IT-Sicherheit: Wie sich Konzerne von Ganoven übertölpeln lassen

Es war ein gezielter Angriff mit einfachsten Mitteln: Eine faule Ausrede und ein schwarzer Anzug reichten Dirk Reimers, um sich nach Feierabend über den Hintereingang Zugang zum Gebäude einer deutschen Bank zu verschaffen und ein paar Laptops zu greifen. Der arglose Pförtner half dem vermeintlichen Mitarbeiter noch, die Rechner zum Auto zu tragen.

So einfach wie der Mitarbeiter der IT-Sicherheitsfirma Secunet in das Gebäude gelangte, so einfach machen es Unternehmen Hackern, aus ihren IT-Systemen sensible Daten zu stehlen. Die Angriffe auf den Elektronikkonzern Sony oder den Rüstungskonzern Lockheed Martin in diesem Jahr haben deutlich gemacht, wie hilflos selbst große Unternehmen den Angreifern gegenüberstehen. Die Alarmstimmung bei Volkswagen zeigt, welche Ängste bestehen. Eine interne Untersuchung hat die Gefahr eines Hackerangriffs auf den Autohersteller schonungslos aufgedeckt. Dabei sind die Hacker in ihrer Technologie nicht viel weiter als noch vor ein paar Jahren. Es ist nach der Beobachtung von Experten die zunehmende Vernetzung von Unternehmen und Mitarbeitern sowie banale Nachlässigkeiten, die die Systeme verwundbar machen.

Zu den häufigsten Einfallstoren gehören veraltete Systeme, wie im Falle von VW, verschlampte Updates, die Sicherheitslücken hätten schließen können, oder Anwendungen, die auf einfach zu knackenden Webservern lagern, erklärt IT-Berater Timo Kob von der Berliner Firma Hisolutions, die nach eigenen Angaben die Hälfte der Dax-Konzerne berät und wie Secunet Sicherheitskonzepte von Unternehmen überprüft. Ein weiteres Problem ist die wachsende Zahl von Smartphones in Unternehmen, die häufig nicht einmal über den einfachsten Virenschutz verfügen.

Immer häufiger werden Mitarbeiter von Unternehmen aber auch Opfer gezielter Angriffe. E-Mails werden mit Hilfe von Informationen aus Onlinenetzwerken auf sie zugeschnitten. Sie sehen harmlos aus, sind aber mit Schadsoftware gespickt. Dagegen seien die Unternehmen hilflos, so die Erfahrung von Kob.

Dabei stecken die Firmen Milliarden in ihre IT-Sicherheit: Der Marktforscher Gartner schätzt, dass 2014 weltweit 41 Mrd. Dollar in Sicherheitsdienstleistungen flossen. Neben klassischen IT-Dienstleistern wie HP, IBM oder T-Systems verdienen auch Wirtschaftsprüfer wie KPMG, PricewaterhouseCoopers oder Deloitte an Beratungskonzepten. Daneben gibt es zahlreiche kleine Berater wie Secunet oder Hisolutions. Doch trotzdem fehlt es vielen Unternehmen an einem durchdachten Konzept.

Ein verbreitetes Problem, so die Sicherheitsexperten: Die Unternehmen konzentrieren sich zu sehr auf technische Lösungen, wie Virenschutz und Firewalls, statt auf den Schutz relevanter Informationen. "Die wichtigste Frage ist: Was muss überhaupt geschützt werden. Schon bei der Beantwortung dieser Frage scheitern viele Unternehmen", sagt Kob. Nach einer Daumenregel gehörten nur etwa fünf Prozent der Informationen in Unternehmen zu den wettbewerbsrelevanten "Kronjuwelen", sagt Andreas Knäbchen vom Wirtschaftsprüfer Deloitte. Weitere 30 bis 40 Prozent umfassten besonders schützenswerte Finanzdaten oder persönliche Informationen von Kunden und Mitarbeitern.

Ein weiterer Fehler, so IT-Berater Dirk Reimers. Risiken würden falsch eingeschätzt: In einer Firma, die er prüfte, lagerten für den Produktionsprozess grundlegende Informationen auf einem uralten Rechner. Nur das System, das die Daten verarbeitete, war aufwendig geschützt.

Dabei ist es keine Frage der Größe, wie gut Unternehmen sich absichern. Kleine und mittelgroße Unternehmen haben zwar oft kleinere IT-Budgets und entsprechend Nachholbedarf. Ein Mittelständler könne aber besser geschützt sein, als ein Großkonzern, sagt Sebastian Schreiber. Der Gründer der Tübinger IT-Sicherheitsfirma Syss hat eher die Erfahrung gemacht, dass nachhaltig orientierte Unternehmen mehr Geld für Sicherheit ausgeben. "Börsennotierte, auf Quartalsergebnisse ausgerichtete Firmen agieren meiner Erfahrung nach kurzsichtig, das zeigt sich auch in der IT-Sicherheit", sagt Schreiber, der Unternehmen in deren Auftrag gezielt angreift, um IT-Schwachstellen zu finden.

Am Ende - so Secunet-Experte Reimers - bleibe der Faktor Mensch die größte Schwachstelle: "Gegen den Pförtner, der sie ins Haus lässt, können sie am Ende weniger tun als gegen Mitarbeiter, die private Web-Mail-Zugänge oder Onlinenetzwerke auf Firmenrechnern nutzen."