Search Icon
ConnectProfessional Logo
Search Icon
Startseite > Markt > Schluss mit den Angst-Szenarien

Schluss mit den Angst-Szenarien

17. November 2005, 0:00 Uhr |
Fortsetzung des Artikels von Teil 1

Schluss mit den Angst-Szenarien (Fortsetzung)

Vergeudete Zeit als ­Hauptschaden
Ein seriöser Sicherheits-Dienstleister versucht nicht, seinen Kunden Angst zu machen, sondern schafft ein Klima des Vertrauens. Zwei Beispiele aus der Praxis sollen erläutern, womit der Mittelständler zu rechnen hat. Beispiel 1: Einem Unternehmen aus dem Kölner Raum mit etwa 60 Mitarbeitern wurde vor einigen Jahren die Personaldatei entwendet. Kurze Zeit später erfolgte ein Abgang von Leistungsträgern, die mit punktgenauen Angeboten weggelockt werden konnten. Diesen Aderlass hat das Unternehmen nicht überstanden, es verschwand vom Markt. Ein solches Szenario wird indes einen mittelständischen Unternehmer kaum dazu bewegen, seine IT-Risiken deutlich zu senken. Er weiß, dass es sich hier um ein Restrisiko mit geringer Eintrittswahrscheinlichkeit handelt. Er kann sich letztlich auch nicht vor kriminellen Innentätern schützen, die in einem Vertrauensverhältnis stehen.
Der zweite Fall beschreibt die Situation eines typischen Mittelständlers deutlich besser. Ein Geschäftsführer eines etwa zehnköpfigen Unternehmens hatte sich 2004 das Sasser-Virus eingefangen. Das Virus fährt zunächst den Rechner herunter, der Geschäftsführer kann es aber mit einem geeigneten Entfernungstool von der Festplatte wieder löschen. Ihm ist auch bekannt, dass sich Sasser durch eine Lücke im Windows-Betriebssystem verbreitet und dass man diese Lücke durch ein Sicherheitsupdate, einen so genannten Patch, schließen muss. Er fährt seinen Rechner nach Reinigung also wieder hoch, schließt ihn an das Internet an und beginnt von den Microsoft-Webseiten das Sicherheits-Patch herunter zu laden. Dies dauert ein paar Minuten, und das reicht dem Virus, um erneut zuzuschlagen. Sasser ist nämlich ein Netzwerk-Virus, das keine Email-Kommunikation für seine Verbreitung benötigt, sondern ein ungeschützt mit dem Internet verbundenes System direkt befällt. Das Sasser-Virus fährt den Rechner also wieder herunter, und das Spiel beginnt von neuem. Nach einigen weiteren Versuchen besorgt sich der Geschäftsführer das Patch auf anderem Wege und wird den Schädling so wieder los.
Der Schaden, der hier aufgetreten ist, beschränkt sich auf einen Zeit- und damit Effizienzverlust. Dies ist in aller Regel der Normalschaden, der durch Schwächen bei der Internet-Sicherheit ausgelöst wird. Natürlich drohen weitere Schäden, insbesondere bei Berufsgruppen, die aufgrund der Sensibilität der verarbeiteten Daten ein höheres Risiko tragen, wie zum Beispiel Ärzte und Steuerberater. Aber auch dort wird Zeitverlust der Primärschaden sein, dem dann weitere Negativauswirkungen folgen können.

30 Prozent Gewinnausfall
Da der Zeitverlust im Mittelstand meist nicht erfasst und schon gar nicht finanziell bewertet wird, macht sich auch kein großes Schadensgefühl breit. »Et hätt noch immer jot jejange«, wie es in Köln heißt. Das ist in Großunternehmen anders, wo jede Stunde in die Kostenträgerrechnung einfließt und solche Schäden/ Kosten am Monatsende automatisch im Berichtswesen auffallen.
Dass Zeitverlust in jedem Unternehmen schnell den Gewinn aufzehrt, macht folgende einfache Überlegung klar. Wenn jeder Mitarbeiter täglich 15 Minuten für das Aussortieren und Wegwerfen von Spam-Mails verbraucht, summiert sich das auf 50 Stunden Zeitverlust jährlich und für jeden Mitarbeiter bei den üblichen 200 Tagen, die ein Arbeitnehmer pro Jahr produktiv sein kann. Erwirtschaftet das Unternehmen eine Rendite von 10 Prozent, bedeutet das: Von den geleisteten 1600 Jahresstunden erbringen nur 160 Stunden (= 10 Prozent) den Gewinn. 50 Stunden zusätzlicher Spam-Ausfall vernichten also mehr als 30 Prozent des Gewinns, wenn nicht an anderer Stelle die Produktivität gesteigert werden kann. Das entspricht einer Schadenssumme von mehr als 3000 Euro pro Mitarbeiter, wenn man 100000 Euro Jahreskosten (Personal- und Nebenkosten) annimmt. Dieser Schaden muss nicht hingenommen werden, denn schon für 1 Prozent der Schadenssumme ist professioneller Spam-Schutz erhältlich, der 90 Prozent des einkommenden Spam-Verkehrs ausfiltert und ? falls gewünscht ? löscht.

Konzentration auf ­Kernbedrohungen
Als mittelstandstauglicher Einstieg in den Verbesserungsprozess hat sich die Schwachstellenanalyse bewährt. Durch die Konzentration auf Kernbedrohungen und kritische Systeme können die Kosten erstaunlich niedrig gehalten werden. Außerdem bietet das Verfahren bei der Kosten-Nutzen-Relation die besten Werte. Dies verwundert nicht, denn ein Sicherheitszuwachs auf hohem Niveau kommt immer viel teurer als ein solcher am Anfang der Prozess-Kette.
Damit es mit der Internet-Sicherheit auch im Mittelstand vorangeht, ist in erster Linie ein Umdenken auf Anbieterseite erforderlich. Die Angebote sollten Maßnahmen gegen die wichtigsten Bedrohungen miteinander verzahnen. Einzelkomponenten führen in der Regel ebenso wenig zum Ziel wie Horrorszenarien. Und nicht zuletzt sollten bei der Leistungsinformation die Schutzfunktionen im Vordergrund stehen und nicht technische Details. Dr. Kurt Brand ist Geschäftsführer des Beratungsunternehmens Pallas GmbH

  1. Schluss mit den Angst-Szenarien
  2. Schluss mit den Angst-Szenarien (Fortsetzung)
Jetzt kostenfreie Newsletter bestellen!

Matchmaker+
AfB gemeinnützige GmbH

AfB gemeinnützige GmbH
kiwiko eG - IT-Expertennetzwerk

kiwiko eG - IT-Expertennetzwerk
Softing IT Networks GmbH

Softing IT Networks GmbH
Redgate Software

Redgate Software
Dahua Technology GmbH

Dahua Technology GmbH
AvePoint Deutschland GmbH

AvePoint Deutschland GmbH