Handelsblatt

MenüZurück
Wird geladen.

01.02.2002

00:00 Uhr

Sicherheit sollte Chefsache sein

Internet-Sicherheit: Achtung Schadenersatz

In den meisten Unternehmen sind der Technik-Chef oder der Netzwerk-Administrator für die IT-Sicherheit verantwortlich. Doch die Sicherheit sollte absolute Chefsache sein, sagt Herbert Ferger, Hauptgeschäftsführer der Industrie- und Handelskammer zu Köln.

Von Anja Kühner

"Sicherheit berührt die Substanz der Unternehmen", betont Ferger. Die Geschäftsführung einer GmbH ist dafür verantwortlich, wenn beispielsweise über einen Firmencomputer Viren weitergegeben werden. "Das kann so weit führen, dass die GmbH Schadenersatz zahlen muss", sagte er auf der Auftaktveranstaltung der Interessengemeinschaft sicher vernetzte Wirtschaft in Köln. Die Schadenersatzpflicht ist in § 43 II GmbH-Gesetz verankert und tritt ein, wenn der Geschäftsführer nicht darlegen kann, dass in seinem Unternehmen ein ausreichendes Sicherheitskonzept erarbeitet wurde und angewandt wird. Notwendig ist eine klar ausgesprochene Zuständigkeit für die Netzwerk-Sicherheit.

Ob Viren-Angriffe, Wirtschaftsspionage, Datenverlust oder boshafte oder ungewollte Schäden durch eigene Mitarbeiter - die Palette der möglichen Problemquellen ist breit gefächert. Wurden noch vor einem Jahr die absolute Mehrzahl der Sicherheitsprobleme in Unternehmen von den eigenen Mitarbeitern verursacht, so hat sich inzwischen mit der zunehmenden Gefährlichkeit von "Würmern" im Stile des "I-Love-You-Virus" das Blatt gewendet. "Inzwischen sind wir bei einer 50-50-Bedrohung von Innen und Außen angelangt", berichtet John von Simson, Geschäftsführer des auf IT-Sicherheit spezialisierten Kölner Unternehmens BDG.

Absolutes "Muss" ist daher die Einrichtung einer Firewall, sind sich Sicherheitsexperten einig. Empfohlen wird auch eine verschlüsselte Kommunikation zwischen den verschiedenen Standorten eines Unternehmens. "Ein Betrieb, der das Thema IT-Sicherheit ernst nimmt, sollte sich eine Security-Policy zulegen", rät von Simson. Dazu gehöre auch die regelmäßige Überprüfung von E-Mail-Verteilerlisten. Als Beispiel führt der Sicherheitsexperte ein Unternehmen an, dessen Ex-Angestellter sich mit einer Konkurrenzfirma selbstständig gemacht hat. Er hatte sich vor seinem Ausscheiden auf die E-Mail-Verteiler "info@...", "beratung@..." und "service@..." gesetzt und hatte so - auch nach dem Verlassen des Unternehmens - Zugang zu Kundenanfragen. Diesen potenziellen Kunden sendete er von seiner eigenen Firma Angebote zu - und schadete dadurch seinem ehemaligen Arbeitgeber nicht unerheblich.

"Ein Unternehmen sollte sich zumindest überlegen, wie es mit der IT-Sicherheit auch intern umgeht und ob firmeninterne Anweisungen gegeben werden", mahnt von Simson. Seiner Meinung nach sollten folgende Fragen beantwortet werden:

1) Gibt es Passwort-Richtlinien? Ein Passwort sollte mindestens acht Zeichen lang sein und nicht in einem Wörterbuch erscheinen. Wie oft soll es geändert werden? Keinesfalls dürfen Passwörter mit einem Zettel unter die Tastatur geklebt werden - ebensowenig wie die PIN-Nummer eines Firmenhandys im Akku-Fach notiert werden sollte.

2) Dürfen private Disketten und CDs mitgebracht werden?

3) Sind private E-Mails zulässig? Diese Frage ist relevant im Zusammenhang mit möglicherweise eingesetztem Content-Mapping und der Auswertung von Logfiles. (Ist ein Betriebsrat im Unternehmen, so ist dieser Punkt gemeinsam mit ihm zu erarbeiten. Es können Betriebsvereinbarungen abgeschlossen werden.)

4) Ist das private Surfen im Internet vom Arbeitsplatz aus erlaubt?

5) Ist Home-Banking und Online-Shopping erlaubt?

6) Ist der Anschluss eines privaten Modems zulässig?

7) Sollen die Mitarbeiter Software aus dem Internet herunter laden dürfen?

8) Werden Desktop-Virenschutzprogramme zentral oder dezentral durchgeführt? Müssen die einzelnen Mitarbeiter selbst die Updates der Anti-Viren-Software durchführen?

9) Wie soll bei Virenbefall vorgegangen werden? Wer ist zu benachrichtigen? Oft werden beim unfachgemäßen Beseitigen von Viren mehr Schäden verursacht als durch den Virus selbst.

10) Wie soll mit unbekannten Daten-Anhängen an E-Mails verfahren werden?

11) Unbedingt sollte ein Hinweis auf das sogenannte "Social Engineering" erfolgen: Kollegen bieten an, bei Problemen zu helfen, erfragen dazu aber das individuelle Passwort - und in den meisten Fällen erhalten sie es auch. Häufig jedoch haben die Mitarbeiter ein derartiges Vertrauen zu ihren Kollegen, dass sie das eigene Passwort danach nicht ändern.

"Eine 100-prozentige Sicherheit wird es auch bei sorgfältigstem Umgang mit der IT-Sicherheit nicht geben", ist von Simson allerdings überzeugt.

Mittlerweile haben sich auch die Industrie- und Handelskammern das Thema Internet-Sicherheit auf die Fahnen geschrieben. Die Kammer Köln konzipiert - stellvertretend für alle anderen IHKs - ein Internet-Sicherheitsportal und bereitet das Thema Sicherheit im Internet insbesondere für kleine und mittelständische Unternehmen auf. "Das Portal soll nach der Cebit online gehen", sagt Elisabeth Slapio, IHK-Geschäftsführerin für Informations- und Kommunikationstechnik. Unter anderem werden Checklisten, Hinweise auf kostenlose Software und verschiedene Kostenszenarien zusammengestellt. "Sicherheit muss nicht sehr teuer sein", ist Slapio überzeugt.

Direkt vom Startbildschirm zu Handelsblatt.com

Auf tippen, dann auf „Zum Home-Bildschirm“ hinzufügen.

Auf tippen, dann „Zum Startbildschirm“ hinzufügen.

×