Die letzten Pressemeldungen zum Thema „Slammer-Wurm“ scheinen das Zusammengehen von Sicherheit und e-Business endgültig ad absurdum zu führen. Aber mit der einzig logischen Konsequenz, alle Systeme vom Netz zu trennen, wird wohl heute kein Unternehmen mehr leben können. Die Praxis zeigt, dass sich e-Business und Sicherheit nicht grundsätzlich gegenseitig ausschließen müssen, wenn einige grundlegende Regeln akzeptiert und berücksichtigt werden. Nur – da hapert es häufig.
In vielen Bereichen des täglichen Lebens werden regelmäßige Sicherheitsüberprüfungen als selbstverständlich akzeptiert. Niemand käme auf die Idee, eine Institution wie den TÜV abzuschaffen und folgerichtig Autos aus Sicherheitsgründen nach drei Jahren zu verschrotten. Und dennoch kann auch bei gerade erneuertem TÜV ein Reifen platzen. Eine hundertprozentige Sicherheit auch bei regelmäßigster Wartung kann keine Werkstatt der Welt garantieren. Trotzdem wird deshalb niemand aufs Auto verzichten oder die erforderlichen Inspektionen auslassen. Warum nicht das gleiche Procedere bei der IT-Sicherheit?
Die Praxis zeigt leider auch, dass dieses sinnvolle Sicherheitsmanagement, das im Alltag nicht zur Diskussion steht, im Bereich der IT-Sicherheit von vielen Unternehmen sträflich vernachlässigt wird. Die Gründe hierfür sind mannigfaltig und ihre Wurzeln werden häufig schon zu Beginn der Hard- und Software-Entscheidung gelegt.
Die Frage nach „Aufwand versus Erfolg“ wird häufig im Rahmen des Managements gestellt. Und wer wollte es dem Verantwortlichen verübeln, wenn er, um sich möglichst gegen jedwedes Risiko abzusichern, mit Kanonen nach Spatzen schießen will?
Als Software-Haus und Systempartner sehen es deshalb alle Mitarbeiter der Koblenzer OGS als ihr oberstes Ziel an, mit bezahlbaren Bordmitteln zu weitestgehend sicheren Systemen zu kommen. Dabei erweist sich der Beginn der gemeinsamen Arbeit als „easy“, da zumindest Basics wie Firewall, Virenscanner etc. installiert werden. Aber dann überholt das Tagesgeschäft alle guten Vorsätze! So zeigt eine Überprüfung nach einigen Monaten meist Firewall-Konfigurationen, an denen seit der Erst-Implementierung nichts mehr geschehen ist. Und wenn der Virenscanner von der OGS nicht vorsorglich so eingestellt wurde, dass er sich seine Updates automatisch holt, hätte man sich diese Investition auch ganz sparen können.
Hinzu kommt die von den OGS-Teams immer wieder beobachtete Tatsache, dass die meisten Mitarbeiter schon nach wenigen Wochen wissen, wie die lokalen Scanner wieder abgeschaltet werden. Deren Argumentation „Die Kiste schläft sonst ein“ wird allzu häufig geduldet.
Solange in den Köpfen der Verantwortlichen und der Mitarbeiter jedes Unternehmens nicht verankert ist, dass aktive IT-Sicherheitsmaßnahmen genau so wesentlich sind wie die unstrittige Haftpflichtversicherung, wird es keine Sicherheit im e-Business geben. Die regelmäßige Wartung der Systeme durch kompetente Profis, die auf dem neuesten Stand der Technik und des Know-hows sind, ist für ein Unternehmen ebenso erfolgsentscheidend wie seine marktgerechten Produkte.
Jede weitere Stufe des Kunden- oder Lieferantenservice und die damit verbundene Offenheit erfordert zusätzliche Sicherheitsmaßnahmen. Hierbei gerade den Mittelstand professionell zu beraten und Erforderliches, aber nicht Überflüssiges zu installieren, sehen die OGS-Teams im Zusammenhang mit ihrer e-Business-Lösung als ihre vornehmste Aufgabe an. Zusätzlich drängt das Software-Haus auch auf den Aufbau permanenter Prüfprozesse in Sachen Sicherheit. Warum? Weil sich auch im Mittelstand ständig Details in der IT-Landschaft verändern, ist eine regelmäßige Sicherheitsüberprüfung der einzig vernünftige Ansatz. Die installierten Sicherheitssysteme regelmäßig auf ihre derzeitige Funktionstüchtigkeit zu testen, spart nicht nur Investitionen in „Kanonen für Spatzen“. Es ist nach Meinung der Koblenzer der einzige Weg, zumindest ein gesundes Maß zwischen notwendigem Budget und Sicherheit herzustellen.
Gibt es einen anderen Weg? Die Lösung wäre wohl die in den neuesten IBM Werbespots angepriesene IT-Zeitmaschine. Mit ihr könnte man im Zweifelsfall die Zeit zurückdrehen und dann schnell die passende Sicherheit einbauen. Nur – leider gibt es sie noch nicht! Also müssen wir mit dem regelmäßigen „IT-TÜV“ zu weitgehend sicheren Systemen kommen.
OGS Ges. für Datenverarbeitung und Systemberatung mbH
D–56068 Koblenz
Telefon: (+49) 0261/91595-0
www.ogs.de