Der Mittelstand hat den größten Nachholbedarf

Sven Hardt ist freier Journalist in Neuenhagen bei Berlin

Prozesse laufen online zweifellos effizienter: Vom Heimarbeitsplatz gibt es den direkten Zugang zum zentralen Firmennetz, der Versand von Daten via E-Mail ist so schnell wie das Telefonieren, Güter lassen sich über das Internet beschaffen und vermarkten. Die Kehrseite der Medaille: Mehr Kommunikationskanäle bedeuten auch mehr Angriffspunkte. Diese Tatsache wird von den meisten Unternehmern verdrängt. Virenangriffe und Hackereinbrüche sind Schlagworte, die Mittelständler lange kalt ließen.

„Das ist so ähnlich wie mit der Anschnallpflicht“, sagt Werner Kühn, Vertriebsleiter beim Oberhachinger Netzwerkdistributor Azlan GmbH. „Jeder weiß, dass es Geld kostet, wenn man ohne Gurt erwischt wird. Aber viele ignorieren das.“ Mit ihrem Security Model bieten die Bayern einen Baukasten, der in einfachen Schritten zur passenden Sicherheitsarchitektur führt. Alle relevanten Bereiche wie Firewall, Intrusion Detection System (IDS), Authentisierung, Virtual Private Network (VPN) und Public Key Infrastructure (PKI) sind integriert.

Kühn versteht nicht, dass interne Abwehr „nach wie vor so gut wie kein Thema ist“, kommen doch nachweisbar die meisten Angriffe aus dem eigenen Unternehmen. Für Firewalls prophezeit der Manager sinkende Preise, weil „hervorragende, neue Hersteller aus den USA wie Sonic Wall auf den Plan treten“.

Für die Alcatel e-Business Distribution GmbH, Stuttgart, ist Sicherheitsberatung in erster Linie Strategieberatung. Die Schwaben greifen vorhandene Firewalls an und protokollieren die Schwachstellen. Darauf aufbauend werden bestehende Lösungen verbessert und verfeinert. Die Stuttgarter sehen beim Mittelstand den größten Nachholbedarf und bieten für diese Zielgruppe bedarfsgerechte Lösungen. Laut Alcatel seien viele Systeme falsch implementiert, oft sei das Betriebssystem nicht gehärtet.

Zur Mitarbeiter-Authentisierung empfiehlt Alcatel wie die meisten Systemhäuser Secure-ID-Karten, die man zusätzlich zum Nutzernamen und zum Passwort benötigt. Diese Karten erzeugen per Zufallsgenerator alle 60s einen PIN-Code, der gleichzeitig im Server erzeugt wird. Nur wenn die Zahlen übereinstimmen, kann der User auf das Netzwerk zugreifen. Wie alle Beratungshäuser, erarbeitet auch Alcatel Sicherheitsrichtlinien, neudeutsch Policies genannt, die auf die Prozesse des Kunden abgestimmt sind. Eine Policy funktioniert aber nur, wenn die Geschäftsleitung sie vorlebt und die Mitarbeiter die Verhaltensregeln streng einhalten. Die Kosten für eine umfassende Sicherheitsstrategie reichen laut Alcatel von einigen zehntausend Euro bis in den Millionenbereich, je nach Bedarf und Komplexität.

Ins gleiche Horn wie Alcatel stößt die Discon Informationssysteme + Consulting GmbH, eine 100%ige Tochter der DeTeWe AG, beide Berlin. „Wir wissen, dass der finanzielle Rahmen einer Sicherheitslösung im vernünftigen Verhältnis zum Umsatz des Kunden stehen muss“, sagt Peter Waligora, Leiter IT Security bei Discon, mit Blick auf die mittelständische Kundschaft. Waligora ist überzeugt, dass niemand so viel Geld durch unnötige Systemabstürze verschwendet wie der Mittelstand: „Man beschäftigt sich ständig mit sich selbst und hält das für ganz normal.“

Die Netze großer Unternehmen liefen deshalb stabiler, weil die Regelwerke strenger seien. Deshalb spielten Schulungen auf allen Ebenen eine zentrale Rolle. Ein Hackerangriff mit anschließender Schwächenanalyse ist bei Discon je nach Größe der Netze ab rund 1000 Euro zu haben. Außerdem bietet Discon Rechtsberatung zum Thema IT Security. Viele Manager wüssten nicht, dass die Gesetze von den meisten Unternehmen ein Risk Management fordern und eine Nichtbeachtung sanktioniert werden kann.

„Social Engineering“ ist in der Security-Szene das beschönigende Synonym für arglistige Täuschung. Daniela Seigerschmidt, Marketing Communication Manager der Integralis AG, Ismaning, nennt ein Beispiel: „Wir rufen bei Mitarbeitern des Kunden an und geben uns als neuer Systemad-ministrator aus. In 90 % aller Fälle verraten uns die Leute sofort ihr Passwort.“ Integralis sensibilisiert Mitarbeiter in Schulungen für Risiken und hilft bei der Implementierung einer Policy.

Eine große Gefahr seien Mitarbeiter, die über lokale Modems an der Firewall vorbei eine Internetverbindung per Telefon herstellen. Integralis bietet Scan-Programme, die solche Verbindungen aufspüren und unterbinden. Die Managerin hält die meisten PKI-Lösungen für zu teuer, „weil sie vorhandene Strukturen nicht integrieren“. Dagegen setzt Integralis das Produkt PKeasy. Es sind stets die gleichen Grundfunktionen gefragt: Anmeldung an der Firewall, Anmeldung am Betriebssystem, Anmeldung an sonstigen Systemen wie SAP, Mailverschlüsselung und Dateiverschlüsselung. PKeasy ergänzt nur die fehlenden Komponenten. Das ist nicht so banal wie es klingt, denn die Integration unterschiedlicher Sicherheitskomponenten macht meist Probleme.

PKeasy beinhaltet alle Grundfunktionen und kostet etwa 300 Euro pro Benutzer. Herz der Lösung ist eine Smart Card, die auch als Türöffner oder Zeiterfassungskarte dienen kann, damit der Nutzer sie nicht im Gerät stecken lässt. Sämtliche Verschlüsselungen werden auf der Karte berechnet und nicht im vernetzten Computer. Ein weiteres Integralis-Highlight ist das Firewall-Management: Die Logfiles des Kunden werden auf ein bunkerähnliches Alarmzentrum der Ismaninger umgeleitet und von Experten ausgewertet.

Single-Sign-On lautet der Schwerpunkt der Evidian GmbH, Köln. Über ein Passwort erhält der Mitarbeiter Zugriff auf alle Verzeichnisse, für die er eine Berechtigung hat. Eine zweite Absicherung erfolgt über Smart Card oder USB Token. Für Dipl.-Ing. Iris Bitter, Partner-Managerin bei Evidian, liegt der Hauptvorteil im transparenten User-Management: „Ein Auszubildender etwa lernt oft das ganze Unternehmen kennen. In jeder Abteilung kriegt er Zugriffsrechte auf unterschiedliche Systeme. Sehr oft wird jedoch vergessen, ihm die Rechte wieder zu entziehen.“ Evidian bietet einen PKI-Manager an, der die oft heterogenen PKI-Infrastrukturen in einem Unternehmen verwaltet. In Verbindung mit Single-Sign-On ein pragmatischer Weg, die Sicherheit ohne einen kompletten Umbau des Firmennetzes zu verbessern.

Zu den Kritikern des Single-Sign-On gehört Dr. Magnus Harlander, Geschäftsführer der Genua GmbH, Kirchheim, einem der wenigen deutschen Hersteller von Firewalls: „Es kann nicht sein, dass ein Hacker mit einem Passwort bis zu den sensibelsten Daten durchmarschiert. Deshalb ist es notwendig, Daten und Systeme in unterschiedliche Sicherheitsklassen zu unterteilen, für die dann jeweils unterschiedliche Autorisierungsschemata gelten.“

Das sorgt zwangsläufig für Unruhe bei den Mitarbeitern. Die Kirchheimer halten mit Aufklärung dagegen. „Wenn man dem Anwender das Problem nicht klarmacht, dann wird er auch nicht einsehen, warum er etwas dagegen tun muss“, erklärt der Manager. Genua schaltet zwei Firewalls nacheinander, die mit unterschiedlichen Filtertechniken arbeiten. Laut Harlander muss man „immer damit rechnen, dass ein System ausfällt oder nicht optimal arbeitet. Ohne zweite Barriere hat man ein offenes Scheunentor“.

Eine komplette Firewall-Lösung um die 2500 Euro bietet die Allied Telesyn International GmbH. Das Berliner Unternehmen bietet seinen Kunden eine deutliche Absicherung der Remote-Zugänge zum Firmennetz. Sehr schnelle Router prüfen, ob eingehende Daten mit dem korrespondieren, was von autorisierter Seite abgefragt wurde. Sollte das nicht der Fall sein, wird sofort geblockt.