Sind Sie sicher?

Nahezu alle Betriebe werden mittels elektronischer Datenverarbeitung verwaltet, teils mit Tausenden Kundendaten täglich. Doch wie steht es um den Schutz der Informationen und die Sicherheit der Abläufe?

Es ist ein Back-up, das sich lohnen könnte: Experten des Andy-Warhol-Museums im US-amerikanischen Pittsburgh haben auf rund 40 Jahre alten Floppy-Disks bisher unbekannte Pixel- Skizzen des epochalen Künstlers entdeckt. Sie zeigen Variationen der berühmten Campell’s-Soup-Dosen sowie seltenere Verfremdungen von Botticellis „Geburt der Venus“.

Die Sicherung elektronischer Daten ist auch für Unternehmen unabdingbar. Nach aktuellen Zahlen des Bundeswirtschaftsministeriums nutzen kleine und mittelständische Betriebe in Deutschland inzwischen fast ausnahmslos Computertechnologien und Internet für ihre Geschäfte. Das Sicherheitsbewusstsein ist dabei durchweg gut, wie der Verein „Deutschland sicher im Netz“ (DsiN) in einer aktuellen Studie zur „IT-Sicherheitslage im Mittelstand 2013“ herausfand. So sorgen rund 99 Prozent der Betriebe für einen Internetschutz, gleich viele sichern regelmäßig ihre Daten. Etwa 97 Prozent kümmern sich kontinuierlich um Sicherheits-Updates, rund 95 Prozent um den Schutz der EDV-Betriebsfähigkeit.

Problematisch bleibt nach wie vor die E-Mail- Sicherheit, so ein Ergebnis der Studie: Nur rund 44 Prozent der Firmen legen darauf Wert. „E-Mails sind der wichtigste Kommunikationskanal in Unternehmen, für nahezu alle Informationen“, sagt Michael Littger, Geschäftsführer des DsiN. Gemessen an dieser Bedeutung seien die Sicherheitsmaßnahmen weiterhin viel zu gering. Gerade bei kleinen Unternehmen fehle oft die Gesamtsicht. „Nicht der finanzielle Aufwand ist die eigentliche Herausforderung“, so Littger, „sondern die Vermittlung und Umsetzung von praktischem Wissen für effektive Sicherheitsmaßnahmen.“

Sicherheitslücke Betriebssystem

Gutes Sicherheitsbewusstsein bedeutet auch, technologisch auf der Höhe der Zeit zu bleiben. Vielen kleinen und mittelständischen Unternehmen geht es seit April 2014 wie dem Deutschen Bundestag, zumindest, wenn es um das Betriebssystem ihrer Computer geht. Denn etwa 5.000 Rechner der Volksvertreter laufen ebenso wie die in vielen Unternehmen mit dem Betriebssystem Windows XP.

Der Softwaregigant aus den USA stellte aber zum 8. April dieses Jahres den Support für das System, das 2001 auf den Markt kam, ein. Nutzer von Windows XP erhalten nun keine Sicherheits-Updates mehr, keine Aktualisierungen zur Behebung von Programmfehlern, und aktuelle Dokumente, um Fehler zu beheben, sind online auch nicht mehr verfügbar. „Es steht zu befürchten, dass ab jetzt in Windows XP gefundene Schwachstellen von Online-Kriminellen bewusst zurückgehalten und nun nach dem Ende des Supports eingesetzt werden, um Gegenmaßnahmen zu erschweren“, sagt Matthias Gärtner, Pressesprecher beim Bundesamt für Sicherheit in der Informationstechnik (BSI).

Die Gefahr steigt also, dass sich die Systeme mit Schadprogrammen wie Viren, Würmern und Trojanern infizieren. Problematisch sei zudem, so die Experten des BSI, dass die Bürosoftware Office 2003 mit dem veralteten Betriebssystem und dem Browser „Internet Explorer“ eng verzahnt sei. So könnten Anwender infizierte Dateien öffnen und einen Datenschaden verursachen. „Veraltete Betriebssysteme sollten rasch auf ein modernes System umgestellt werden“, rät Gärtner.  

Gefahrenquelle Mensch

Das neueste System aber hilft nichts, wenn es nicht sachgemäß angewendet wird. Der kleine Fehler eines Programmierers führte vor rund zwei Jahren dazu, dass die Verschlüsselungssoftware OpenSSL eine Sicherheitslücke aufwies. Da das Programm kostenlos war und herrlich einfach zu handhaben, verwendeten mehrere Tausend Betreiber von Internetseiten und digitalen Anwendungen – darunter Internetriesen wie Google, Microsoft und Facebook – es zum Verschlüsseln von Internetseiten und Serververbindungen.

Seit April dieses Jahres ist klar: Wer wollte, konnte während dieser rund 24 Monate in den Datenverbindungen lesen wie in einem offenen Buch. „Heartbleed“, Herzbluten, nannten kreative IT-Fachleute den Programmfehler, eine Reminiszenz an „Heartbeat“, Herzschlag, womit in der Programmiererwelt eine Netzwerkverbindung zwischen mehreren Rechnern gemeint ist.
Weniger Auswirkung auf die virtuelle Welt, wohl aber für einzelne Unternehmen, haben Sicherheitsfehler, die die Mitarbeiter begehen. Etwa zwölf Prozent von Sicherheitsvorfällen im Betrieb gehen auf unsachgemäße Handhabung von Systemen zurück oder die Unkenntnis der Mitarbeiter über Bestimmungen zum Datenschutz und zur Datensicherung, zumal wenn es um mobile Endgeräte geht. Derzeit nutzen rund 20 Prozent der Mitarbeiter von kleinen und mittelständischen Unternehmen private Smartphones oder Tablet-PCs, um geschäftliche E-Mails zu bearbeiten, die Hälfte von ihnen speichert zusätzlich Unternehmensdaten auf den Geräten.

Das birgt eine Gefahrenquelle für Datenverlust und für Angriffe Online-Krimineller, da es keinen einheitlichen Schutz gibt. Der DsiN empfiehlt, Mitarbeiter in Schulungen gezielt für das Thema Datensicherheit zu sensibilisieren. Bereits die Kenntnis von Kriterien für sichere Passwörter, gefährliche Dateitypen und häufige Phishing-Methoden kann IT-Risiken im eigenen Unternehmen deutlich reduzieren.

Von Clouds und Kästen

Die meisten Unternehmen beugen einem Datenverlust durch regelmäßige Back-ups vor. Kleine Betriebe führen oft die Datensicherung aus, die ihr Betriebssystem vorsieht. Da ist es schon gut, wenn sie nicht manuell erfolgt, sondern automatisch und täglich zur gleichen Zeit. Wer aber DVDs oder andere Speichermedien verwendet, sollte unbedingt daran denken, sie sachgemäß zu lagern. Eine Kiste mit Datenträgern im meist warmen Serverraum oder bei der kleineren Variante in der Schreibtischschublade, wo die wichtigen Betriebsdaten abgelegt werden und ungeprüft verstauben, ist inzwischen die Ausnahme.

Die meisten Betriebe gehen bei der Datensicherung professioneller vor und greifen auf externe Server zurück. Laut der DsiN-Studie nutzen bisher rund 17 Prozent der kleinen und mittelständischen Unternehmen Clouddienste, also das Auslagern von Daten in große, virtuelle Speicher. Das kann mittels einer sogenannten Public Cloud geschehen, bei der die Daten bei einem freizugänglichen Provider gelagert werden, oder über eine Private Cloud, bei der die Daten in der eigenen IT-Infrastruktur gesichert werden. „Die Vorteile vom Cloud-Computing liegen auf der Hand“, sagt Doubrava vom BSI. Die Produkte seien hoch standardisiert und könnten helfen, Kosten für IT-Sicherheit und Wartung einzusparen.

Vor dem Hintergrund der im vergangenen Jahr publik gewordenen Überwachungsskandale, wie die NSA-Affäre, gerät der Sicherheitsaspekt bei Cloudlösungen zunehmend ins Bewusstsein der Unternehmen. „Betriebe sollten genau analysieren, welches Cloudmodell für sie passend ist“, so Doubrava. Manchmal könne es sinnvoll sein, lediglich ein unverschlüsseltes Daten-Back-up in einer Cloud zu lagern und nicht mehr. „Für uns ist die Cloud lokal“, sagt Philipp Baumgaertel, Sprecher des Hamburger Start-ups Protonet. Datensicherheit habe auch immer mit Datenhoheit zu tun, ergänzt er.

Umzug in die eigene Wolke

Die Macher des erst 2012 gegründeten Unternehmens haben einen Server entwickelt, den sich Unternehmer ins eigene Büro stellen können: Der orangefarbene Kasten ist gerade mal so groß wie eine halbe Wasserkiste und nicht annähernd so schwer. Leicht fällt auch die Bedienung. „Es gibt genau einen Knopf, An/Aus, den der Kunde bedienen muss“, sagt Baumgaertel. Langwierige Installation und Konfiguration entfallen. Ein weiterer Vorteil für die Unternehmen sei, dass mit dem Server datensichere soziale Kollaboration möglich würde. „Geschäftliche E-Mails können so auf ein Minimum reduziert werden“, sagt der Protonet-Sprecher. Eine zweite Kiste sorgt für das Back-up.

Auch wenn es sich bei Betriebsdaten und geschäftlichem E-Mail-Verkehr nicht um große Kunst handelt, sind sie doch wertvoll. Ein Verlust durch Serverausfälle oder Online-Kriminelle kann Kapital vernichten und Renommee zerstören. Unternehmen sollten auch bei der Datensicherung mit der Zeit gehen, die für sich individuell stimmige Lösung wählen und immer wieder an neue Technologien anpassen. Veraltete Speichermedien, die in 40 Jahren nur noch von Experten gelesen werden können, sind in der Wirtschaft auf jeden Fall nicht anzuraten.