Lars Deutsch kreuzt Zeige- und Mittelfinger: "Das ist uns noch nicht passiert, es wird schon schief gehen." Das sei - zusammen mit den überkreuzten Fingern - genau die Haltung, mit der viele Start-up-Unternehmer Angriffe von außen heute noch bekämpften, sagt der IT-Chef des Berliner Online-Spielzeug- und Kindermodeladens My Toys. Er hat seine eigene Start-up-Zeit zwar noch gut in Erinnerung, doch bei seinem jetzigen Arbeitgeber hat Sicherheit Priorität. "In den letzten acht Wochen vor Weihnachten haben wir einen 24/7-Einsatz", so Deutsch. Sieben Tage in der Woche schiebt einer der zwölf IT-Mitarbeiter Bereitschaftsdienst.
Kein Wunder, ist das Weihnachtsgeschäft doch die wichtigste Zeit des Jahres für den Online-Handel. Etwa 2,75 Milliarden Euro wurden einer Studie von Mummert Consulting zufolge in Deutschland 2003 online umgesetzt - 40 Prozent mehr als 2002. Spielzeug, Kleidung und Bücher sind die meistgekauften Artikel der Online-Konsumenten. In zweien dieser Boom-Segmente ist My Toys vertreten.
Wer gerade Bereitschaftsdienst hat, trägt entweder - wie Deutsch - einen Pager am Hosengürtel, der deutschlandweit alle Ausfälle meldet, oder er verbindet sich über einen VPN-Zugang von zu Hause aus mit dem Firmennetz. Störfälle und Angriffe auf die Website von außen registriert ein Intrusion-Detection-System. Deutsch: "Bei Auffälligkeiten schauen wir uns die Logfiles genauer an." Befindet sich dort ein Protokoll mit einer kryptischen URL, sei das ein Zeichen dafür, dass jemand versucht, eine Überlastung des Systems an kritischen Stellen durch einen Buffer Overflow zu bewirken.
Bis jetzt habe sich noch niemand ins System gehackt, beteuert Deutsch. Kleinere Denial-of-Service-Angriffe allerdings habe er mehrfach registriert, das sind fingierte Massenanfragen, die in Millisekunden ins System strömen und den Shop im Extremfall für kurze Zeit lahm legen. "Derzeit befinden sich zu Peak-Zeiten etwa 1000 User im Netz", berichtet Deutsch; "schnellt diese Zahl in kürzester Zeit extrem nach oben, sperren wir den Zugang."
Penetrationstests von Code Blau
Seit 2001 hat My Toys ein ausgetüfteltes, 50 Seiten starkes Sicherheitskonzept. Das reicht von der Passwortvergabe für Mitarbeiter über den Einsatz von Open-Source-Software bis hin zum Datenschutz. "Ein Online-Shop ist ohne diese IT-Sicherheitspolitik heute nicht mehr zu betreiben", meint Deutsch. My Toys hat sich an den Richtlinien des Otto-Konzerns in Hamburg orientiert, der eine 74,8-Prozent-Beteiligung an My Toys hält. Diese böten das Gerüst für "die Pflichtlektüre für jeden unserer IT-ler" in der Geschäftsstelle, die sich in den ehemaligen Fabrikhallen der Kulturbrauerei am Prenzlauer Berg befindet.
Fünf bis zehn Prozent des IT-Budgets, über dessen absolute Höhe sich My Toys ausschweigt, gibt Deutsch für die Sicherheit aus. Regelmäßig lässt er seine IT-Systeme durch Penetrationstests von Sicherheitsspezialisten der Berliner Firma Code Blau um Felix von Leitner vom Chaos-Computer-Club checken. Von der Implementierung von Sicherheitssoftware bis hin zu so genannten Post-Mortem-Analysen bietet Code Blau die gesamte Palette. Zu Letzterem möchte es My Toys natürlich nicht kommen lassen.
Im eigenen Netzwerk hat der Geschäftsführer und Antreiber der IT-Sicherheit Michael Müller-Wünsch deshalb mit Deutsch ein Irrgarten-Konzept an Passwörtern gegen Eindringlinge entwickelt. Lediglich drei Mitarbeiter kennen das Passwort für die Router, das sich für Notfälle in Umschlägen in einem einbruchsicheren Stahlschrank befindet. Jede Abteilung hat Zugang zu ihren Bereichen, die über ein eigenes Passwort zugänglich sind. Datenpakete sind mit Zugriffsrechten versehen. "Sollte sich jemand in einen Computer hacken, wird er nach und nach verzweifeln", sagt Deutsch. Die zweite Sicherheitsschicht ist das Intrusion-Detection-System, das Angriffe registriert und Warnungen direkt weitergibt: "Diese Kontrolle können wir niemals auslagern, denn hier zählen Minuten. Schon zwei Stunden wären für uns kaum wieder gutzumachen." Die dritte Schutzhülle, die Firewall, soll nach außen hin schützen.
Das alles zusammen schafft eine gewisse Beruhigung. "Doch hilft es nichts, wenn unsere IT-Mitarbeiter nicht kontinuierlich die Systeme anpassen würden", sagt Deutsch. Ständig kursieren neue Viren, Trojaner oder Würmer im Netz: "Der Systemadministrator ist regelmäßig im Netz unterwegs und hält sich in Newsgroups und -boards auf dem Laufenden", sagt Deutsch.
Es gibt eine Reihe von Tricks, mit denen My Toys versucht, Problemen und Störungen vorzubeugen - etwa einen "Bandbreitenangriff" puffern, indem nur bis zu zehn Prozent der gesamten Kapazität genutzt werden. Doch das beste Sicherheitskonzept sei es, ein wenig paranoid zu sein, davon ist Deutsch überzeugt. Denn besonders leichtgläubige Mitarbeiter ließen sich sonst durch Social-Engineering Informationen abschwatzen, mit deren Hilfe anschließend das Sicherheitssystem beeinträchtigt werden könnte.