Auch mittelständische Firmen haben in den letzten Jahren die Vernetzung stark vorangetrieben. Das hat die Kommunikation zu Kunden und Lieferanten erleichtert, gleichzeitig aber das Tor für »unfreundliche Besucher« – wie Viren, Würmer, Hacker oder Spam – geöffnet. Die Frage ist, wie Mittelständler ihre IT wirksam schützen können.

Ein ganzheitlicher Ansatz im Security-Konzept vermeidet, dass sich unbemerkt Lücken im Schutzwall der Unternehmens-IT auftun.

Ohne Internet-Anbindung sind viele Geschäftsvorgänge heute kaum noch denkbar. Immer mehr IT-Systeme, die früher gut abgeschottet im Rechenzentrum liefen, werden heute über das Internet vom Außendienst, von zu Hause, von Kunden oder Lieferanten genutzt – beziehungsweise gar von einem Outsourcing-Partner betrieben.

Aus dieser notwendigen Offenheit des Firmennetzes resultieren automatisch neue informationstechnische Bedrohungen für das Unternehmen. Diese Bedrohungen lassen sich in absichtliche sowie unabsichtliche Bedrohungen unterteilen. Unvermittelt steht der Unternehmer daher vor zwei Fragen: Wie schütze ich meine Anwendungen und Daten vor äußeren und inneren Angriffen? Und: Wie sorge ich für ein rasches und zuverlässiges Backup, um die Daten auch nach Katastrophen, technischen Störungen oder menschlichem Versagen schnell wieder rekonstruieren zu können?

Eine dritte Frage schließt sich automatisch an: Gibt es Lösungen zur Gewährleistung von Datenschutz und Datensicherheit auf dem Markt, die auf mittlere und kleinere Firmen zugeschnitten sind – sprich mit wenig Aufwand eingeführt und betrieben werden können? Denn in technologischer Hinsicht hat der Mittelstand vor allem mit wachsenden Datenbeständen, Sicherheitslücken im Netzwerk, der mangelnden Integration von Anwendungen sowie einer heterogenen Systemwelt zu kämpfen, die die Administration zusätzlich erschwert. Zusätzlich verschärfen sich im Mittelstand die Sicherheitsprobleme im Vergleich zu Großunternehmen noch dadurch, dass normalerweise die wenigen IT-Experten bereits mit anderen Aufgaben voll ausgelastet sind, wenig Sicherheits-Know-how vorhanden ist und die knappen Finanzmittel meistens anderweitig investiert werden.

Mankos im Sicherheitsmanagement

Kein Wunder also, dass das IT-Sicherheitsmanagement im deutschen Mittelstand noch unzureichend ist, wie die Wirtschaftsprüfungsgesellschaft Deloitte & Touche jüngst in einer gemeinsam mit der Handelskammer Hamburg durchgeführten Umfrage ermittelte. Danach birgt der organisatorische und technische Status der IT- (Sicherheits-) Infrastruktur deutscher Mittelständler enormes Verbesserungspotential. Bemängelt wird vor allem, dass Mittelständler generell sehr geringe, oft dramatisch niedrige Budgets für IT-Sicherheitsmaßnahmen bereitstellen. Und wenn Unternehmen die Basissicherheitstechnologien bereits eingeführt haben oder die Einführung planen, kann die Einbettung in die Organisation noch verbesserungswürdig sein, so die Berater. Klar sei, dass künftig weiterer Bedarf an neuen, technisch verbesserten Abwehr- und Managementsystemen besteht.

Denn Zahl und Dauer von Systemausfällen sind direkte Folge des restriktiven Investitionsverhaltens und der Intensität der IT-Nutzung. Denn je intensiver die IT-Unterstützung der Geschäftsprozesse ist, desto größer ist die Abhängigkeit von der IT und desto höher sind die Anforderungen an ihren Schutz vor Missbrauch und Ausfall. Auf diese einfache Formel lässt sich die Investitionsrechung für Projekte zur Verbesserung der IT-Sicherheit bringen. So wächst mit dem Umfang der Störungen die Einsicht, dass es sich dabei um kein »unvermeidliches Übel« handelt.

Eines ist klar: Wenn erst die IT durch einen Wurm lahm gelegt ist und sämtliche aktuellen Daten im Nirwana verschwunden sind merkt der Unternehmer, wie schmerzhaft sich ein Datenverlust auf den Geschäftsverlauf auswirkt. Dann kann es aber schon zu spät sein, denn es drohen unwiederbringliche Umsatzverluste und deutliche Produktivitätseinbußen – die eine angemessene Investition in IT-Sicherheit lohnenswert gemacht hätten. Ähnlich wie bei einer Ampel ist die Wirtschaftlichkeit dieser Sicherheitsmaßnahmen also durch vermiedene Störungen und Ausfälle gegeben und beispielsweise durch eine Reduktion der Schadenshäufigkeit nachweisbar.

Neben die wirtschaftlichen Gründe treten auch rechtliche Aspekte, die mittelständische Unternehmer zunehmend motivieren, in die IT-Sicherheit zu investieren. Zu den wichtigsten Projekten, die derzeit im deutschen Mittelstand angepackt werden, zählen organisatorische Verbesserungen an der Infrastruktur, am Applikationsumfeld und am Security-Management sowie die Implementierung von VPN-Lösungen für Mitarbeiter und die Umgestaltung der Firewall-Lösung. Die ebenfalls dringend notwendige technische Umgestaltung der Netze zur Verbesserung der Sicherheit und der Zugangskontrollen – das Identitäts-Management – wird allerdings immer noch viel zu selten in Angriff genommen.

Es empfiehlt sich, die Konsolidierungs- und Integrationsarbeiten auch auf die Datenschutz- und Datensicherungslösungen auszuweiten, um etwaige Lücken zu schließen und erkannte Risiken zu minimieren. Mittelständler haben damit allerdings oft ein Problem: Sie mussten bisher unterschiedliche Security- und Backup-Produkte anschaffen, die dann einzeln installiert und betrieben werden. Das führt zu Mehrarbeit in der Systemadministration, da die Zusammenarbeit der Einzelprodukte organisiert werden muss, um etwaige Lücken im Schutzwall zu schließen und die Zusammenarbeit der Sicherheitslösungen so zu gestalten, dass diese sich ergänzen und nicht etwa stören.

Vor diesem Hintergrund hat zum Beispiel Computer Associates unter dem Oberbegriff »Total Data Protection« als eine Lösung entwickelt, die im Vergleich zu mehreren Einzellösungen sowohl leichter installier- und administrierbar als auch kostengünstiger ist – und gerade deshalb für kleinere Betriebe interessant. Sie verbindet die »eTrust«-Sicherheitslösungen zum Schutz vor Viren und Spam mit Backup- und Recovery-Technologien. Ein solches »Kombipaket« senkt nicht nur den Arbeitsaufwand in der Systemadministration, sondern bietet auch weitere geldwerte Vorteile: Es ist aus einem Guss, basiert auf technologischen Standards und lässt sich deshalb einfach in unterschiedlichste IT-Infrastrukturen zu integrieren. Gleichzeitig lässt damit der Support- und Service-Aufwand auf einen einzigen Lieferanten für Datenschutz und Datensicherung konsolidieren.

Kein Backup für Viren

Dazu kommt ein deutliches funktionales Plus durch die integrierte Zusammenarbeit von Backup und Virenscan, die sich in ihrer Funktionalität gegenseitig nicht einschränken, sondern vielmehr sinnvoll ergänzen. So ist beispielsweise die technische Problematik von vorneherein ausgeräumt, dass Virenschutzprogramme das Backup verlangsamen, wenn sie verhindern, dass infizierte Daten auf die Backup-Medien gelangen. Das ist entscheidend, denn andernfalls läuft man Gefahr, sich bei jeder Datenwiederherstellung erneut mit den alten Viren und Würmern zu infizieren.

Sind Backup und Restore sowie der Virenschutz nicht in eine Gesamtlösung integriert, müssen die Administratoren die Datenbestände vor jedem Backup auf Virenbefall durchsuchen. Das kostet Zeit, die sich besser für andere Aufgaben nutzen ließe. Eine integrierte Lösung scannt die Daten und das System erkennt selbstständig, ob die Daten virenfrei sind, und schreibt sie direkt aufs Medium.

Lösungen wie der E-Trust-Secure-Content-Manager erweitern diesen integrierten Schutz darüber hinaus um Spam- und URL-Filter und gehen damit wirksam gegen die Flut unerwünschter E-Mails und die Folgen unerlaubten Surfens am Arbeitsplatz vor. Weil Unternehmen einen Großteil der E-Mails aus rechtlichen Gründen veränderungssicher speichern müssen, ergibt sich angesichts der Spam-Flut ein gravierendes Problem: Versäumen die Administratoren es, Spams auszufiltern oder zu löschen, blockiert der Werbemüll auf teuren Speichermedien wertvollen Raum. Verhindern lässt sich das am wirksamsten durch eine enge Integration von Spam-Filter und Backup-Software. Daneben unterbinden Content-Filter, dass bösartige Programmcodes als Java- oder Activex-Applets ins Firmennetz gelangen.

Außerdem ist es empfehlenswert, die unsachgemäße Internet-Nutzung schon im Vorfeld zu blockieren und auch mit Blick auf etwaige Downloads das Backup/Restore-System eng mit der Sicherheitssoftware zu verzahnen. Denn die Produktivität sinkt, wenn Mitarbeiter im Internet surfen, anstatt zu arbeiten. Zudem gelangen irrelevante und im schlimmsten Fall rechtswidrige Daten auf die Firmenrechner. Heruntergeladene Bilddaten verschlingen beispielsweise viel Speicherraum und sollten auf keinen Fall auf Backup-Medien geraten. Content- und URL-Filter kontrollieren auch den ausgehenden Datenverkehr und die aufgerufenen Websites lückenlos; der Zugang zu unerwünschten Internet-Seiten wird regelbasiert abgeblockt.

Angesichts der sich abzeichnenden Konsolidierung sind dabei Leistung und Sklalierbarkeit der kombinierten Sicherheitslösung gefragt, damit diese auch künftigen Anforderungen gerecht werden kann und nicht mangels Leistungsfähigkeit ausgetauscht werden müssen. Moderne Backup-Lösungen sollten beispielsweise mehrere Backup-Jobs gleichzeitig auf ein Band schreiben können (Multiplexing) und auch Remote-Dateisysteme unterstützen, so dass das IT-Personal Backup-Jobs auch an andere Server im Netz schicken kann.

Entscheidend wichtig ist nicht zuletzt eine möglichst weitgehende Plattformunabhängigkeit, so dass sich Backup-Jobs einheitlich in unterschiedlichste IT-Landschaften einsetzen lassen, mit Servern unterschiedlichster Bauart – beispielsweise Windows, Netware, Unix, Linux – sowie allen wichtigen Speichertechnologien, vor allem auch SAN- und NAS-Umgebungen. Das erleichtert die Integration und eröffnet Wahlfreiheit bei künftigen Modernisierungsvorhaben.

Mobil und sicher

Nicht zuletzt sollte die Datenschutz- und -sicherheitslösung auch der Tatsache Rechnung tragen, dass immer mehr Unternehmen ihre Mitarbeiter mit Notebooks ausstatten und der Außendienst auf die selben Anwendungen zugreifen muss wie im Büro. Hilfreich sind dabei Funktionen wie »Leerlauf-Backup« – diese stellt sicher, dass die Datensicherung nur dann erfolgt, wenn das Gerät gerade nicht benutzt wird –, Auswahl der Backup-Daten per drag and drop sowie eine Unterstützung von Benutzerkonten und bevorzugten Verbindungseinstellungen.

Der Virenscanner sollte nicht nur schnell arbeiten, sondern auch mit möglichst täglich kostenlos aktualisierten Virensignaturen gepflegt werden. Genauso wie Geschwindigkeit ist Zuverlässigkeit gefragt: Ist der dafür übliche Server nicht verfügbar, sollte das System einen anderen Server nutzen. Und: Sicherheitsrelevante Ereignisse werden umfassend protokolliert, und wenn nötig, sendet das System direkt Warnhinweise an das IT-Personal.

Im Alltag sind es aber nicht nur Hacker und Viren, sondern oftmals Kleinigkeiten, wie ein Keil unter der Brandschutztür, die beunruhigende Störungen verursachen und die gar zu Ausfällen der IT führen können. Dazu zählen auch eine fehlende Verschlüsselung von Datensicherungsbändern und der sorglose Umgang mit Passwörtern.

Hohe Standards für Sicherheit und Verfügbarkeit der IT-Infrastruktur bedeuten also nicht zwangsläufig, dass teure, hochkomplexe Systeme eingesetzt werden müssen. Klar ist allerdings: Nur wenn die infrastrukturellen, organisatorischen, personellen oder technischen Standardsicherheitsmaßnahmen durchgängig umgesetzt sind, können die Sicherheits- und Verfügbarkeitskonzepte im entscheidenden Moment greifen. Klar ist darüber hinaus aber auch: Ein ganzheitlicher – »holistischer« Ansatz im Security-Konzept vermeidet, dass sich unbemerkt Lücken im Schutzwall auftun und senkt die Gesamtkosten für die IT-Security deutlich. Armin Stephan, Consulting Manager Security, Robert Thurnhofer, Business Technologist Storage, Computer Associates