Der Film "Catch me if you can", in dem Leonardo DiCaprio alias Frank Abagnale mühelos alle Sicherheitskontrollen von Unternehmen durchbricht, ist nicht nur unterhaltsam, sondern kann auch als Lehrstück dienen. Denn der Meister der Täuschung, der übrigens einem realen Vorbild nachempfunden ist, hätte nach Meinung von Christoph Thiel, Sicherheitsexperte beim Fraunhofer Institut für Software- und Systemtechnik, tatsächlich gute Chancen, die Sicherheitshürden vieler deutscher Unternehmen zu überwinden. "Die oft allein technik-orientierten Sicherheitsstrategien bieten zu wenig Schutz für das sensible IT-System komplexer Geschäftsprozesse."
Auch die Meta-Group-Studie "IT-Security im Jahr 2003 - Status, Trends und Strategien" bescheinigt deutschen Unternehmen Nachholbedarf: Anfang 2003 hatten nur 25 Prozent eine dezidierte Sicherheitsorganisation, heißt es dort. Selbst von den großen Unternehmen mit mehr als 1000 Mitarbeitern verfügt nur gut die Hälfte (53 Prozent) über ein Sicherheitsteam - deutlich weniger als unter den Global-2000-Unternehmen, von denen 75 Prozent eine Security-Organisation installiert haben. Fazit der Analysten: Organisatorisch, personell und im Hinblick auf eine Security Policy gibt es hierzulande enorme Defizite.
Dass oft an der Sicherheit gespart wird, beobachtet auch Volkmar Eich, Infrastrukturberater mit Schwerpunkt Security bei der Unternehmensberatung Avanade: "Zwar ist das Bewusstsein für Sicherheitsfragen insgesamt gewachsen; bei Projekten in Zeiten kleiner Budgets steht die Sicherheitsfunktionalität aber häufig zuerst auf dem Prüfstand." Eine Berechnung der Kosten-Nutzen-Relation (RoSI = Return on Security Investment) sei nicht leicht und der Gewinn kaum bezifferbar. Wie kostspielig sind Imageschäden? Und wie lässt sich der Gewinn von Back-up-Systemen für Disaster Recovery oder Business Continuity berechnen, die schon in der Hoffnung angeschafft werden, dass sie für immer ungenutzt bleiben?
Schätzungen statt handfester Zahlen
"Jeder Kunde fragt nach dem RoI", hat auch Jörn Hüttges, Consultant beim IT-Dienstleister Steria, festgestellt. "Natürlich gibt es gängige Berechnungsmodelle, die auf Eintrittswahrscheinlichkeiten und Schadenhöhe basieren", so Christian Abel, IT-Security-Berater bei DMR Consulting. "Aber beide Werte beruhen eher auf Schätzungen als auf handfesten Zahlen." Noch komplizierter wird die Rechnung mit variablen Eintrittswahrscheinlichkeiten: "Ein Schaden tritt ja nicht immer zu 100 Prozent ein. Wenn man das berücksichtigt, muss man mit statistischen Methoden wie Szenarioplanung oder Monte-CarloAnalysen rechnen", weiß Abel, Mitautor des Whitepapers "RoSI - mehr Schein als Sein". Sein Fazit: Aufwendige Berechnungen sind nur bei größeren Projekten sinnvoll. Bei kleineren Vorhaben oder Standardinvestitionen rät er zur "Impfungsargumentation": Wie bei Impfungen ließe sich der Gewinn in Form verhinderter Schäden kaum exakt beziffern; dennoch stehe ihr Sinn außer Zweifel.
New-Yorker Börse setzt Standards
Zunehmend führen gesetzliche Regelungen zu SecurityInvestments: Datenschutzbestimmungen, "Basel II" und "KonTraG" zwingen Unternehmen, sich sowohl gegen unerlaubte Zugriffe zu schützen als auch einen unterbrechungsfreien Betrieb zu garantieren. Peter Ziegler, auf IT-Fragen spezialisierter Rechtsanwalt aus Landshut, sieht hier einiges auf deutsche Unternehmen zukommen: "An der New-Yorker Börse sind Pläne in Arbeit, die ein Business-Continuity-Konzept vorschreiben." Er rechnet damit, dass die Regelungen nächstes Jahr in Kraft treten. "Das trifft erst mal alle deutschen Unternehmen, die dort gelistet sind", erklärt der Jurist. Langfristig werden die neuen Standards nach seiner Einschätzung jedoch bis auf den deutschen Mittelstand durchschlagen.
Bisher steht es keineswegs überall zum Besten: Nach einer Studie, die das Sicherheitsunternehmen Veritas von Macarthur Stroud durchführen ließ, verfügen fast 20 Prozent von 670 befragten europäischen Unternehmen mit mehr als 500 Mitarbeitern nicht über einen Disaster-Recovery-Plan. Und selbst die, die sich für Notfälle gerüstet haben, sind nicht immer auf der sicheren Seite: Nur 2 Prozent von ihnen prüfen ihre Notfallpläne regelmäßig; bei fast 60 Prozent liegen sie seit mehr als einem Jahr ungetestet in der Schublade. Veritas macht als Hauptgrund die fehlende Verankerung im Business-Management aus und konstatiert gleichzeitig ein transatlantisches Gefälle: Während in den USA die Geschäftsführung in rund 90 Prozent der Unternehmen für Disaster Recovery verantwortlich zeichnet, sind es in Europa nur 12.
Einzelkämpfer überfordert
Die Chance, ein gelungenes, vom Business-Management getragenes Sicherheitskonzept vorzufinden, steigt mit der Unternehmensgröße. "Bei Konzernen mit mehr als 5000 Mitarbeitern sind etablierte Security Policies die Regel", sagt André Hohner, Leiter der Fachgruppe IT-Sicherheit bei der Unternehmensberatung Avinci.
Anders sieht es häufig bei KMU aus. Zwar gibt es auch hier immer häufiger einen Sicherheitsverantwortlichen; der stammt aber meistens aus dem technischen Umfeld. Zudem hat gerade der Mittelstand in den vergangenen Jahren IT-Personal abgebaut; bei komplexen Sicherheitsarchitekturen mit einer Vielzahl interagierender Systeme sind Einzelkämpfer überfordert. Berater Hohner rät deshalb dringend zu regelmäßigen Sicherheits-Audits: "Hier ist der Einsatz externer Berater sinnvoll, weil sie eine unvoreingenommene Sicht haben; interne Audits bringen meist nicht die gewünschte Ergebnisqualität." Das Sicherheitsregelwerk in KMU dürfte nach Hohners Einschätzung deutlich schmaler sein: "Wenn Rollen definiert und Verantwortliche benannt sind, ist schon viel getan."
Bernd Kowalski, Abteilungsleiter für allgemeine ITSicherheit beim Bundesamt für Sicherheit in der Informationstechnik sieht beim Mittelstand eine gestiegene Sensibilität für Sicherheitsfragen. Allerdings seien KMU gerade in wirtschaftlich schlechten Zeiten kaum in der Lage, große Projekte mit Consultants abzuwickeln. Er verzeichnet eine Tendenz, im Zuge der Konzentration auf das Kerngeschäft, IT-Leistungen auszulagern: "Damit wird natürlich zugleich die Sicherheit zum Dienstleister verlagert." Doch auch wer seine IT im Hause behält, kann sich der entsprechenden Probleme entledigen: Unter dem Namen Managed Security Services (MSS) bieten Sicherheitsunternehmen das komplette oder teilweise Management der IT-Security an.
"Das setzt aber ein gewachsenes Vertrauensverhältnis zum Kunden voraus; man operiert dabei schließlich am Herzen des Unternehmens", merkt Hüttges an. Trotzdem verspricht der Markt laut Forrester Research gewaltige Zuwachsraten: Bis 2008 soll er in Europa jährlich um durchschnittlich 37 Prozent zulegen. Am prognostizierten Gesamtvolumen von 4,6 Milliarden Euro in fünf Jahren seien KMU mit 66 Prozent überproportional beteiligt. Den Grund für die Auslagerung der IT-Security sieht Studienleiter Lars Godell in verschärften Gesetzen, fehlender IT-Sicherheitskompetenz und einem wachsenden Bedrohungspotenzial.
Besonders WLANs gelten als kritisch und werden immer wieder zum Ziel von Drive-by-Hackern. Technisch kein Problem, so Avanade-Mann Eich: "WLANs sind kein ernstes Sicherheitsrisiko, wenn sie sachkundig installiert und betrieben werden." Die größte Gefahr sieht er im "Faktor Mensch": "Wenn eine Abteilung an der Sicherheitsorganisation vorbei ein WLAN installiert, kann das katastrophale Folgen haben." Deswegen seien Richtlinien, Mitarbeiterinformation und Schulung unverzichtbar.
Trotzdem entstünden gerade an der Schnittstelle von IT und TK neue Sicherheitslücken. Immer häufiger würden TK-Techniken wie GPRS zur Übermittlung von Daten auf Handys oder PDAs eingesetzt. "Aber die Fachleute in den IT-Abteilungen haben oft keine ausreichende Kenntnis der TK-Techniken und können die Gefahren kaum abschätzen", betont Avinci-Berater Hohner.
Frank Abagnale, der Star aus "Catch me if you can", würde sich heute wohl anderer Techniken bedienen als in den 50er-Jahren. Ob sich daraus ein ebenso unterhaltsamer Film drehen ließe, bleibt fraglich.