Kommentar zur Lage der IT-Sicherheit in Deutschland 2011 vom BSI

Neue Erkenntnisse hat der Bericht zur Lage der IT Sicherheit in Deutschland 2011 wohl nicht gebracht. Trotzdem lohnt sich ein Blick in diesen Bericht. Insbesondere, da die meisten Sicherheitsrisiken hausgemacht sind und sich nicht alleine mit technischen Mitteln lösen lassen.

Nimmt man den Bericht der Bundesanstalt für Sicherheit in der Informationstechnologie und das zusammen, was ich als Geschäftsführer Tag täglich erlebe, so ist der Stand der IT-Sicherheit in Deutschland auf einem sehr niedrigen Niveau. Gerade in kleinen und mittelständischen Unternehmen wird IT-Sicherheit vielfach immer noch mit der Installation von Software zur Bekämpfung von Schadsoftware oder der Einrichtung von Firewalls gleichgestellt. Das diese Instrumente bei weitem nicht mehr ausreichen hat selbst die Bundesbehörde in Ihrem Bericht einräumen müssen. Originalton BSI: „Ein Virenschutzprogram allein bietet auf Grund der Masse der täglich neu verbreiteten Schadprogramvariationen keinen ausreichenden Schutz.“ Zitat Ende

Dabei sind die notwendigen Maßnahmen um einen ausreichenden IT-Grundschutz zu erlagen seit gut einem Jahrzehnt bekannt und werden trotzdem beflissentlich ignoriert. Selbst die Erkenntnis, dass das größte Risiko die eigenen Mitarbeiter darstellen, die entweder mutwillig oder aus Unwissenheit schwerwiegende Verstöße begehen, wird von Unternehmern nicht ernst genommen. Gründe hierfür lassen sich an einer Hand abzählen:

Planerische Mängel

IT-Strukturen sind historisch gewachsen. Bei Bedarf wurden neue Hard.- und Software beschafft. Somit haben die eingesetzten Systeme auch unterschiedliche Hard- und Softwarestände. Störungsmanagement und Veränderungsmanagement finden nicht statt. Rechner werden nur teilweise oder gar nicht mit Updates versorgt, da dieses oftmals die Arbeit stört und anschließend schlichtweg vergessen wird. Verkabelungspläne und Pläne für die Zugriffskontrolle liegen oft nicht oder auch nur unzureichend vor. Potentielle Angreifer haben hier leichtes Spiel, da Sie oft mit einer Kennung vollen Zugriff auf alle eingesetzten Systeme erlangen. Prinzipiell handeln die Unternehmer nach dem Motto: „Wir bauen ein Haus ohne Plan und Architekt.“ Ein Einsturz des Gebäudes wird billigend in Kauf genommen

Organisatorische Mängel

IT bedeutet im Grunde Organisation und Information auch mit OI abgekürzt. Spöttern übersetzen OI mit organisiertem Irrsinn. Aus IT-Sicherheitssicht ist fehlende Organisation und Information als hohes Risiko einzustufen. Externe Dienstleister werden viel zu spät informiert wenn Mitarbeiter das Unternehmen verlassen. Oft arbeiten auch viele unterschiedliche Dienstleister an den Systemen. Die einen arbeiten an den Betriebssystemen, während Drittanbieter ihre eigenen Applikationen pflegen und sich nicht um die Basis kümmern. Der Mitarbeiter ist mit der Organisation und Information der externen Dienstleister völlig überfordert. Bei Störungen schieben sich anschließend die externen Dienstleister gegenseitig den schwarzen Peter zu und der Unternehmer steht in der Mitte. Angreifer können sich dieses leicht zu eigen machen und sich in diesem Chaos leicht Zugriff zum gesamten Netzwerk auch ohne Hackerangriff verschaffen.

Falsche Einkaufspolitk

Unternehmer kaufen ihre IT nach dem Prinzip „Hier etwas und dort etwas, Hauptsache es kostet wenig!“ Das gleicht dem Versuch sich bei Ersatzteillieferanten die preisgünstigsten Ersatzteile für ein Auto zu besorgen und anschließend daraus einen funktionsfähigen Personenwagen durch eine Fachwerkstatt in Polen basteln zu lassen. Was beim Lieblingsspielzeug der Deutschen völlig normal ist, wird bei der IT durch eine Baumarktmentalität ersetzt und der IT-Markt gibt es her. Ein Computer vom Billigdiscounter ist bei aller Liebe eben kein PC-Arbeitsplatz. Die Bezeichnung Business-PC macht daraus auch keinen. Zu einem guten PC-Arbeitsplatz gehören neben sorgfältiger Planungen, guter Organisation, auch fortlaufende Administration der IT-Systemlandschaft. Versäumnisse können die gleichen existentiellen Folgen haben, wie der Versuch mit dem selbstgebastelten Wagen von München nach Hamburg zu kommen. Im schlimmsten Fall kostet sie die Existenz des Unternehmens.

IT-Kosten sind nicht bekannt und werden falsch Budgetiert.

Der Kostendruck zwingt natürlich zum Sparen. Sparen am falschen Ende kann aber auch bedeuten, die Existenz der eigenen Erwerbsgrundlage aufs Spiel zu setzen. Mitarbeiter werden ohne fachliche Qualifikation mit administrativen Aufgaben betraut, IT-Systeme werden immer länger betrieben, um längst fällige Investitionen zu sparen. Serviceverträge werden nicht abgeschlossen, um hohe monatliche Belastungen einzusparen. Die Masse der Unternehmen hat gar keinen Überblick, wie viel Ihre IT Kosten darf und wie hoch ihr jährliches Budget sein muss. Bei einer sauberen Kalkulation kommen pro PC-Arbeitsplatz Kosten von 150,00 bis 400 Euro im Monat, je nach Ausstattung, auf einen Unternehmer zu. Hier sind nicht die Kosten für Strom enthalten.

Informationsdefizite

Das Bewusstsein für die Gefährdungslage kommt immer erst, wenn es längst zu spät ist. Selbst Unternehmer in der IT-Branche gehen viel zu lasch mit dem Thema IT-Sicherheit um. Hier ist einfach festzuhalten, dass sich Unternehmensleitungen viel zu wenig mit diesem unternehmenskritischen Thema befassen. Jedes zweite Unternehmen muss nach einem IT-Sicherheits-GAU Insolvenz anmelden. Alle diese Insolvenzen könnten verhindert werden, wenn die Unternehmensleitung sich umgehend informiert hätte und die notwendigen Maßnahmen, die im BSI IT-Grundschutzkatalog beschrieben sind, auch durchgeführt hätte. Vielfach werden einfachste Maßnahmen, wie die Erzwingung starker Passwörter und deren regelmäßiger Wechsel wieder abgeschafft, weil Anwender der Meinung sind, das wäre viel zu kompliziert und aufwendig. Dies würde nicht passieren, wenn die Unternehmensleitung ausreichend über die Folgen informiert wäre.

Beratungsresistent

Ähnlich wie in der Finanzbranche hat die Bezeichnung Berater in der IT einen nicht besonders guten Ruf. Vielfach kann man Beratung mit Verkauf oder Dienstleistung gleichsetzen. Unternehmer kleiner Firmen neigen daher stark dazu, ihre Entscheidungen nach Gutsherrnart zu treffen und ernst gemeinte Ratschläge aus Kosten oder anderen Gründen in den Wind zu schießen. So wird z.B. beim Thema Cloud Computing gerne argumentiert, dass die Daten auf dem eigenen Rechner viel sicherer sind, als in der Cloud. Die Aussage ist genauso richtig wie die Behauptung, dass das Geld im Schlafzimmer sicherer aufbewahrt ist, wie in einem Banktresor. Den Datenklau bei Sony als Beispiel für die Gefahren des Cloud Computing heran zu ziehen, ist populistisch und fachlich ziemlich zweifelhaft. Cloud Computing ist sicherer als sein Ruf, zumal die meisten kleinen Unternehmen gar nicht über die finanziellen und fachlichen Voraussetzungen verfügen ihre Daten so abzusichern, wie es die Anbieter von Cloud Computing alleine schon zur Absicherung ihres Geschäft Models machen. Auch der viel gehörte Satz: „Ich weiß ja nicht was Google oder Microsoft dann mit meinen Daten machen“, ist bei genauerer Betrachtung Schwachsinn. Sie machen das übliche mit den Daten, speichern.

Der Einsatz von unabhängigen Beratern ist sicherlich nicht billig, schützt aber das Unternehmen vor falschen Entscheidungen, Schwachstellen ausfindig zu machen und Vorurteile gegenüber technischen Lösungen aus dem Weg zu räumen.

Fazit

Gerade im Bereich der kleinen und mittleren Unternehmen hat sich in Punkto IT-Sicherheit genauso wenig bewegt, wie im privaten Bereich. Wer glaubt nur große Konzerne wie Sony liegen im Fokus der Angreifer, irrt sich gewaltig. Das Risiko entdeckt zu werden ist zu groß. Bei kleinen Unternehmen und privaten Nutzern ist dagegen das Risiko entdeckt zu werden gleich null und somit die Chance gegeben, lange davon zu profitieren. Aus meiner Sicht wird es potentiellen Angreifern hier auch viel zu leicht gemacht, ihr Unwesen zu treiben. Das Problem ist oftmals auch nicht die Technik. Das Problem sitzt 30 cm davor und ist sich häufig seines Tuns nicht bewusst. Wie sensibel Unternehmen das Thema IT-Sicherheit nehmen, konnte ich 2008 erfahren. Jedes von mir angesprochene Unternehmen war immer bestens versorgt. Im Dezember 2009 konnte ich dann genau bei einem der angesprochen Unternehmen per Zufall feststellen, dass ein simpler Einbrecher alle Daten klauen konnte. Die Daten wurden nicht über das Netz gestohlen. Der „Hacker“ kam direkt durch die Tür!

Aus meiner persönlichen Sicht ist es auch wenig hilfreich, wenn sich IT-Sicherheitsspezialisten auf nationaler, europäischer und internationaler Ebene zusammenschließen, um in Hinterzimmern den Cyper-War zu führen. Auch wenn mit entsprechenden Gesetzten die Strafverfolgung versucht, der Kriminalität im Internet her zu werden – es ist einfach nicht möglich vor jede offene Haustür einen Polizisten zu stellen, um Einbrecher davor abzuhalten die Wohnungen auszuräumen. Es sind einfach zu viele!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.