Ob Reparatur- oder Wiederbeschaffungs-

kosten einzelner Komponenten, Stillstandskos-

ten, Ausfallzeiten oder Imageverlust – die

Bandbreite möglicher Schäden ist groß. In der

Regel handelt es sich um fünf bis sechsstellige

Beträge, hohe zweistellige Millionensummen

gelten als Obergrenze.

Wie groß der angerichtete Schaden für die Wirt-

schaft tatsächlich ist, lässt sich kaum abschät-

zen. Die Dunkelziffer – darüber sind sich die

Experten einig – ist sehr hoch. Jene Attacken, die

ihren Weg in die Schlagzeilen der Presse gefun-

den haben, spiegeln nur die Spitze des Eisbergs

wieder. Bei drohendem Vertrauens- und Image-

verlust geben die Unternehmen ihre Sicherheits-

pannen nur ungern bekannt. „Unser Netz ist

sicher“ oder „Bei uns ist noch nie etwas passiert“

sind oft gehörte Antworten. Doch bemerken die

betroffenen Unternehmen oftmals gar nicht, dass

sie angegriffen wurden. Denn die Tricks und Me-

thoden der Angreifer werden immer raffinierter.

Und so manches Unternehmen wiegt sich in

falscher Sicherheit. Vor allem dann, wenn die

Fähigkeiten der Angreifer unterschätzt werden.

Selbst erfahrene Netz- und Sicherheitsspezialis-

ten können nicht alles wissen und machen auch

gelegentlich Fehler.

Die Viren stellen dabei nicht die einzige Bedro-

hung dar, wenngleich es sich dabei nach wie vor

um das größte Einzelproblem handelt. Je abhän-

giger die Unternehmen von der IT werden, d.h. je

mehr Geschäftsprozesse über IT-Systeme und vor

allem über das

Internet abgewickelt werden, desto breiter wird

das Spektrum möglicher

Angriffsszenarien. Zu den bekanntesten gehören:

Das Einschleusen von Schadsoftware

(Malware) in Form von Würmern und Tro-

janern, die einen unautorisierten Zugriff

auf das IT-System erlauben.

Unerlaubtes Abhören von Informationen

wie Benutzerkennungen und Passwörtern

bei Authentifizierungen (Sniffing Attack).

Denial of Service Attack beschreibt einen

Angriff auf IT-Systeme mit dem Ziel, deren

Verfügbarkeit zu beeinträchtigen (häufig

durch Überlastung).

Der weit verbreitete Phishing-Attack

tarnt sich als scheinbar seriöse E-Mail, die

2/5

BIEG Hessen

auf einen Link verweist. Wird dieser ange-

klickt, installiert sich ein Hacker-Cooky,

das beispielsweise beim Online-Banking

die Zugangsdaten an den Hacker übermit-

telt.

Bei Spyware & Adware handelt es sich um

Spionage-Programme, die Informationen

über den Rechner oder bestimmten Daten

des Anwenders an Dritte übermitteln.

Virenscanner und Firewall reichen längst nicht

mehr aus, um dieser quantitativ wie qualitativ

zunehmenden Bedrohung Herr zu werden. Hinzu

kommt, dass die böswillige Bedrohung nicht die

einzige Gefahrenquelle ist, der sich IT-Systeme

ausgesetzt sehen. Von vielen Experten als die

weitaus größere Gefahr eingestuft, sind die „un-

beabsichtigten“ Bedrohungen im digitalen Zeital-

ter: Technisches Versagen lässt Rechner abstür-

zen, es kommt zur Netzüberlastung oder Daten-

träger sind defekt. Unregelmäßige Backups, feh-

lerhaftes bzw. fehlendes Passwortmanagement

oder mangelhaftes Notfallmanagement lassen

sich auf organisatorische Mängel zurückführen.

Unzureichende Qualifikation, Bedienungsfehler,

Unachtsamkeit oder Stresssituation sind Beispie-

le für menschliches Versagen. Und schließlich

kann höhere Gewalt wie Feuer, Wasser, Staub

oder Blitzeinschlag ebenfalls erhebliche Schäden

anrichten.

Dies macht deutlich, dass nur ein individuell für

das Unternehmen ausgearbeitetes, umfassendes

Sicherheitskonzept das richtige Fundament für

das erforderliche

Sicherheitsniveau bilden kann. Doch genau hier

drückt der Schuh – vor allem bei den kleinen und

mittelständischen Unternehmen. Jüngsten Stu-

dien zufolge räumen diese aufgrund begrenzter

Ressourcen anderen geschäftlichen Aktivitäten

eine höhere Priorität ein. Der Faktor Zeit, knappe

Budgets sowie die zunehmende Komplexität der

Materie erschweren eine gründliche Auseinan-

dersetzung mit dem Thema. Zumindest solange,

bis es kracht. Erst wenn der Schaden eingetreten

ist, wird gehandelt und die eigene Sicherheitsla-

ge analysiert. Präventive Maßnahmen sind aber

die effektivere und auf lange Sicht kostengünsti-

gere Methode.

Großen Nachholbedarf sehen die Experten vor

allem bei den schriftlich dokumentierten Sicher-

heitsrichtlinien, die leider immer noch die Aus-

nahme bei kleinen und mittleren Unternehmen

darstellen. Dort werden unter anderem Verant-

wortlichkeiten inklusive Vertretungsreglungen

sowie Kommunikationswege dokumentiert. Zu-

dem hilft ein Verhaltenskodex, der den Umgang

mit Daten für alle verbindlich regelt. Denn häufig

geht die Gefahr von den eigenen Mitarbeitern

aus, wenn Nachlässigkeiten und Unwissenheit

um sich greifen. Die Mitarbeiter müssen für das

Thema, beispielsweise durch Schulungen, sensi-

bilisiert werden, sonst bleiben die teuersten In-

vestitionen in die Abwehr externer Bedrohungen

wirkungslos.

3/5

BIEG Hessen

Dies alles ist kein Projekt, das irgendwann abge-

schlossen werden kann. Sondern vielmehr ein

komplexer, fortwährender Prozess, der die eigene

Sicherheitslage immer wieder analysiert, eventu-

elle Lücken identifiziert und das eigene Sicher-

heitskonzept entsprechend auf dem neuesten

Stand hält. Keine Frage, für IT-Sicherheit muss

etwas getan werden. Aber der Aufwand lohnt

sich, denn er spart Zeit, Geld und schont die

Nerven.

Autor: Daniel Weichert BIEG Hessen daniel.weichert@bieg-hessen.de

4/5

BIEG Hessen

Für was steht BIEG Hessen?

BIEG Hessen steht für Beratungs- und Informationszentrum Elektronischer Geschäftsverkehr. Das BIEG

Hessen ist eine gemeinsame Einrichtung der Industrie- und Handelskammern Frankfurt am Main, Fulda,

Hanau-Gelnhausen-Schlüchtern und Offenbach am Main. Wir sind eines der Kompetenzzentren, die vom

Bundesministerium für Wirtschaft und Technologie gefördert werden.

Aufgaben des BIEG Hessen

Das BIEG Hessen hat zur Aufgabe, kleine und mittlere Unternehmen aller Branchen auf dem Weg zu In-

ternet und E-Business neutral zu unterstützen. Wir verstehen uns als Plattform für Anbieter und Nach-

frager und wollen dazu beitragen, dass Barrieren abgebaut und Chancen aufgezeigt werden. Das BIEG

Hessen ist eine Anlaufstelle für Unternehmer sowie Kommunikator und Koordinator für den elektroni-

schen Geschäftsverkehr.

BIEG Hessen Börsenplatz 4 60313 Frankfurt am Main Telefon 069 2197-1380 Telefax 069 2197-1497 info@bieg-hessen.de Auf unsere Internetseite www.bieg-hessen.de finden Sie weitere Leitfäden, Checklisten und Fachartikel zu den Themen Internet und E-Commerce.

5/5