Wo das Eindringen ins Firmennetz unentdeckt bleibt, wiegen sich IT-Leiter in trügerischer Sicherheit, denn: "Wer keine Vorkehrungen trifft, kann noch lange nicht sicher sein, dass wirklich nichts passiert ist", sagt Sven Kniest von Net-IQ, einem Security-Software-Anbieter. "Versierte Hacker hinterlassen kaum sichtbare Spuren, und diese verlieren sich leicht in den Megabyte-großen Protokollen von Firewall, Web- und E-Mail-Server." So hat auch das Consulting-Unternehmen Arthur Andersen in der Studie "IT-Sicherheit in Europa" festgestellt, dass ein Fünftel der befragten Firmen von eventuellen Angriffen gar nichts weiß.

Dabei liegen die Gefahren von Viren, Einbruchs- und Ausspähversuchen auf der Hand. Zwar gehören gängige Abwehrmittel wie Virenchecker und Firewalls inzwischen zur Grundausstattung der meisten Firmennetzwerke; auch aufwendige Authentifizierungs-Infrastrukturen nach dem Public-Key-Verfahren (PKI) und virtuelle Privatnetze, die zwar das Internet nutzen, aber durch so genannte Tunnel gegen unerwünschte Mitleser ab-geschirmt sind, finden sich in vielen Sicherheitsportfolios. Doch selbst wer zudem eine Intrusion-Detection-Software zur sofortigen Entdeckung unberechtigter Zugriffe installiert, ist längst nicht auf der sicheren Seite. "Wer glaubt, dass sich IT-Sicherheit allein mit technischen Mitteln garantieren lässt, ist auf dem Holzweg", warnt Carsten Casper, Sicherheitsexperte bei der Meta Group.

Das Bedrohungspotenzial ist gewachsen: Benötigten Hacker früher als Rüstzeug zumindest Sachverstand sowie profunde Programmier- und Systemkenntnisse, sind heute Virenbausätze, Hacker-Programme wie IP-Sniffer und Passwortdetektoren mit detaillierter Bedienungsanleitung frei im Internet verfügbar. Sie machen aus jedem Computerlaien mit destruktiver Gesinnung einen potenziellen Angreifer. "Gegen solche Standardangriffe lassen sich noch recht einfach Vorkehrungen treffen", erklärt Armin Stephan, Sicherheitsberater bei Computer Associates (CA), einem der großen Anbieter von Security-Lösungen. Aber selbst diese simplen Gegenmittel fehlen vielerorts - wie natürlich erst recht Sicherheitsstrategien, die mehr können, als spielerisch motivierte Störungs- und Zerstörungswut verpuffen zu lassen.

Kein sichtbarer Gewinn

CIOs haben es schwer, Mittel für zusätzliche Sicherheitsmaßnahmen lockerzumachen. IT-Sicherheit kostet Geld und bringt - zumindest auf den ersten Blick - keinen sichtbaren Gewinn. Zudem sind die Risiken kaum abzuschätzen. Der RoI - oder besser: RoSI (Return on SecuritySecurity Investment; siehe CIO 5/02, S. 58) - ist deshalb allenfalls in Umrissen ermittelbar. Welchen konkreten Schaden verursacht ein Hacker-Einbruch? Lässt sich der ImageVerlust durch eine Negativschlagzeile berechnen? Manche Schäden sind nur zu erahnen: "Wenn Industriespione unbemerkt im Firmennetz surfen, kann das durchaus dazu führen, dass das Unternehmen bei Ausschreibungen nicht mehr zum Zuge kommt", sagt Kniest. Alles zu Security auf CIO.de

Dass auch tatsächlich messbare Schäden entstehen, zeigte nicht nur der rasante Fall der Yahoo-Aktie, nachdem das Web-Portal im vergangenen Jahr durch eine DoS (Denial of Service) -Attacke von Hackern zeitweise lahm gelegt worden war. Natürlich ist nicht jedes Unternehmen so exponiert wie Yahoo, dessen Internet-Portal zugleich das Kerngeschäft ist. Aber mit wachsendem E-Business, mit der Verlagerung von Geschäftsprozessen durch SCM, CRMCRM, E-Procurement, B2B- und B2C-Portale müssen Unternehmen ihre Datenbestände für Kunden und Partner öffnen. Dann bleibt keine Wahl mehr: Das Risiko wird quasi zum Bestandteil des Geschäftsmodells. Und auch die Geschäftspartner verlangen Auskunft über die Sicherheit von Daten und Transaktionen. Alles zu CRM auf CIO.de