Den Schutz der Firmencomputer nehmen viele Familienunternehmer auf die leichte Schulter. Nur wenige leisten sich einen eigenen IT-Beauftragten, klagt Udo Helmbrecht, Präsident des Bundesamtes für Sicherheit in der Informationstechnologie. Das fehlende Bewusstsein für die digitalen Gefahren kann teuer werden.
SZ: Herr Helmbrecht, wie schätzen Sie momentan die Bedrohungslage im Internet ein? Udo Helmbrecht: In jüngster Zeit beobachten wir eine Zunahme von Angriffen mit Hilfe von trojanischen Pferden. Diese Schadprogramme werden millionenfach durch unerwünschte Spam-Nachrichten verteilt und erreichen auf diese Weise viele ungeschützte Rechner. Daneben gibt es gezielte Attacken gegen Unternehmen, um dort Informationen zu stehlen.
SZ: Gehören nach wie vor Jugendliche zu den Angreifern? Helmbrecht: Den jugendlichen Hacker, der eine Schwachstelle in einem IT-System aufdeckt, um in der Szene sein Fachwissen zu demonstrieren und Anerkennung zu erlangen, gibt es heute so nicht mehr. Die Szene ist jetzt von internationalen, kriminellen Strukturen geprägt, denen es um Geld geht.
SZ: Wer hat ein Interesse, Firmen über das Netz auszuspionieren?
Helmbrecht: Wirtschaftsspionage ist in der deutschen Industrie eine unterschätzte Gefahr. Vor allem die Hochtechnologieunternehmen im Mittelstand sind im Visier der Internetkriminellen. Kleinere und mittlere Firmen mit reichlich Wissen in den Bereichen Rüstung, Elektronik, Optik, Luftfahrt, Energie, Umwelt oder Auto sind beliebte Opfer. Die Angreifer kommen aus dem asiatischen Raum oder aus den Schwellenländern - und sparen sich auf diese Weise etwa Entwicklungskosten für neue Produkte.
SZ: Aber Wirtschaftsspionage gab es doch zu allen Zeiten.
Helmbrecht: Es war noch nie so einfach wie heute, die Daten zu speichern und zu verteilen. Früher musste ein frustrierter Mitarbeiter die neuesten Konstruktionszeichnungen zunächst umständlich kopieren und dann außer Landes schmuggeln. Heute reicht für den Geheimnisverrat eine E-Mail in den falschen Händen. Mit einem USB-Stick lassen sich nun mehrere Gigabyte an Daten auf kleinstem Raum aus einem Unternehmen schmuggeln. Und wer seine Festplatte auf dem betriebseigenen Laptop nicht verschlüsselt, trägt häufig genug die Firmengeheimnisse offen in der Tasche.
SZ: Wieso sind Unternehmen so nachlässig in Sachen IT-Sicherheit? Helmbrecht: Im Internet mangelt es vor allem an einer vernünftigen Sozialisierung. Es gibt viele Analogien zu dem Umgang mit vertraulichen Daten im wirklichen Leben. Niemand würde auf die Idee kommen, Betriebsinterna mit Bleistift auf eine Postkarte zu schreiben und diese für jedermann einsehbar zu versenden. Aber genau das passiert tagtäglich in Unternehmen in der elektronischen Kommunikation. E-Mails sind nichts anderes als das digitale Pendant zu einer Postkarte. E-Mails lassen sich vergleichsweise einfach auf der Datenautobahn abfangen und lesen. SZ: Wie können sich denn Mittelständler ohne eigene IT-Abteilung schützen?
Helmbrecht: Ins Bewusstsein muss zunächst rücken, dass IT-Sicherheit Chefsache ist. Das ist eigentlich eine Selbstverständlichkeit, schon mit Blick auf die gesetzlichen Bestimmungen, die den Geschäftsführer eines Unternehmens im Schadensfall in die Haftung nehmen. Dann gilt es, Grundregeln zu beachten: Pflicht sind eine Firewall zur Abwehr von Angriffen, ein Antivirenprogramm sowie das regelmäßige Auffrischen der vorhandenen Software. Auf diese Weise werden viele mögliche Schwachstellen frühzeitig ausgemerzt.
SZ: Gegen Angriffe von innen helfen Ihre Tipps aber nur bedingt.
Helmbrecht: Bei der Bedrohung durch unzufriedene Mitarbeiter gibt es ebenso die Analogie zum realen Wirtschaftsleben. Kein Unternehmer gewährt jedem Beschäftigten Zugang zu allen Aktenordnern. Bei vertraulichen Daten sollte auch geklärt sein, wer Einsicht nehmen darf.
SZ: Sollten die Firmen denn Sicherheitsfragen an Spezialisten auslagern?
Helmbrecht: Beim Outsourcing lautet die Frage, wie viel internes Knowhow ein Unternehmen nach außen geben möchte. Kleine und mittlere Firmen sollten sich am besten mit lokalen Beratungshäusern zusammensetzen. Klar ist: Die Verantwortung lässt sich nicht auslagern.