mz_logo

Ostbayern
Dienstag, 21. November 2017 7

IT-Sicherheit

„In der Praxis haben wir große Probleme“

Gespräch mit Mark Semmler, Geschäftsführer Mark Semmler GmbH, über Defizite der Unternehmen im Bereich Informationssicherheit
Von Thomas Tjiang, Wirtschaftszeitung

Mark Semmler: „Der Mittelstand, der klassische KMU-Betrieb, hinkt dummerweise (...) noch einmal zehn oder fünfzehn Jahre hinterher. Da klopfen erst jetzt Viren wie Locky und NotPetya an die Türen.“Foto: Thomas Tjiang

Nürnberg.Herr Semmler, warum geht in den Unternehmen in Sachen Informationssicherheit so viel schief?

Mark Semmler: Informationssicherheit beschäftigt sich mit dem sicheren Umgang mit Informationen. Dazu zählen die Kardinalziele Vertraulichkeit, Integrität und Verfügbarkeit der Information. In der Praxis haben wir tatsächlich große Probleme. Wir eiern mit Verfahren durch die Gegend, die nie für das zusammengebaut worden sind, wofür sie heute verwendet werden. Das Internet wurde zum Beispiel zusammengebastelt, als man quasi noch mit Holzschuhen rumlief, die Leute sich untereinander vertrauten und Informationssicherheit kein Thema war. Zweites Problem: Die Informationsverarbeitung ist noch nicht in der Realität der obersten Führungsebene angekommen. Die denken immer noch, das machen die Jungs im Keller.

Das halten Sie für fahrlässig?

Informationsverarbeitung ist heute das Nervenkostüm des Unternehmens. Wettbewerbsvorteile, aber auch der Bestand des Unternehmens hängen von einer guten, voraussehbaren, zuverlässigen und sicheren Informationsverarbeitung ab. Wenn Führungskräfte das ignorieren, drohen ganz oft hohe Verluste bis hin zur Pleite.

Kann man bei der Informationssicherheit unterscheiden zwischen Konzernen einerseits und kleineren und mittleren Unternehmen andererseits?

Konzerne haben Informationssicherheit als Risiko für ihr Geschäft erkannt und haben – zum Teil gut, zum Teil mit heftigen Defiziten – versucht, gegenzusteuern. Nur weil sie Konzerne sind, heißt das noch lange nicht, dass ihre IT sicher ist. Da gibt es üble Beispiele. Der Mittelstand, der klassische KMU-Betrieb, hinkt dummerweise hinter dieser Entwicklung noch einmal zehn oder fünfzehn Jahre hinterher. Da klopfen erst jetzt Viren wie Locky und NotPetya an die Türen.

Sie simulieren bei Firmen unter anderem eine Verschlüsselung und lassen von der IT-Abteilung einen leeren Rechner wieder betriebsbereit herstellen. Mit welchen Ergebnissen?

So ein Test zeigt deutlich, wie unterirdisch das Informationssicherheitsniveau bei ganz vielen Mittelständlern ist. Nur die allerwenigsten Firmen sagen: Kein Problem, von unseren wichtigen Maschinen haben wir Anlaufpläne und getestete Datensicherungen. Aber bei ganz vielen Unternehmen dauert es viel zu lang, bis die Rechner wieder funktionieren oder sie erkennen im Rahmen solcher Tests, dass die Datensicherung nicht so gelaufen ist, wie sie hätte laufen müssen. Ganz grundlegende Dinge sind überhaupt nicht da.

Das meinen Sie selbst beim Thema Datensicherung?

Eine Datensicherung nützt gegebenenfalls relativ wenig, wenn man den Mitarbeitern vorher nicht erzählt hat, wo um Himmels willen sie ihre Daten hinspeichern müssen. Man findet die Daten auf Laptops, auf USB-Sticks, auf Workstations oder in irgendeiner Cloud, aber nicht auf dem Server. Da hat sich dann eine Schatten-IT etabliert, an die die Administratoren gar nicht rankommen.

Es gibt einen BSI-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik, eine ISO 27001 und eine VdS-3473-Richtlinie. Was kann man davon als Mittelständler stemmen?

Beim bisherigen BSI würde ich ein dickes Fragezeichen machen, weil es einfach zu aufwendig ist. Das wird gerade angepasst. Die ISO 27001 kann man stemmen, allerdings sind auch hier die Aufwände heftig. Ein Mittelständler muss mit eineinhalb Personenjahren rechnen, wenn er die sauber zum Fliegen bekommen will. Aus dem Bauch heraus würde ich sagen, mehr als zwei Drittel der ISO-27001-Projekte scheitern. Verschiedene Verbände empfehlen kleinere Ansätze, mit denen man im überschaubaren Rahmen die Probleme nach dem Pareto-Prinzip stemmen kann. Ich mache mal Werbung für die VdS 3473.

Was leistet diese Richtlinie?

Bei dieser Richtlinie gilt das Pareto-Prinzip: 20 Prozent Aufwand für 80 Prozent des Weges. Aber Achtung: Die Richtlinie ist immer noch keine „wir trinken mal einen Kaffee und haben etwas geschafft“-Richtlinie. Vielmehr muss immer noch Geld und Arbeitszeit investiert werden. Aber das Schöne ist, die 3473 ist aufwärts kompatibel zur ISO 27001. Wenn die der Gipfelsturm der Informationssicherheit ist, ist die 3473 das erste Basislager, das man einfach erreichen kann. Da kann man Höhenluft schnuppern: Was bedeutet Informationssicherheitsmanagement? Was muss alles getan werden? Wo sind die Probleme? Dann kann man in Ruhe entscheiden, will ich – oder muss ich, weil ich gezwungen werde – auf die ISO 27001 hoch oder kann ich hier erst einmal stehen bleiben.

Lesen Sie zu diesem Thema auch folgenden Artikel: Das Problem sitzt häufig vor dem Monitor

•Dieser Text ist ein Beitrag aus der Wirtschaftszeitung. Hier geht es zum E-Paper. www.die-wirtschaftszeitung.de/epaper

Die Kommentarfunktion steht exklusiv unseren Abonnenten zur Verfügung. Als Abonnent melden Sie sich bitte an oder registrieren Sie sich. Alle anderen Nutzer finden preiswerte Angebote in unserem Aboshop.

Anmelden Registrieren Zum Abo-Shop

Sie sind noch nicht registriert?

Neu registrieren

MessageBox

Nachricht