Haudegen der IT-Branche kennen sie: Jahr für Jahr, Monat für Monat, Tag für Tag überbieten sich vor allem die Hersteller von Antivirensoftware mit Hiobsbotschaften. Mal sind es Passwörter, die zu schwach sind. Dann sind es wiederum die bösen Mitarbeiter, die allzu leichtfertig mit ihren mobilen Geräten umgehen. Und auch die Server, auf denen das Unternehmen beispielsweise Kundendaten liegen hat, seien zumeist offen wie Scheunentore, mahnen die Security-Spezialisten. Sei es mal dahingestellt, ob die gewissermaßen als Evergreens publizierten Studien dieser Art tatsächlich so hundertprozentig stimmen, allein die Herangehensweise an das Problem irritiert. Das ist ja so, als ob die Polizei tagtäglich vor der Unsicherheit in unserem Lande warnen würde.
Allerdings besteht aber auch überhaupt kein Anlass, die Sicherheitslage vor allem bei kleinen und mittelständischen Unternehmen zu relativieren. Denn wenn man sich dem Problem einfach mal aus einer anderen Perspektive nähert, wird dessen Bedeutung umso plausibler. Die Bedrohungslage ist faktisch da, man muss sie gar nicht erst dramatisieren, sie muss schlicht als alltägliche Selbstverständlichkeit hingenommen werden. Genauso wie man sich im Auto anschnallt, wenn man auch nur mal eben Brötchen holt, oder am Abend das Haus abschließt, obwohl man nur auf ein Bier in die Stammkneipe geht. Das heißt: Sicherheitsprävention im Alltagsleben ist anerkannt, ist Standard, ist uns in Fleisch und Blut übergegangen.
Was aber bedeutet diese Haltung für die IT? Erstes Beispiel: Heartbleed. Auch wenn die Webseiten-Sicherheitslücke offensichtlich wenigergravierendist, als man im ersten Augenblick angenommen hat, so ist doch ihr bloßes Erscheinen eine Katastrophe. Galten Webseiten mit dem SSL-Symbol in der Browser-Leiste, unabhängig vom genutzten Standard, zumindest für den Durchschnittsanwender nicht über Jahrzehnte als sicher? Und – seien Sie bitte an dieser Stelle ehrlich! – haben nicht auch Sie bedenkenlos alle möglichen Daten in Seiten dieser Art „reingehackt“, weil sie ja vermeintlich so unglaublich safe sind? Diese Annahme ist nicht erst seit Heartbleed ein Trugschluss, dafür bürgt allein die Firma „Guck und Horch“ ausFort George G. Meade.
Zweites Beispiel: Passwörter. Auch hier bestimmenMythendie Diskussion: „Ich habe drei Zahlen und zwei Sonderzeichen in meinem Passwort, mir kann keiner was!“ Eindrucksvoll bewiesen aber Experten des Chaos Computer Clubs unlängst, dass auch vermeintlich sichere Passwörter durchaus knackbar sind, und machten darüber hinaus deutlich, dass die Passwortlänge ein entscheidendes, vielfach unterschätztes Kriterium ist.
Mit anderen Worten: Wir wissen, dass wir nichts wissen – dieses Motto sollte jedes Unternehmen begleiten, wenn es um die IT-Sicherheit geht. Ganz egal, was uns vermeintliche oder echte Experten weismachen wollen: Die Realität ist schlimm genug. IT-Sicherheit muss unser täglicher Begleiter werden.
Dass dieses Denken herzerfrischend sinnvoll ist, beweisen Unternehmen wie der Düsseldorfer Elektrogroßhändler Sonepar. Das Düsseldorfer Unternehmen hat mit seinem Hardwarelieferanten Bull und den Sicherheitsspezialisten von TrendMicro erst kürzlich umfangreicheSicherheitsmaßnahmenauf seiner jüngst modernisierten IT implementiert. „Auf unseren Servern liegen unter anderem Daten über Preiskonditionen unserer Kunden. So etwas darf niemals an die Öffentlichkeit oder in die Hände der Wettbewerber gelangen“, sagt Rainer Domke, Abteilungsleiter IT-Infrastruktur bei Sonepar. Zwar kann auch der Außendienst bei Sonepar über das Internet auf die Server zugreifen, dies aber ausschließlich in einem Hochsicherheitsverfahren. „Die Kundendaten sind unser wichtigstes Gut“, stellt Domke klar und betont, dass Security-Fehler aus Unachtsamkeit in diesem Verfahren eben keine Option sind – eine Erkenntnis, die offenbar bei dem einen oder anderen Unternehmen erst noch reifen muss.
Deshalb an alle Unternehmen die Botschaft: Tu was, Chef! Immer und überall, selbstverständlich und zu jeder Zeit. So einfach ist das.
Gastautor Sven Hansel, IT- und Wirtschaftsjournalist