Page 1

Der Manager als Vogel Strauß, oder: Sicherheit ist Chefsache Kann es sich ein Manager, Unternehmer oder Freiberufler heute leisten, das Problem der Computer-Sicherheit zu ignorieren? Antwort von Radio Eriwan: Ja - aber nur so lange, bis etwas schief geht. Und dann ist es wahrscheinlich schon viel zu spät. In deutschen Firmen entstehen durch Datenverlust und Datenklau jedes Jahr Verluste in Millionenhöhe, vielleicht sogar in Milliardenhöhe. Genau weiß es keiner, denn nirgends ist die Dunkelziffer so hoch wie hier. Das liegt daran, dass oft gar keiner im Unternehmen etwas davon mitbekommt. Der ergebnisverantwortliche Manager wundert sich höchstens über schlechte Produktivität und sinkenden Profit. Wenn er nach den Ursachen sucht, dann ist Computersicherheit wahrscheinlich das Letzte, woran er denkt. Warum das so ist? Weil er weder etwas davon versteht noch weil ihn das Thema interessiert. Informationssicherheit, also der Schutz von Computersystemen und Netzwerken vor Ausfall oder Angriffe, gilt nach wie vor als Aufgabe der EDV-Abteilung. In mittelständischen Unternehmen wird das Thema oft vernachlässigt oder ignoriert, personell wie finanziell. Das Desinteresse an diesem Thema in den meisten Chefetagen ist einerseits verständlich: Manager sind ja schließlich keine ComputerTechniker. Andererseits steckt in dieser Ignoranz der Kern eines potentiellen Katastrophenszenarios, das die Existenz des Unternehmens und damit viele Arbeitsplätze gefährdet, nicht zuletzt die des Managers selbst.


Dazu spielen Computer und Netzwerke im modernen Geschäftsleben eine immer wichtigere Rolle. Das ist zugegebenermaßen neu: Noch bis vor wenigen Jahren war die Datenverarbeitung im Grunde nur eine Infrastrukturmaßnahme, die Geld kostete und zumindest keine sicht- oder zählbaren Ergebnisse fürs Unternehmen brachte. In diesem Punkt hatten die Investitionen in Computer eine gewisse Ähnlichkeit mit den Investitionen in Betriebstoiletten oder Grünanlagen: Ohne sie geht es nicht, aber sie sind dem kostenbewussten Manager immer ein Dorn im Auge. Spätestens mit dem Aufkommen des Internet hat sich die Situation aber grundlegend geändert. Information ist heute ein wichtiger Teil des Betriebsvermögens geworden. Über Computernetze wickeln Firmen heute nicht nur administrative Details, sondern wichtige Geschäftsprozesse ab. Schlagworte wie „Electronic Commerce“ oder „Electronic Business“ haben eine echte Goldgräberstimmung in vielen Wirtschaftsbereichen aufkommen lassen. Natürlich hat jeder inzwischen auch schon von den Schattenseiten des neuen globalen Mediums gehört und gelesen. Doch Kinderpornografie, Nazipropaganda und bösartige Hacker sind aus wirtschaftlicher Sicht nur ein kleiner Teil des Problems. Gravierender sind die Folgen von so scheinbar banalen Dingen wie Datenverlust durch Stromausfall und Fehlbedienung, ganz zu schweigen von so unerfreulichen, aber alltäglichen Dingen wie Vandalismus oder Rachegelüste unzufriedener Mitarbeiter. Dagegen wirken solche Bedrohungs-Szenarien wie mehr zufällige Hacker-Angriffe von außen oder gezielte Fälle von Wirtschaftspionage durch Wettbewerber oder durch die Geheimdienste auch befreundeter Nationen eher exotisch, sind aber leider durchaus real und können für die betroffenen Firmen äußerst schmerzhaft sein. Die instinktive Reaktion gerade vieler Manager besteht deshalb darin, Computer im Allgemeinen und das Internet im Besonderen zu verteufeln. Leider ist das auch keine Lösung, denn die Wettbewerbsfähigkeit auch


eines kleinen Unternehmens steht und fällt inzwischen mit seiner Fähigkeit, größtmöglichen Nutzen aus diesem modernen Arbeitssystem zu ziehen. Gerade die mittelständische Wirtschaft wird zunehmend durch mehr oder weniger sanften Druck des Marktes oder seiner Großkunden dazu gezwungen, solche Systeme nicht nur zu installieren, sondern sie über geschlossene Datenleitungen oder über das offene Internet mit den entsprechenden Systemen auf der Gegenseite zu vernetzen. Die so entstehenden Vorteile – Zeitgewinn, Kostenersparnis, Effizienzsteigerung – sind viel zu offenkundig, als dass jemand heute darauf verzichten möchte. Allerdings sind die potentiellen Gefahren genauso groß. Es wäre logisch anzunehmen, dass die Verantwortlichen hier ebenso sorgfältig zu Werke gehen würden, wie sie es in anderen Bereichen zu tun gewohnt sind. Jeder gute Manager versucht doch, sein Risiko bei Wechselkursen, Insolvenzen oder Lagerhaltung durch intelligentes Risikomanagement möglichst gering zu halten. Man sollte also meinen, dass dieses kleine Einmaleins des verantwortungsbewussten und vorausschauenden Wirtschaftens auch in der Frage des Computereinsatzes genauso eingesetzt wird. Leider sieht es in der Praxis bis heute aber ganz anders aus. So stellte die KPMG Deutsche Treuhandgesellschaft 2001 in einer Studie zum Thema Sicherheitsbewusstsein unter den 1000 größten deutschen Unternehmen gravierende Mängel gerade im Managementbereich fest. Jeder zweite Top-Manager und immerhin 45 Prozent des mittleren Managements hatte sich mit dem Thema bislang noch überhaupt nicht auseinandergesetzt. In 40 Prozent der Unternehmen waren keine ausreichenden Mittel für die Informationssicherheit bereitgestellt worden. In fast einem Viertel aller Unternehmen existierte kein Sicherheitskonzept, beziehungsweise vorhandene Konzepte wurden nicht umgesetzt. Und das sind Deutschlands große Vorzeige-Firmen. Wie muss es in den vielen tausend mittelständischen Betrieben aussehen!


Jede größere Organisation muss heute damit rechnen, spätestens alle vier Jahre einen schwerwiegenden Vorfall im Bereich Datensicherheit zu erleben; im Durchschnitt sind es zwei Jahre. Die Kosten für einen solchen Ausfall bewegen sich auch in mittleren Unternehmen schnell im fünfstelligen, oft auch im sechsstelligen Bereich. In einem Großkonzern ist schnell von Millionensummen die Rede. Jedes Unternehmen muss heute eine vernünftige Risikoabschätzung vornehmen, bevor es überhaupt daran denken kann, ein Sicherheitskonzept zu erarbeiten. Für die Bewertung des materiellen und immateriellen Schadens sind vor allem drei Kriterien wichtig, nämlich -

Unversehrtheit,

-

Vertraulichkeit und

-

Verfügbarkeit.

Aufgabe des Managements ist es, innerhalb einer eigene „Projektgruppe Sicherheit“ und unter Berücksichtigung dieser drei Kriterien zu versuchen, methodisch die Auswirkungen der denkbaren Bedrohungsszenarien auf das Business der Firma zu ermitteln und zu bewerten. Dieser Vorgang fordert Kreativität und Praxiserfahrung, denn es geht um Fragen wie: Wie viele Aufträge würden wir verlieren, wenn jemand unsere Bestelloder Vertragsdaten löscht oder manipuliert (Unversehrtheit)? Wie groß wäre der Schaden, wenn unser Wettbewerber unsere Daten in die Hand bekäme (Vertraulichkeit)? Wie teuer wäre es, die verlorenen Daten mit Hilfe von Backups oder durch manuelle Eingabe wiederherzustellen (Verfügbarkeit)? Könnte ein Betrüger durch Manipulation unserer Daten Veruntreuungen erfolgreich verbergen (Unversehrtheit)?


Wären wir im Falle einer unbefugten Veröffentlichung interner Daten gegenüber Vertragspartnern regresspflichtig (Vertraulichkeit)? Funktionieren einzelne Geschäftsprozesse oder Partnerbeziehungen ohne Netzwerkanschluß überhaupt noch (Verfügbarkeit)? Nach diesem Schema lassen sich fast alle Unternehmensbereiche nach sicherheitsrelevanten Themen durchforsten. Wobei häufig alle drei Kriterien gleichzeitig, aber aus verschiedenem Blickwinkel zu berücksichtigen sein werden. Die Weitergabe von Kundendaten (Vertraulichkeit) kann das Image einer Firma ebenso schädigen wie die Verwendung einer beschädigten Kundenadressdatei (Unversehrtheit) oder der Ausfall eines Web-Servers mit wichtigen Informationen für Handelspartner oder Endkunden (Verfügbarkeit). Zu den Bereichen, die nach dieser Methode auf mögliche Risiken hin abzuklopfen sind, gehören auch Dinge wie Wettbewerbsfähigkeit, Kostenstruktur, Betriebsklima oder rechtliche Verantwortung. Ein nicht zu vernachlässigender Bereich ist das Management selbst. Gerade hier können die Auswirkungen von Pannen oder Datenmanipulation (Unversehrtheit), von Weitergabe an Konkurrenten (Vertraulichkeit) oder dem Ausfall eines kritischen Reportingsystems (Verfügbarkeit) verheerend sein, weil unter Umständen falsche Entscheidungen gefällt und Weichen in die falsche Richtung gestellt werden. Aber wie soll man sich schützen? In militärische Begriffswelten übersetzt lautet die landläufige Verteidigungsstrategie: Man stelle einen Soldaten vor jeden Computer. Computertechniker sprechen von "Firewalls" und "Anti-Virus-Systeme". So entsteht bei vielen Managern der Eindruck, das Problem ließe sich irgendwie technisch lösen - und delegieren diese Aufgabe an die Techniker.


Doch die sind leider meistens ebenfalls überfordert, weil sie die neuen Bedrohungen nicht kennen oder nicht ernst nehmen. Im schlimmsten Fall kommt es deshalb zu einer Kette von zwar gutgemeinten, für das Unternehmen aber fatalen Handlungsketten, die in der Regel in vier Stufen ablaufen: 1. Ahnungslosigkeit: Organisationsleiter sehen zwar die Bedeutung des Netzwerks, jedoch nicht in Zusammenhang mit den tatsächlichen Risiken. Sie verstehen die grundlegenden technischen Unterschiede zwischen Betriebssystemen wie Windows NT und Sun Solaris. Sie verstehen auch, wie Produkte wie etwa Web-Browser und Microsoft Office ihre Produktivität erhöhen können. Aber sie wissen wenig über die damit verbundenen Angriffspunkte, die es Unbefugten erlauben, sensibelste Daten zu stehlen, zu zerstören oder zu verfälschen. 2. Aktivismus: Je nach Situation werden punktuell Sicherheitsmaßnahmen ergriffen. Das Problem wird nicht vollständig verstanden. Es gibt keine Untersuchung der real existierenden Angriffspunkte oder der Bedrohung, die Erfordernisse werden nicht aufgespürt, und es gibt keine Untersuchungen darüber, ob und wie sich Sicherheit amortisiert. 3. Selbsttäuschung: Man wiegt sich ob der ergriffenen Maßnahmen in trügerischer Sicherheit. Tatsächlich wurden einige Angriffspunkte und Bedrohungen gar nicht berücksichtigt. Aufgrund mehrerer Untersuchungsergebnisse lässt sich sagen, dass dieser Ansatz eine 20bis 30-prozentige Lösung der anstehenden Probleme erbringt. 4. Rückschritt: Innerhalb relativ kurzer Zeit verschlechtern sich die Sicherheitsbedingungen im Netzwerk. Dies passiert, weil die Benutzer System- und Sicherheitskonfigurationen ändern und Schutzmaßnahmen umgehen.


Der technische Ansatz bei Sicherheit im Zeitalter des Internets greift also zu kurz. Eine rein technische Sicht der Dinge ist sogar einseitig und gefährlich. Sicherheit muss ein Teil der Unternehmenskultur werden, damit sie im Geschäftsalltag gelebt und von allen in der Firma mitgetragen wird. Das ist die Aufgabe des Managers. Daten sind heute Betriebsmittel, mit dem die meisten Firmen arbeiten. Doch Daten sind immateriell. Nicht die Diskette, sondern das war darauf gespeichert ist, stellt einen Wert dar. Somit unterscheiden sich Daten von anderen Teilen des Firmenvermögens wie zum Beispiel Gebäude oder Produktionsanlagen Das sind Dinge, die man kennt, die man versteht und die zumindest in den meisten Firmen auch geschützt werden, sei es durch einen Pförtner, einen Wachdienst oder eine richtige Werksfeuerwehr. Hier besteht für den Manager ein direktes, nachvollziehbares Verhältnis zwischen Aufwand und Risiko. Bei Computersystemen fehlt den meisten Führungskräften eine solche Vorstellung. Das liegt auch an der schieren Größe des Problems. Computer sind hochkomplexe und deshalb äußerst anfällige Systeme. Schon die Aufgabe, dafür zu sorgen, dass die im Unternehmen installierten konventionellen Arbeitsplatzrechner einwandfrei funktionieren, ist mit einem hohen finanziellen und personellen Aufwand verbunden. Vielerorts wird deshalb an diesem Punkt gespart, mit dem Ergebnis, dass ständig irgendwelche PCs ausfallen. Die Folge: Die Arbeit bleibt liegen, es gehen viele Mannstunden verloren, weil sich Mitarbeiter gegenseitig bei der Reparatur aushelfen oder versuchen, abgestürzte Software neu zu installieren. Diese Kosten tauchen ebenfalls in keiner Bilanz auf, sondern machen sich höchstens in Form von sinkender Produktivität bemerkbar. Aufwand für professionellen Support, für Wartungsverträge oder für eigene EDV-Fachkräfte belasten das Ergebnis dagegen sichtbar und sofort.


Mit der sich abzeichnenden totalen Vernetzung der Wirtschaft über das Internet und über Intranets und Extranets werden die Geschäftsprozesse von Unternehmen aller Art und Größenordnung zunehmend von dem Funktionieren unserer Computersysteme abhängig. Und das Problem potenziert sich mit der Anzahl der angeschlossenen Computer. Fällt der PC der Sekretärin einen Tag aus, kann sie sich inzwischen vielleicht anderweitig nützlich machen. Fällt der Server des Firmennetzwerks aus, hockt unter Umständen die halbe Belegschaft tagelang herum und dreht Däumchen. In einem Unternehmen, das einen elektronischen Laden im Internet betreibt, bedeutet der Ausfall des ECommerce-Systems hingegen nicht nur einen schmerzlichen Umsatzausfall, sondern womöglich auch Tausende von verärgerten Kunden, teure Fehler in der Buchhaltung und zu allem Überfluss noch juristische Probleme wie Regressansprüche oder Schadensersatzforderungen. Dabei haben wir noch gar nicht angefangen, über das Thema ComputerKriminalität zu reden. Nicht, dass es dieses Problem nicht gibt, im Gegenteil: Hacker lauern draußen im Netz und hoffen, durch Schwachstellen in Ihrem System vorzudringen bis zu vertraulichen oder geschäftskritischen Informationen, deren Verlust oder Weitergabe unter Umständen das Ende einer Firma bedeuten können. Was die meisten Manager aber gar nicht wissen ist, dass die größte Gefahr gar nicht von irgendwelchen anonymen Firmenfremden ausgeht, sondern von den eigenen Leuten. Fast 70 Prozent aller bekannt gewordenen Fälle von Datenverlust oder Datendiebstahl gehen von Mitarbeitern des eigenen Unternehmens aus. Das sind oft Menschen, die sich schlecht behandelt oder bezahlt fühlen. Vielleicht hat aber auch nur einer aus Versehen auf den falschen Knopf gedrückt. "Wo Menschen sind, da menschelt es", sagt der Schwabe. Schlichte Fehlbedienung von Computersystemen kostet die Wirtschaft jedes Jahr Milliarden.


Die Frage, was mit solchen Mitarbeitern geschehen soll, hat nichts mit Computertechnik zu tun, aber viel mit Menschenführung. Die unternehmerischen Entscheidungen, die hier zu fällen sind, betreffen nicht nur Investitionen in Sicherheitssystemen und Beratungskompetenz, sondern tangieren unter Umständen Dinge wie Disziplinarmaßnahmen und Kündigungsschutz. Statt mit seinem EDV-Leiter wird sich der Manager deshalb in diesem Zusammenhang womöglich mit seinem Betriebsrat herumplagen müssen. Computer-Sicherheit ist im Zeitalter des Internet jedenfalls Chefsache, auch wenn viele Chefs das nicht wahr haben wollen. Unter „Chef“ verstehe ich im übrigen gleich drei verschiedene Führungs-Ebenen: •

Das Top-Management, nämlich derjenige, der über die Zuteilung von Finanzmitteln und Verantwortungsbereichen zu entscheiden hat.

Das mittlere Management, das Strategien und Richtlinien auf Bereichsebene oder in einem mittelständischen Unternehmen festlegen und umsetzen muss.

Der Abteilungschef, der in einer Fachabteilung die Sicherheitsrichtlinien des Unternehmens umsetzen muss oder in einem kleineren Unternehmen, in einem Handwerksbetrieb oder als Selbständiger das Tagesgeschäft zu verantworten hat. Dieser Mensch braucht nicht nur selbst genügend Wissen zum Thema Sicherheit - er muss dieses Wissen auch an seine Mitarbeiter weitergeben und sie entsprechend motivieren können.

Gefragt ist also heute nicht für der EDV-Leiter oder der Sicherheitsexperte gedacht, auch wenn diese Fachleute in Zukunft eine Schlüsselrolle bei Aufbau, Implementierung und Pflege einer Sicherheitsstrategie zufallen. Es ist der Macher gefragt, der Mann, der das Gesamtrisiko fürs Unternehmen richtig einschätzen und durch Projektmanagement und


Überzeugungsarbeit auf ein vertretbares Mindestmaß zu reduzieren versteht - denn ganz ausschließen lässt es sich nicht. Hundertprozentige Sicherheit gibt es nirgendwo, weder im Geschäftsnoch im Verkehrsleben und schon gar nicht im Internet. Die Aufgabe, das Risiko zu managen und Vorsorge für den Notfall zu treffen, ist eine der größten Herausforderungen, denen sich Verantwortungsträger im Unternehmen heute gegenübersehen können. Manager sind Ihre Kunden. Sie werden von vielen von Ihnen Antworten auf diese Fragen erwarten. Aber die meisten von Ihnen sind selbst auch Manager. Sie sind es also, die Sicherheit zu einem Teil Ihrer Unternehmenskultur machen müssen.

ManageralsVogelStrauss  

Kann es sich ein Manager, Unternehmer oder Freiberufler heute leisten, das Problem der Computer-Sicherheit zu ignorieren? Antwort von Radio...

Read more
Read more
Similar to
Popular now
Just for you