Hausaufgaben nicht erledigt

Interne Angriffe auf die IT-Systeme der hundert grössten Finanzhäuser weltweit waren 2004 öfter erfolgreich als 2003 - zu diesem Ergebnis kommt die jüngste Sicherheitsstudie der Beratungsfirma Deloitte. Bei 35 Prozent der befragten Banken gab es interne Attacken. Im Vorjahr waren erst 14 Prozent betroffen. Hingegen beobachteten «nur» 26 Prozent der Befragten Attacken von aussen. 2003 lag diese Ziffer noch bei 23 Prozent. Während mittlerweile viele technische Schutzmechanismen implementiert seien, fehle es an Vorkehrungen gegen interne kriminelle Energie oder es herrsche schlicht Gedankenlosigkeit, so Deloitte.

Solche Warnungen vor inneren Bedrohungen sind nicht neu, und doch wird offenbar immer noch nicht hinreichend reagiert. Dies ging auch aus verschiedenen Referaten am «IBM Security Day 2005» in Zürich hervor. So kritisierte IBM-Manager Peter Berlich, dass sich das Sicherheitsdenken bisher meist auf das «technische Flicken von IT-Sicherheitslücken» beschränke. Doch seiner Erfahrung nach erfolgten rund 80 Prozent der Angriffe von intern: «Ein blinder Fleck in der Vertraulichkeit im Unternehmen», brandmarkte er. Eine Grundproblematik des Themas: Den «Return on Security Investment» kann kaum jemand mit Zahlen belegen. Somit sei die Entscheidung für respektive gegen die Implementierung gewisser Security-Mechanismen oft eine «Bauchentscheidung der Unternehmensleitung», so Berlich. «Das machen, was alle anderen auch machen, ist oft ein guter Rat», sagt er dazu.
Konkret lohnt sich für jedes Unternehmen, selbst für viele KMU, die Formulierung einer internen Security Policy. Sie enthält Richtlinien, Vorschriften, Standards und Best Practices zur Absicherung der IT. Die se Policy muss jedoch verständlich formuliert und kurz genug sein, damit sie von den Mitarbeitern im Alltagsgeschäft auch tatsächlich befolgt wird.