IT-Risiken werden ignoriert

Im Mittelstand herrscht kaum Risikobewusstsein, obwohl der Gesetzgeber Risikomanagement auch für die IT vorgeschrieben hat.

“Das Problem ist, dass sich Unternehmen der Risiken, die ihr Geschäft bedrohen, oft nicht bewusst sind”, sagt Lutz Cleemann, Leiter des Allianz Zentrum für Technik in München. Da fehle es an der Phantasie, vor allem was systematische Zusammenhänge angehe. Ein großes Gefährdungspotential geht seiner Meinung nach von der infrastrukturellen Vernetzung aus. “Viele Menschen und Unternehmen sind heute völlig abhängig vom Strom- oder Kommunikationsnetz. Fällt eine dieser Infrastrukturen aus, so kann das existenziell bedrohlich werden.”

Wo sind die Gefahren?

Und ein neuer Trend in der Gesetzgebung spielt eine Rolle: “Leiter von Unternehmen werden sehr viel stärker für Versäumnisse zur Rechenschaft gezogen als noch vor wenigen Jahren”, so Cleemann. In den letzten zwei bis drei Jahren hatte er eine ganze Reihe von Aufträgen, das Risikomanagement von Firmen zu überprüfen. “Die Qualität des Risikomanagements entscheidet letztlich darüber, welchen Risiken das Unternehmen wirklich ausgesetzt ist”, gibt er zu bedenken.

Weil sich alle Gefahren in keinem Fall vorhersagen lassen, kommt es seiner Meinung nach nicht nur auf das richtige Versicherungskonzept an, sondern vor allem auch auf Vorkehrungen, die den reibungslosen Fortgang des Geschäftsablaufs im Katastrophenfall sichern. Entgegen der Erfahrungen von Peter Prechtel geht Cleemann davon aus, dass Risikomanagement-Systeme heute fast Standard in Unternehmen sind. Innerhalb der Allianz beispielsweise kümmert sich ein ganzes Team, an dessen Spitze ein Chief Risk Officer steht, weltweit um das Thema.

Thorsten Hofmann ist ebenfalls Krisenmanager. In dieser Funktion hat er beim Bundeskriminalamt, im Innenministerium und im Krisenstab des Auswärtigen Amtes gearbeitet. Vor drei Jahren gründete er die Agentur PRGS-ECCO in Berlin, die auf Krisenmanagement spezialisiert ist. Zur Kundschaft zählen Behörden sowie nationale und internationale Unternehmen. Für die entwickelt er potentielle Bedrohungsszenarien, baut Krisenstäbe auf und trainiert mit ihnen den Ernstfall.

Risikofaktor ‘Frustrierter Mitarbeiter’

Vor kurzem hatte er mit folgendem Fall zu tun: Ein geschätzter Mitarbeiter eines Telekommunikationsunternehmens bekam familiäre Probleme und rutschte in den Alkoholismus ab. Weil er deshalb seine Arbeitsleistung nicht mehr bringen konnte, wurde er mehrfach abgemahnt und schließlich gekündigt. Damit hatte er gerechnet und, um seine Sucht auch danach finanzieren zu können, hatte er Telefondaten von VIPs geklaut, mit denen er nun versuchte, seinen ehemaligen Arbeitgeber zu erpressen. Er drohte damit, die Listen an die Presse weiterzugeben. Das prekäre war, dass die ausgewählten VIPs regelmäßig 0190er Nummer angerufen hatten. “Wären die Listen an Zeitungen gelangt, hätte das Telekommunikationsunternehmen nicht nur einen Imageschaden davongetragen, sondern wohl auch noch immense Schadensersatzklagen bekommen”, so Hofmann. Glücklicherweise konnte er den Erpresser umstimmen.

Um das Risiko einer IT richtig einzuschätzen, müsse man sich seiner Ausgangslage bewusst sein, sagt er. Eine öffentliche Datenbank sei sicherlich nicht so interessant für einen Angreifer wie die Informationstechnologie eines Konzerns, der für die Rüstungsindustrie militärische Produkte herstellt. Bedrohungen sind nun mal abhängig vom Umfeld und der Umwelt, in der das Unternehmen arbeitet. Ein weiterer Punkt ist die Sensitivität der im System verarbeiteten Informationen. Darüber war sich das Telecom-Unternehmen auch nicht bewusst. “Für sich genommen sind Telefonlisten unbedenklich, können sie aber bestimmten Personen und deren Anrufverhalten zugeordnet werden, entsteht daraus ein Risiko”, sagt Hofmann.