Russisches Roulette im Rechenzentrum

Die Bedrohungssituation für die IT der Unternehmen ist ständig in Bewegung, denn leider wächst die Raffinesse der Angreifer parallel mit der der Verteidiger. So beobachtet etwa Michael Hoos, Technischer Direktor Central EMEA beim Security-Spezialisten Symantec: „Der Druck von außen und innen auf die strukturellen Schwachpunkte im Unternehmensnetz nimmt zu. Und es werden täglich mehr Schwachpunkte: fehlende oder alte Backup- und Disaster-Recovery-Konzepte, die moderne virtuelle Plattformen und damit oft wichtige Produktionsdaten nicht einbinden; wichtige E-Mails, die nicht archiviert werden; Computer und Notebooks, auf denen moderne mehrstufige Security-Tools fehlen; verwahrloste Rechner und Server, die weder gepflegt noch mit den jüngsten Patches versorgt werden.“

Die Zahl der Angreifer wächst auch dadurch, dass die Anforderungen an Intelligenz und Wissen für kriminelle Attacken offenbar sinken, wie Dennis Monner, Vorstandsvorsitzender der gateProtect AG erklärt: „Zwar ist allgemein bekannt, dass sich Internetkriminalität auf einem regelrechten Internet-Schwarzmarkt organisiert hat. Neu ist, dass sich offenbar immer mehr klassische Verbrecher mit geringem technischen Know-how ins Netz wagen.“

Trotz knapper Budgets raten alle Sicherheitsexperten daher den Betrieben, das Thema ganz oben auf der Prioritätenliste zu halten und nötige Investitionen nicht zurückzustellen. An technischen Lösungen mangelt es also nicht. Ein Problem liegt eher in der Fahrlässigkeit der Betriebe. Noch immer gibt es im Mitteltand zu wenig Disaster Recovery-Strategien, noch immer sind die Vorkehrungen gegen Datenverlust nicht ausreichend, noch immer wird zu sorglos mit der Zugriffsberechtigung auf sensible Daten umgegangen. Isabell Unseld, McAfee PR Manager CEWE, warnt daher vor trügerischer Sicherheit: „Viele Mittelständler folgen dem Gefühl, dass man ‚die richtigen Vorkehrungen getroffen hat und keine übertriebene Sicherheitsarchitektur aufbauen muss'. Eine Studie von McAfee, bei der rund 900 mittelständische Betriebe in neun Ländern befragt wurden, zeigt allerdings, dass Firmen, die bis zu 500 Mitarbeiter haben, weit mehr Cyberattacken zu verzeichnen hatten als große Unternehmen.“ Und Christian Wirsig, Communications Manager beim Konkurrenten Kaspersky Lab, stimmt zu: „Die Sicherheitslage im Mittelstand ist leider nicht so gut wie sie sein sollte. Kleine und mittelständische Firmen unterschätzen oft die Gefahr, die von Spionagewürmern, Keyloggern oder anderen Bedrohungen ausgeht. Denn die Bedrohungslage unterscheidet sich kaum von der eines Großunternehmens.“

König Kunde nimmt's übel

Über die Folgen von Datenverlusten und anderen IT-Störfällen für ein Unternehmen herrschen immer noch zu optimistische Einschätzungen vor, wie eine Studie zeigt, die im Auftrag von Symantec im August und September 2009 von Applied Research durchgeführt wurde. Befragt wurden IT-Verantwortliche in kleinen und mittelständischen Unternehmen. Sie sollten den Zustand und den Einfluss ihrer Desaster-Notfallpläne, deren Stellenwert sowie die Umsetzung näher beleuchten.

Viren, Hackerangriffe, Stromausfälle oder Naturkatastrophen: Die Ergebnisse der Untersuchung zeigen, dass die befragten KMUs alleine in den vergangenen zwölf Monaten durchschnittlich drei IT-Ausfälle zu vermelden hatten. Ausfälle, durch die bei rund 42 Prozent der Befragten der IT-Betrieb für acht Stunden und länger still stand. Im Schnitt entstand den Betroffenen ein Schaden von 15.000 Dollar, einer von vier Befragten hat dabei sogar wichtige Daten verloren.

Bei der Frage, wie gut vorbereitet sie sich für den Fall einer IT-Störung fühlen, geben 66 Prozent der deutschen Unternehmen an, dass sie sich geschützt bis sehr geschützt fühlen. Ein alarmierendes Ergebnis, denn die Hälfte dieser KMUs gibt gleichzeitig an, noch nicht zu wissen, wie sie in einem solchen Fall reagieren sollten.

Die meisten Betriebe gehen davon aus, dass solche Vorfälle nur interne Folgen auslösen und ihre Kunden darauf mit Verständnis und Geduld reagieren. Besonders die deutschen KMUs sind extrem zuversichtlich. Keines der befragten Unternehmen hierzulande meint, dass sich seine Kunden im Ernstfall nach Alternativen umsehen oder gar zur Konkurrenz wechseln würden. Weltweit fürchten immerhin 34 Prozent der Studienteilnehmer diese Schritte. Dabei wirkt sich das riskante Verhalten gerade besonders auf die Kunden aus. Wie die Studie herausfand, sind 42 Prozent der Befragten bei einem Vorfall im Netz ihres bevorzugten Anbieters zur Konkurrenz gewechselt. 63 Prozent sagten, dass die IT-Ausfälle dem Ansehen ihres Anbieters geschadet hätten. Lascher Umgang mit der IT-Sicherheit gefährdet den Unternehmenserfolg - was eigentlich eine Binsenweisheit sein sollte, ist schockierenderweise immer noch nicht in ganzer Tragweite erkannt.