Staatlicher Alarmdienst soll Mittelstand vor Sicherheitslöchern warnen

Sicherheit ist nach wie vor ein Sorgenkind im deutschen Mittelstand. Rund 80 Prozent der heimischen KMUs nützen laut Schätzungen des Bundeswirtschaftsministeriums IT-Netzwerke – aber nur 20 Prozent sind gegen Bedrohungen wie Viren oder Würmer tatsächlich ausreichend abgesichert. Diesem Manko will der Branchenverband Bitkom nun gemeinsam mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und dem Bundeswirtschaftsministerium entgegentreten. M-Cert heißt das Zauberwort, mit dem Mittelständler künftig vor allen Gefahren aus dem Netz rechtzeitig gewarnt werden sollen.
Das Ganze funktioniert ähnlich wie ein Newsletter, wenn auch der Bitkom den Ausdruck ‘Abo-Dienst’ bevorzugt. “Die Grundidee ist ein Emergency Response Center”, erläutert Bitkom-Präsident Willi Berchtold, “mit zu Beginn nicht mehr als vier bis fünf Mitarbeitern.” Unternehmen können den Dienst abonnieren und ihr individuelles Firmenprofil, also die verwendeten Systeme und die Software, angeben. Dann, so versprechen die Initiatoren, erhalten die beteiligten Betriebe per E-Mail personalisierte Ad-Hoc-Meldungen zum Thema Security, etwa beim Auftauchen neuer Viren oder Würmer, sowie konkrete und verständlich formulierte Handlungsempfehlungen.

Das Konzept ist nicht neu. Der Bund arbeitet bereits mit einem Emergency Response Team; zudem gibt es europaweit ähnliche Einrichtungen, die mit M-Cert kooperieren. “Im Bund haben wir Beachtliches erreicht”, lobt Bundesinnenminister Otto Schily die Strategie, “und ich bin überzeugt, dass M-Cert für die Sicherheitsbelange der Mittelständler sehr wichtig wird.” Rezzo Schlauch, Parlamentarischer Staatssekretär im Bundeswirtschaftsministerium, will vor allem das Sicherheitsbewusstsein in deutschen Betrieben erhöhen: “Investitionen in IT-Sicherheit erzeugen für den Mittelstand einen klaren Mehrwert.” Gleichzeitig mit M-Cert startet der Bund daher die Informationskampagne ‘Mittelstand sicher im Internet’, mit der, so Schlauch, kleinere Betriebe für die Thematik sensibilisiert werden sollen.

Tatsächlich scheinen zahlreiche Mittelständler in Deutschland die Sicherheit noch immer nicht auf ihrer Prioritätenliste zu haben. “Der Nutzen von IT-Sicherheit wird noch nicht ausreichend wahrgenommen”, formuliert Schlauch. Und das, obwohl allein im ersten Quartal 2003 weltweit mehr als 160 Millionen IT-Sicherheitsvorfälle registriert wurden. Der finanzielle Schaden wird pro Virenbefall und Unternehmen auf stolze 5800 Euro geschätzt. In Deutschland wurden im Jahr 2002 immerhin 16 Prozent der Computer von Viren befallen. Zum Vergleich: Im Jahr 1996 war es gerade mal 1 Prozent.

Gleichzeitig wird das Internet im Geschäftsbereich immer unverzichtbarer. Im laufenden Jahr werden nach Berechnungen des Bitkom allein in Deutschland Güter im Wert von rund 150 Milliarden Euro via Internet gehandelt; 135 Milliarden Euro davon entfallen auf den B2B-Bereich. Damit, so Bitkom-Präsident Berchtold, sei der heimische E-Business-Markt größer als die entsprechenden Märkte von Italien, Spanien und Portugal zusammen. Für die kommenden Jahre rechnet der Verband mit einer weiteren Steigerungsrate von 70 Prozent.

Darum soll M-Cert die Mittelständler nun endgültig wachrütteln und auf die Gefahren im Netz aufmerksam machen. Zu Beginn beteiligen sich das BSI und das Bundeswirtschaftsministerium mit je 100.000 Euro an der Finanzierung; das entspricht einem Anteil von jeweils 20 Prozent. Später soll sich M-Cert durch die Mitgliedsbeiträge selbst finanzieren. Und die sind recht moderat: 50 Euro muss ein Unternehmen pro Jahr berappen, um in den Basisdienst aufgenommen zu werden. Dieser spricht laut Bitkom-Manager Peter Bross vor allem kleinere Betriebe mit bis zu 50 Mitarbeitern an, die meist keinen eigenen Systemadministrator haben: “Die Meldungen sind sehr klar formuliert, sodass sie auch von jemandem verstanden werden, der kein IT-Spezialist ist.” Größere Unternehmen mit bis zu 500 Mitarbeitern und einem eigenen IT-Administrator können die Expertenversion abonnieren. Diese kostet 300 Euro im Jahr und bietet Informationen, die mehr ins Detail gehen und sich an den technisch versierten Fachmann wenden.

Freilich ist M-Cert im Grunde nicht viel mehr als ein personalisierter Newsletter, der zudem nur in eine Richtung funktioniert: Die Unternehmen können sich mit Fragen oder Problemen nicht an die M-Cert-Experten wenden. Schließlich sei es kein technischer Hilfsdienst, erläutert Bitkom-Präsident Berchtold: “Wir können keine Software updaten oder Ähnliches.” Womit M-Cert zwar rechtzeitig vor herannahenden Gefahren warnt und Strategien zum Schutz vorschlägt, den Unternehmer aber letztlich mit der Umsetzung allein lässt.

Trotzdem ist man beim Bitkom wie auch in der Bundesregierung hochzufrieden. “Vorbeugen ist besser als heilen”, sagt Berchtold und fügt hinzu: “Und auch billiger.” M-Cert sei daher “wichtig und beispielhaft”: Derzeit gebe es kein entsprechendes Angebot für die Sicherheitsbedürfnisse des deutschen Mittelstandes. Weshalb Berchtold hofft, dass sich zahlreiche Unternehmen der Initiative anschließen: Allein von den 1300 Bitkom-Mitgliedern solle sich “ein signifikanter Anteil” an M-Cert beteiligen.

Bundesinnenminister Schily denkt inzwischen schon einen Schritt weiter. Im kommenden Jahr ist ein Bürger-Cert geplant, das nach demselben Schema funktioniert: “Die Bürger sollen für ihre privaten Rechner verständliche Informationen bekommen, wie sie sich vor Angriffen schützen können.” Vorerst aber muss sich M-Cert erst einmal bewähren. Schily richtet dazu noch einen Appell an die Industrie: “Sie muss die Sicherheitsaspekte bei ihren Produktstrategien stärker berücksichtigen. Schließlich ist Sicherheit heute ein nicht zu unterschätzendes Verkaufs- und Marketinginstrument.”