IT braucht umfassende Sicherheitskonzepte – keine Bauernfängerei mit Standard-Lösungen

Die 2013 bekanntgewordenen Ausspäh-Attacken aus dem Ausland weisen einige Parallelen zu damals auf – der NSA-Skandal ist sozusagen das “Tschernobyl” der IT-Sicherheit: Auch hier hat die breite Bevölkerung schlagartig erfahren, welche Bedrohungen in der digitalen Welt lauern. Genau wie 1986 haben die Experten und die Öffentlichkeit zwar das Problem erkannt, aber genau wie damals herrscht heute keine Einigung über die notwendigen Konsequenzen: Weder die politisch Verantwortlichen noch die IT-Industrie haben endgültige Antworten auf die Frage gefunden, wie wir Datensicherheit und Datenschutz in einer hochvernetzten digitalen Welt sicherstellen können.

Es gibt  noch eine weitere Parallele zwischen dem Tschernobyl-Unfall und dem NSA-Skandal: In beiden Situationen gab und gibt es Geschäftsleute, die die Verunsicherung der Kunden ausnutzen wollen. So ging 1986 der Absatz von Geigerzählern nach der Havarie des Kernkraftwerks sprunghaft nach oben – die Baumärkte meldeten “ausverkauft”. Viele Menschen wollten wissen, ob das Gemüse auf dem Wochenmarkt verstrahlt sei oder nicht und kauften deshalb einen Strahlenmesser. Das Problem war allerdings: Ohne spezielles Fachwissen und weitere Details können die meisten Nicht-Fachleute mit den vom Gerät gelieferten Werten nichts anfangen, häufig verwechselten sie die natürliche Umweltstrahlung  mit Verseuchung.

Auch im Zuge des NSA-Skandals versuchen nun verschiedene – auch große renommierte – Anbieter, die Kundenverunsicherung in Bezug auf die Sicherheit der IT-Systeme für sich auszunutzen. Besonders “den Mittelstand” identifizieren sie häufig als – vermeintlich ahnungslose – Zielgruppe. Angeboten wird dann gerne eine speziell abgesicherte Internet-Verbindung zu einer sicheren Cloud-Lösung. Dieses angebliche Rund-um-Sorglos-Paket suggeriert, dass dies die Lösung aller IT-Sicherheitsprobleme sei.

Bei diesen Angeboten gibt es zwei Probleme: Erstens sind sie nicht neu. Derartige Lösungen bieten viele IT-Dienstleister bereits seit Jahren. Das an sich ist nicht dramatisch, aber der zweite Punkt macht diese Angebote sogar gefährlich: Eine abgesicherte Internet-Leitung ist nur eine Einzelkomponente in einem ganzheitlichen IT-Sicherheitskonzept und alleine niemals ausreichend, um die kritischen Unternehmensdaten zu sichern. Heute kann man sich nicht mehr auf die Absicherung des Perimeters verlassen. Unternehmen sind heutzutage mit Kunden und Lieferanten vernetzt, man bohrt also ganz bewusst Löcher in die Internet-Firewall. Der Schutz von Informationen ist damit wichtiger als der Schutz der technischen Infrastruktur. Themen wie Data Loss Prevention und Identity Management gewinnen dadurch an Bedeutung.

Zu beantworten ist grundsätzlich die Frage, wer darf wann und wie auf welche Daten zugreifen, denn Identitätsdiebstahl kann eine verheerende Wirkung haben.

Wie aktuelle Studien und unsere Erfahrungen belegen, kommt die Bedrohung nicht nur von außen, sondern auch von innen – hier schützt eine sichere Internetverbindung überhaupt nicht.

Ein Jahr nach Bekanntwerden der NSA-Ausspähungen einfach Standard-Sicherheitspakete unter dem Label “Umfassende Sicherheit” zu verkaufen, ist schlicht Bauernfängerei. Kein Unternehmen in Deutschland, das über kritische und schützenswerte digitale Daten verfügt, sollte sich darauf einlassen. Dies gilt besonders für mittelständische Unternehmen, denen man ja gerne vermeintlich günstige Produkte “von der Stange” anbietet. IT-Sicherheit ist eine zentrale Aufgabe im Unternehmen, auf demselben Level wie Beschaffung oder Produktentwicklung. Wer dieses Thema vernachlässigt, riskiert den wirtschaftlichen Erfolg seiner gesamten Unternehmung.