Experte zur IT-Sicherheit: "Das Problem ist immer der Mensch"

Ob großes Medienunternehmen oder kleiner Handwerksbetrieb – kaum ein Unternehmen kommt heute noch ohne Informationstechnologie (IT) aus. Ein kleines Firmennetzwerk mit Internetanbindung ist längst Standard. Doch damit fangen auch die Probleme, etwa für die Datensicherheit, an. Gerhard Bülow, Geschäftsführer der Firma Dr. Bülow und Masiak GmbH erläutert im Interview mit KH aktuell, worauf zu achten ist. 

Wenn Sie an kleinere Handwerksbetriebe mit 5–12 Mitarbeitern denken, was sind dort die häufigsten Fehler bzw. Sicherheitslücken?
Das Hauptproblem ist immer der Mensch. Was glauben Sie, wie viele Putzfrauen unter den Tastaturen Benutzernamen und Kennwörter finden? Hier kann man durch Sensibilisierung schon viel erreichen. Wichtig ist auch, Passwörter regelmäßig zu ändern und eine ausreichende Passwortschwierigkeit zu wählen: d. h. nicht den Namen des Hundes, sondern möglichst Buchstaben-Zahlen-Kombinationen. Natürlich gibt es auch technische Lösungen an. Das Sicherste sind derzeit sogenannte Tokens. Diese kleinen Geräte sind nicht größer als ein Schlüsselanhänger und generieren für jede passwortgeschützte Anwendung beim Einloggen ein neues individuelles Passwort.

Ein weiteres typisches Sicherheitsrisiko sind unverschlüsselte oder unzureichend verschlüsselte WLAN-Netze. Standard ist hier die WAP2-Verschlüsselung. Zusätzlich kann festgelegt werden, dass sich grundsätzlich nur bestimmte Rechner mit ihrer eindeutigen MAC-Adresse im Netzwerk anmelden dürfen. Ein weiteres wichtiges Thema ist die Datensicherung: Viele machen sich nicht bewusst, was es bedeuten kann, wenn z. B. durch einen Blitzeinschlag sämtliche Daten verloren gehen.

Welche Sicherheitsvorkehrungen gegen Viren, Datenverlust, oder -diebstahl sollten Betriebe mindestens treffen?
Eine Firewall und eine Virenschutzlösung sowohl für den Server als auch die Arbeitsplätze sind natürlich Pflicht. Dann muss gewährleistet sein, dass alle Arbeitsplätze immer auf dem neuesten Stand sind, was Sicherheitsupdates betrifft. Das Thema regelmäßige Datensicherung habe ich gerade schon erwähnt. Schließlich muss klipp und klar geregelt sein, wie berufliche und private Hard- und Software getrennt werden. Denn wenn Mitarbeiter ihre privaten Smartphones mit den Dienstrechnern verbinden, ist das ein weiteres Einfallstor für Malware, also schädliche Programme wie Viren, Trojaner und Würmer. Abgesehen davon könnten Mitarbeiter natürlich sensible Daten mit nach Hause nehmen. Schließlich muss auch bei der Entsorgung von Datenträgern bedacht werden, dass ein einfaches Löschen der Daten nicht ausreicht. Absolute Sicherheit bietet nur, den Datenträger auch physikalisch zu zerstören. D. h. im Zweifel, die Festplatte mit dem Hammer zu zerschlagen.

Geht es auch ohne Dienstleister, wenn man sich ein wenig mit dem Thema befasst?
Das ist ein bisschen so wie mit dem Fotografieren. Wenn man sich ein wenig damit beschäftigt, können auch Hobbyfotografen durchaus ganz nette Bilder machen. Dennoch wird man den Qualitätsunterschied zu einem Profi erkennen. Letztendlich ist immer die Frage: Wie viel Zeit möchte ich selbst investieren und was ist der wirtschaftliche Schaden, wenn meine IT einen Tag, eine Woche oder länger ausfällt oder ich meine Daten komplett verliere? Möglicherweise ist es da günstiger im Monat 200 Euro für einen Profi zu investieren.

Gibt es IT-Lösungen oder -Dienstleistungen, die verzichtbar sind und dem Dienstleister mehr nutzen als dem Kunden?
Das kann man so pauschal nicht sagen. Mir ist nicht bekannt, dass IT-Dienstleister Kunden überdimensionierte Lösungen und Produkte verkaufen würden. Da überschätzten Sie auch die Bereitschaft der Unternehmen, für IT viel Geld auszugeben. In der Regel werden eher zu wenige Sicherheitsvorkehrungen getroffen.

Worauf sollten Handwerker bei der Auswahl eines IT-Dienstleisters achten?
Da ist es in unserer Branche auch nicht anders als im Handwerk selbst. Die Referenzen sagen eigentlich immer eine ganze Menge aus. Darüber hinaus ist in der IT-Branche z. B. die Anzahl der Mitarbeiter mit Hochschulabschluss aussagekräftig, aber auch dass sich die Mitarbeiter regelmäßig weiterbilden.

Vielen Dank für das Interview!

Das Gespräch führte Jörn-Jakob Surkemper
KH AKTUELL Nr. 112/4/2012, Montag 17.12.2012