Annette Hillebrand, Franz Büllingen, Olaf Dickoph, Carsten Klinge
Informations- und Telekommunikationssicherheit in kleinen und mittleren Unternehmen
Nr. 175 / Juni 1997
Zusammenfassung
Sicherheit wird in Unternehmen mehr und mehr zu einem zentralen Punkt in Informationsverarbeitung und Telekommunikation. Funktionsfähige Systeme, die Minimierung von Übertragungsfehlern, die Zuordnung und Nachweisbarkeit von Kommunikationsprozessen sowie die vertrauliche Bearbeitung und Versendung von Daten bilden eine unentbehrliche Grundlage für Produktionsprozesse und das Erbringen von Dienstleistungen in jedem Unternehmen. Alles spricht dafür, daß die Sicherheit der Telekommunikation eine entscheidende Größe für die weitere Diffusion und Adoption telematischer Dienste darstellt.
Obwohl das Verletzlichkeitspotential mit der Nutzung offener Netze zunimmt, haben Untersuchungen bei Großunternehmen gezeigt, daß Sicherheitsaspekte bei den meisten Unternehmen noch nicht an erster Stelle stehen. Auch gegen bekannte Risiken wie Software-Anomalien oder ungesicherte Netzzugänge werden nicht immer ausreichende Sicherheitsmaßnahmen getroffen, obgleich zu vermuten ist, daß Großunternehmen aufgrund ihrer finanziellen und personellen Ressourcen eher zu den Vorreitern als zu den Nachzüglern im Bereich der Informations- und Telekommunikationssicherheit zu rechnen sind.
Diese Ergebnisse werfen die Frage auf, in welcher Weise kleine und mittlere Unternehmen (KMU) mit dem Problem der Sicherheit in der Datenverarbeitung und Telekommunikation umgehen. Das WIK beauftragte im Frühjahr 1996 ExperTeam/Online Hanse GmbH mit der Durchführung einer empirischen Untersuchung zum Stand der Informations- und Telekommunikationssicherheit in KMU. Ziel war die Erhebung von Daten zur Risikosituation und zum Sicherheitsbewußtsein der Unternehmen vor dem Hintergrund zunehmender Risiken durch die steigende Nutzung von Telekommunikationsdiensten.
Die Untersuchung zeigt, daß die Situation der Informations- und Telekommunikationssicherheit in KMU verbesserungsbedürftig ist. Zwar werden die Schutzziele Verfügbarkeit, Verbindlichkeit und Vertraulichkeit von der Mehrzahl der Unternehmen als unverzichtbar bezeichnet, eine detaillierte Strategie- und Maßnahmenplanung ist aber bisher in den wenigsten Fällen erfolgt. In den Interviews wurde deutlich, daß die Risikosituation häufig unter-, das eigene Know-how im Bereich TK-Sicherheit überschätzt wird. Die meisten der befragten KMU planen zur Verbesserung ihrer Sicherheit in erster Linie den Einsatz technischer Lösungen. Obwohl die Ernennung von Informationssicherheitsbeauftragten oder die Einrichtung von Sicherheitsausschüssen einen wichtigen
Beitrag zur Erhöhung der Sicherheit leisten kann, scheint für viele KMU die Implementation von organisatorischen und personellen Sicherheitsmaßnahmen mit Schwierigkeiten verbunden zu sein. Die Kosten bilden dabei nicht das Hauptproblem. Die Befragungsergebnisse lassen vielmehr darauf schließen, daß die Gründe in fehlender fachlicher Qualifikation, Informationsdefiziten und einer mangelnden Risikoperzeption zu suchen sind.
Die Implementation von Sicherheitsmaßnahmen im Unternehmen ist als ein kommunikationsintensiver, iterativer und kontinuierlicher Prozeß zu verstehen, und nicht als ein Problem, dem mit einmaligen Lösungen begegnet werden kann. Nur wenige Unternehmen treffen eine umfassende Vorsorge gegen Schäden auf der Basis von Risikoanalysen. Die Durchführung von Sicherheitsmaßnahmen läßt sich als ein inkrementelles Vorgehen charakterisieren: Oft werden nur gegen solche Risiken Schutzmaßnahmen ergriffen, die in der Vergangenheit bereits zu Sicherheitsproblemen geführt haben.
Die durch die Nutzung von Datennetzen entstehenden Sicherheitsprobleme wie Manipulation, Ausspähung oder Informationsdiebstahl können ohne die Implementation von Sicherheitsmaßnahmen kaum bemerkt werden. Viele KMU unterschätzen daher das Ausmaß der potentiellen und der bereits eingetretenen Sicherheitsprobleme im Unternehmen. Zum einen fehlen häufig die technischen, personellen und organisatorischen Mittel, um einen Schadenseintritt festzustellen. Zum zweiten sind nach einem Schadenseintritt die Folgen des tatsächlichen Schadens nicht selten schwer zu identifizieren.
Vorausschauende Sicherheitsmaßnahmen sind nach den Ergebnissen der Befragung eher die Ausnahme. Das Risikobewußtsein wird in erster Linie durch die vertrauten Risiken der Brief-, Telefon- und DV-Nutzung bestimmt. Das Abhör- und Manipulationsrisiko wird als gering angesehen. Generell ist zu beobachten, daß viele Unternehmen dazu neigen, schwerpunktmäßig Maßnahmen zur Verbesserung der Sicherheit in der Datenverarbeitung zu ergreifen und die Telekommunikationssicherheit zu vernachlässigen. Positiv wurde vermerkt, daß mit einer steigenden Nutzungsintensität von Telekommunikationsanwendungen eine zunehmende Bereitschaft zu beobachten ist, Sicherheitslösungen in das Unternehmen zu integrieren.