Heutzutage sind in der Geschäftswelt nahezu alle denkbaren Prozesse von der Informationstechnologie (IT) abhängig. Man denke nur schon an die Textverarbeitung am Arbeitsplatz, die Buchhaltung, den Logistikbereich oder an die digitalisierten Datenbanken. Es erstaunt daher nicht, dass sich heutzutage in Deutschland so gut wie jedes Unternehmen der Informationstechnologie bedient.

Um dies näher zu veranschaulichen, soll auf die amtliche Statistik des "Statistischen Bundesamtes" hingewiesen werden die einen Teilaspekt der IT beleuchtet, nämlich die Nutzung des Internet. So ermittelte das "Statistische Bundesamt" erst im letzten Jahr (2005), dass 94 % aller Unternehmen in Deutschland (mit mindestens 10 Beschäftigten) einen Internetzugang besaßen (vgl. http://www.destatis.de/informationsgesellschaft/) und dabei 59% über eine eigene Website verfügten. Erstaunlich ist dabei nur, dass immer noch die meisten Unternehmen, nämlich 44 %, die Verbindung zum Internet mittels ISDN herstellten -eine letztlich überkommene Technik.

Bedeutung und die Risiken des Internets

Die enge Verzahnung von unternehmerischem Handeln und dem Einsatz von Informationstechnologie hat jedoch auch eine Kehrseite. So haben in so gut wie allen Fällen ernst zu nehmende Ausfälle oder Störungen der IT direkte Auswirkungen auf den jeweiligen unternehmerischen Erfolg.

Beispiel: Kommt es zu Ausfällen der Produktionssteuerung können vertraglich zugesagte Liefertermine nicht mehr eingehalten werden. Oder: Gehen unternehmenseigene Datenbestände verloren, kann dies zur Konsequenz haben, dass die betroffenen Unternehmen schlicht nicht mehr handlungsfähig sind und sowohl einen enormen finanziellen als auch zeitlichen Aufwand für die Datenrettung aufzubringen haben. Dies gelingt darüber hinaus bedauerlicher Weise in vielen Fällen nicht in vollem Umfang. Gerade das Internet schafft in diesem Zusammenhang eine enorme Gefahrenquelle für Unternehmen. Auch wenn das "Netz der Netze" mittlerweile für die Wirtschaft so gut wie unentbehrlich geworden ist, die Sicherheitsrisiken, denen sich jedes "angeschlossene" Unternehmen dadurch aussetzt, sind enorm.

So kursiert im Internet etwa die Nachricht, dass für den Fall, dass man einen ungeschützten Computer heutzutage ins WorldWideWeb stelle, dieser statistisch gesehen innerhalb von nur 2 Minuten verseucht sei, ohne freilich, dass man dabei "kritische" Websites besucht haben müsse. Dies kann jedoch vom Verfasser dieses eBooks nicht bestätigt werden, seine Erfahrungen waren andere ...

Exkurs - Selbstversuch des Verfassers

Im Folgenden nun eine Beschreibung des erst kürzlich vorgenommenen Versuchs des Verfassers, eine frische Windows XP Version (Service Pack 1) auf eine neue Festplatte zu installieren und damit anschließend ins Internet zu gelangen. Der Verfasser wurde dabei fast wahnsinnig ...

Installation und Vorbereitung

Der Verfasser installierte auf einer neuen, bisher unbenutzten Festplatte das Betriebssystem Windows XP Professional (Service Pack 1). Danach installierte er ein kostenlos erhältliches Firewall-Programm sowie ein Antiviren-Schutzprogramm.

Verbindung zum Internet

Als er nun die Verbindung zum Internet mittels eines DSL 16 anlegte, passierte folgendes:

• Ein paar Sekunden (!) nachdem er den Internet Explorer starte, meldete sein Virenscanner die ersten Trojaner, die sich auf seinem System niedergelassen hätten.

• Kurze Zeit darauf stellte das Firewall-Programm seinen Dienst ein. Es ließ sich daraufhin auch nicht mehr neu starten.

• Der Echtzeitscanner (engl. On-Access Scanner) seines Antivirenprogrammes deaktivierte sich. Der letzte Virus, den der Scanner erkannte, war die exe.Datei des (eigenen) Virenscanners. Diese wurde daraufhin automatisch gelöscht mit der Konsequenz, dass sich das Antiviren-Programm beendete und ab da an nicht mehr startbar war.

• Eine erneute Installation des Virenscanners oder der Firewall scheiterte daran, dass die entsprechenden Installationsprogramme auf einmal „corrupt" waren - wie sich Windows ausdrückte ...

• Der Versuch des Verfassers, eine spezielle Software zum Entfernen von "Würmern" herunterzuladen scheiterte. Der "Internet Explorer" weigerte sich, die entsprechende Datei downzuloaden. Der Verfasser nutzte daraufhin den Internet-Browser "Opera" und es gelang ihm tatsächlich die Software herunterzuladen. Nur, installieren ließ sie sich nicht, da sie anscheinend "corrupt" war, wie sich Windows äußerte ...

• Das Statusfenster des DSL-Zugangsproblem zeigte höchste permanente Aktivität an und zwar sowohl auf der Download- und der Uploadseite. Dabei war der Verfasser selber nicht im Internet aktiv.

Fazit: Dem Verfasser gelang es auch nach mehreren Versuchen nicht, sich mit dem oben erwähnten Betriebssystem ins Internet einzuloggen. Vielmehr wurde sein Computer bereits Sekunden nach dem Anschluss ans Internet mit schadensstiftender Software aller Art befallen mit der Konsequenz, dass der Verfasser innerhalb kürzester Zeit praktisch "entmündigt" wurde.

Sein Rechner agierte wie ferngesteuert bzw. reagierte nicht mehr auf die Befehle des Verfassers.

Sicherheitsprobleme nehmen zu!

Das Fachmagazin CIO ermittelte auf Grund einer Befragung3, dass die Zahl sicherheitsrelevanter Vorfälle in der IT-Welt immer weiter steigt. So stieg etwa die Zahl dieser Vorfälle allein im Jahr 2005 um 22 % gegenüber dem Vorjahr. Insgesamt blieben nur 36 % der befragten Betriebe von Sicherheitsproblemen verschont. Die übrigen Unternehmen registrierten zwischen einem und neun Vorfällen. Dabei gehen die mit Abstand meisten Sicherheitsprobleme (63%) auf das Konto von Hackern, denen es gelang, Viren auf Unternehmensservern zu schleusen. Darüber hinaus wurde jeder dritte Vorfall durch eigene Angestellte verursacht, ein Fünftel davon von ehemaligen Mitarbeitern.

Interessant dabei ist, dass von einem Viertel der Sicherheitsvorfälle die Verantwortlichen selber nicht wussten, wer oder was diese verursacht hatte. Dies wird durch die folgende Grafik verdeutlicht:

ABBILDUNG

Quelle: www.cio.de

Begriff der IT-Sicherheit

Angesichts der oben beschriebenen wachsenden Verwundbarkeit und der Gefahr massiver wirtschaftlicher Schäden in Folge von IT-Risiken wäre schon viel gewonnen, wenn sich flächendeckend in der Wirtschaft (gerade bei kleinen und mittelgroßen Unternehmen) und auch bei der öffentlichen Hand die Erkenntnis durchsetzen würde, dass der Sicherheit der eigenen IT-Infrastruktur ein hoher Stellenwert einzuräumen ist. Schließlich stellt sie heutzutage die Grundlage jedes unternehmerischen oder verwaltungstechnischen Handelns dar bzw. ist ein integraler Bestandteil jedes Planungs- und Steuerungsprozesses.

IT-Sicherheit bedeutet letztlich nichts anderes, als dass die ständige

• Verfügbarkeit,

• die Vertraulichkeit und

• die Unversehrtheit von Daten bzw. der Informationstechnik

zur Aufrechterhaltung der Geschäftsprozesse und der Abwehr von Schäden, gewährleistet werden muss. Diese drei Begriffe werden so gut wie immer erwähnt, wenn es um das Thema IT-Sicherheit geht. Im Folgenden soll nun geklärt werden, was damit im Einzelnen gemeint ist.

Verfügbarkeit der Daten

Mit diesem Schlagwort ist der Schutz vor Informationsverlusten oder gar dem Informationsentzug gemeint. Gerade die ständige Verfügbarkeit der vorhandenen unternehmenseigenen IT-Infrastruktur sowie der zugehörigen Datenbeständen bei Unternehmen wird immer kritischer, da so gut wie kein Geschäftsprozess mehr ohne IT-Unterstützung funktioniert.

Aus diesem Grund hat sich jedes Unternehmen zu vergewissern, ob das jeweils bei ihm eingesetzte IT-System tatsächlich in der Lage ist zu gewährleisten, dass

• das System bei einem autorisierten Zugriff zu jedem definierten Zeitpunkt in der gewünschten Art und Weise reagiert.

• das System bei nicht autorisierten Zugriffen unter allen Umständen verhindert, dass z.B. unbefugte Dritte von außen auf die Verfügbarkeit Einfluss nehmen.

Hinzu kommt: Immer mehr Unternehmen, gerade im Online-Bereich, sind zu jeder Tages- und Nachtzeit auf den Zugriff der unternehmenseigenen Datenbestände und damit auf eine möglichst störungsfreie IT-Infrastruktur angewiesen. Dies stellt wiederum eine enorme Herausforderung an die Wartung der Systeme dar und gerade hier ist es unerlässlich, sich vor möglichen Ausfällen durch Backup-Systeme und einer regelmäßigen Datensicherung abzusichern.

Unversehrtheit der Daten

Bei der notwendigen "Unversehrtheit der Daten" geht es darum, dass eine unautorisierte Informationsveränderung verhindert wird. Es muss hier sichergestellt werden, dass das eingesetzte IT-System in der Lage ist zu verhindern, dass:

• Informationen unerlaubt verändert werden oder

• Angaben, etwa zum Autor, verfälscht werden oder

• etwa der Zeitpunkt der Erstellung manipuliert werden kann.

Es muss sichergestellt sein, dass unternehmenseigene Daten und die sie verarbeitenden Systeme vollständig und unverändert bleiben. Dazu gehört auch, dass eine wie auch immer vorgenommene Veränderung der Daten sofort offensichtlich wird und nachvollgezogen werden kann.

Nur am Rande: Diese Forderungen erfüllt übrigens die gesetzliche "qualifizierte" elektronische Signatur.

Vertraulichkeit der Daten

Die Schutzrichtung Vertraulichkeit meint dagegen nicht den Schutz vor einer wie auch immer gearteten Datenmanipulation. Vielmehr geht es darum, dass ein unbefugtes Ausspähen unternehmenseigener Daten verhindert werden soll.

Hierbei spielt insbesondere das Thema Wirtschaftsspionage eine große Rolle, etwa

• wenn es um Angriffe von Wettbewerbern mit dem Ziel der Konkurrenzausspähung geht

• oder um fremde Nachrichtendienste, die im Rahmen der Wirtschaftsspionage tätig werden.

Gerade die Wirtschaftsspionage eigentlich befreundeter Staaten sollte nicht unterschätzt werden. So stellt es heutzutage kein Geheimnis mehr dar, dass entsprechende Dienste in Russland und der Ukraine gesetzlich dazu verpflichtet sind, die heimische Wirtschaft zu unterstützen, indem sie den Unternehmen des Heimatlandes Informationen beschaffen, die diesen sonst nicht oder nur mit erheblichem finanziellen Aufwand zugänglich wären. In diesem Zusammenhang soll auch nicht unerwähnt bleiben, dass man in Europa befürchtet, dass etwa die USA mit ihrem Spionagesystem Echelon systematische Wirtschaftsspionage zugunsten von US-Unternehmen betreiben.

Die immer weiter fortschreitende Technik, gerade im Bereich der IT, führt dazu, dass gerade die so genannten "Fernmelde- und elektronischen Aufklärung" im Rahmen der Wirtschaftsspionage eine immer größere Bedeutung spielt. Darunter hat man sich etwa das Abhören von Telefonen oder das Mitlesen von Fernschreiben, Faxen und anderen Datenströmen vorzustellen. Wirkungsvolle Gegenmaßnahmen lassen sich hier nur treffen, wenn das jeweils eingesetzte IT-System in der Lage ist, relevante und sensible Informationen tatsächlich nur den berechtigten Teilnehmern zugänglich zu machen. Ein unberechtigter Teilnehmer darf in einer automatisierungstechnischen Anlage eben keinen Zugriff auf übertragene oder gespeicherte Daten bekommen. Zumindest muss aber gewährleistet sein, dass er aus den erhaltenen Daten keine Informationen gewinnen kann, was wiederum beispielsweise durch Verschlüsselung erreicht werden kann.

Es darf nicht übersehen werden, dass sich gerade auf der Exklusivität jener Informationen, die als Betriebs- oder Geschäftsgeheimnisse das Resultat von Innovation und Investition darstellen, der wirtschaftliche Erfolg so manches Unternehmen gründet.