Interne Netzsicherheit: “Ignorante Chefs gefährden die eigene Existenz”

Die wenigsten Mitarbeiter verhalten sich kriminell. Die eigentliche Gefahr ist oft die  Weigerung des Geschäftsführers, beim Thema Sicherheit zuzuhören.

“Sicherheit im Mittelstand ist eine Management-Katastrophe.” Dieses Fazit zog Wilfried Reiners, Rechtsanwalt mit IT-spezifischem Know-how, am Ende einer Podiumsdiskussion während des Security-Forums von silicon.de. Und alle Teilnehmer waren sich einig: Die Verantwortung dafür trägt nicht allein der Administrator, sondern einer, den Reiners als “männlich, über 45 und als einzigen im Unternehmen verzichtbar” bezeichnet: der Geschäftsführer. Während IT-Manager sich in Awareness üben, gehe das Bewusstsein in der Chefetage beim Thema ‘Sicheres internes Netz’ gefühlt und real gegen Null. Der Weg aus dem IT-Keller in das Zimmer mit Panoramablick scheint sehr weit und nicht mit ein paar Stufen zu überbrücken.

Trotzdem soll es möglich sein, ein Stück des Aha-Effekts der Techniker dem nur durch Zahlen zu erregenden Vorgesetzten zu vermitteln, motivieren die Experten. Es braucht aber offenbar ein Verhalten, das einen an früher erinnert, als die Mutter versuchte, dem Kind – das lieber ein T-Shirt anziehen wollte – den verhassten Pullunder schmackhaft zu machen: Das ist kein Pullunder, bloß ein T-Shirt ohne Ärmel.

Wo liegt das Problem?

Den Administratoren erzählt man hier nichts Neues. Sie wissen in der Regel um die Gefahren. Sie kennen die Produkte für Intrusion Detection, Intrusion Prevention, Antivirus, Firewalls, es gibt genügend Lösungen, die das Netz sicherer machen können.

Sie haben auch von den diversen Studien gehört, denen zufolge 80 Prozent der Angriffe auf das Firmennetz von innen kommen. Die Gründe sind bekannt. Erpressung und Sabotage kommt wahrscheinlich weniger vor als die Neugierde des Mitarbeiters (wen interessiert nicht, was der Chef verdient?), sein Ehrgeiz, die Kontrollen umgangen zu haben, oder schlicht seine Unwissenheit, die keiner bemerkt, weil niemand das Netz überwacht. In einer Umfrage von McAfee gaben 5 Prozent der Befragten an, in IT-Bereiche eingedrungen zu sein, für die sie keine Berechtigung hatten, Personal- und Buchhaltungsdaten inklusive.

Für Reiners ist das Täterpotenzial unter den Mitarbeitern deutlich geringer als 80 Prozent, “3 bis 5 Prozent sind da wohl realistischer”. Das sieht auch Udo Kalinna so, seines Zeichens CEO der Comco AG, eines Anbieter von Sicherheitslösungen für das interne Netzwerk. Dennoch passiere es, und man schweige gerne darüber. “Die betroffenen Unternehmen gehen damit selbstverständlich nicht hausieren”. Aber es sei einfach so kinderleicht, die Kontrollen, wenn sie denn überhaupt vorhanden sind, zu umgehen. Die Gefahr erwischt zu werden sei so gering, da “kann man sich schon sicher fühlen”, so Kalinna.

Fakt ist aber auch, dass die IT-Abteilung bei aller Kenntnis das Dilemma alleine mit den Arbeitnehmern an der Basis nicht beheben kann. Falls sie es jetzt noch nicht weiß, erfährt sie es spätestens in dem Moment, wenn sie vom Chef ein größeres Budget für die Sicherheit einfordert. Sie wird es nicht bekommen.

Schutzkleidung für die IT

Den Geschäftsführer interessiere nicht ein Produkt, das nur Geld kostet, die Performance in Mitleidenschaft zieht, die Produktivität nicht steigert und noch nicht einmal schön aussieht, grenzten die Beteiligten des Panels das Problem ein. Der Chef wolle schwarze Zahlen sehen und Umsatz machen.

Und doch müsse man ihm irgendwie vermitteln, dass er am Einsatz von Sicherheitslösungen nicht vorbei kommt. Das sei, so die Erfahrungen der Experten, nicht leicht. Für sie hat sich die IT in die Unternehmen eingeschlichen. Beispiel E-Mail: Bei klassischen Produktionsbetrieben werde seit jeher darauf geachtet, dass der Mitarbeiter nichts mitgehen lässt. Der Ausgang der elektronischen Post werde hingegen kaum kontrolliert. Da könnten Firmengeheimnisse versendet werden, ohne dass jemand Stopp schreit. “Wir gehen in Deutschland viel zu lasch mit dem Thema Sicherheit um”, so Kalinna.

“Für jede potenzielle Gefahr besteht eine Schutzmaßnahme, Helme beispielsweise”, erklärt auch Wolfgang Straßer, Chef des IT-Consulting-Unternehmens @-yet. In der IT gebe es “Null Awareness”. Das Management rund um die Sicherheit des Firmennetzes müsste viel konsequenter sein. “Dann ist es auch ganz egal, ob 5 oder 50 Prozent der Angestellten ihren kriminellen Energien ein Ziel geben müssen”, fasst Kalinna zusammen.

Wie also den Manager festnageln, ihm das Thema Security-Management schmackhaft machen? “Man muss ihn da packen, wo es weh tut”, meint Straßer. Die Druckpunkte liefert er gleich mit: Haftung und Geld. Wer es als Admin schafft, mögliche Schadensersatzforderungen und drohenden Umsatzverlust in einem Gespräch unterzubringen, ohne direkt über die IT zu sprechen (Pullunder zu T-Shirts ohne Ärmel machen), der hat eine wichtige Hürde genommen, glaubt er und formulierte Fragen wie: “Was ist Ihnen (dem Chef) ein Produktionsstillstand wert?” Oder: “Wie viel Ärger, Geld und möglicherweise Strafe würde es mit sich bringen, wenn Patente gestohlen oder Lizenzvereinbarungen verletzt würden?”

Wohlfühl-IT für den Chef

Berater und Provider waren sich unisono einig: geht man davon aus, der Admin weiß wo die Probleme liegen, er ist außerdem so versiert, dass er über IT sprechen kann, ohne die IT anzusprechen und schließlich weiß er, wo er seinen Vorgesetzten packen kann (Geld und Haftung), steigen seine Chancen, Gehör zu finden. Eine Garantie dafür gibt es nicht.

Geschäftsführer haben nämlich oft eine weitere unangenehme Eigenschaft: Sie glauben etwas nur dann, wenn aus einer Quelle mit hoher Autorität kommt – dem Admin wird sie oft genug nicht zugestanden. Ist das der Fall und der Admin bittet den Chef um ein Gespräch in seinem Büro, in der Kantine, auf dem Flur, bei einem Mittagessen beim Lieblingsitaliener – “wird der Chef nicht kommen”, mutmaßt Reiners. Das sei kein Affront  an die Admins, so der Anwalt, “es ist einer an die Geschäftsführer”. Der IT-Rechtler und Consultant rät zu einer “externen Veranstaltung in einem exklusiven Ambiente mit einem Gastgeber aus der Management-Ebene”.

Wie auch immer sich der IT-Leiter Gehör verschafft, er müsse oben anfangen, “weil sonst die ganze Technik nichts bringt”, resümiert Straßer. Das Problem sei, wie es immer heißt, der Faktor Mensch. Nur verwechseln dürfe man sie nicht. Die Mitarbeiter treffe die geringste Schuld. “Mitarbeiter würden sich sogar schulen lassen”, weiß Reiners. Immerhin wird die IT immer komplexer und Angriffsmöglichkeiten (im Teil 2) entwickeln sich manchmal schneller als die Lösungen, die sie blockieren sollen.

Den Prozess müsse aber der Vorgesetzte in Gang setzen. Er sei letztlich für seine Angestellten verantwortlich. Nicht der Admin. Der soll es aber in der Regel richten, wie man weiß. Und an ihm bleibt es hängen, zumindest muss er Schimpf und Schande ertragen, wenn die Produktion aufgrund eines Virus lahmgelegt oder intern ausspionierte Firmengeheimnisse dem Konkurrenten einen Wettbewerbsvorsprung verschafft haben. Gerade stehen muss trotzdem der Chef.