Vergessene Post

Ungelöschte E-Mail-Accounts ehemaliger Mitarbeiter, ungesicherte Zugänge auf Laptops – für viele IT-Sicherheitslücken sind Unternehmen selbst verantwortlich. Standardverfahren mindern das Risiko

Das war mal: Wenn Mitarbeiter ausscheiden, sollten sie keinen Zugriff mehr auf das Firmen-Intranet haben. Foto: Doris Spiekermann-Klaas

Es kann nicht mehr funktionieren, dachte sich Kath–rin Frank (Name von der Redaktion geändert), als sie sich im Herbst 2009 über den externen E-Mail-Zugang ihres Unternehmens einwählte. Zwei Wochen zuvor war die junge Frau aus ihrer Firma ausgeschieden. „Eigentlich habe ich es spaßenshalber versucht“, sagt Kathrin Frank. Sie tippte auf der externen E-Mail-Maske ihr Passwort ein – und staunte. Ihr E-Mail-Fach war immer noch zugänglich und füllte sich täglich mit neuen internen E-Mails. Außerdem hatte sie über ihren E-Mail-Account auch weiterhin Zugriff auf das Intranet des Unternehmens. „Ich fand das unglaublich“, sagt sie. Ab dann prüfte sie in regelmäßigen Abständen, ob ihr elektronisches Postfach noch aktiv war. „Ich konnte die Quartalszahlen mitlesen, täglich neue Protokolle aus internen Besprechungen, einfach alles“, sagt sie.

Erst zwei Monate nach ihrem Vertragsende wurde ihr Zugang abgeschaltet. „Die Daten habe ich natürlich nicht weitergegeben“, sagt sie „aber ich fand das enorm fahrlässig“.

Was Frank widerfahren ist, passiert leider häufig. Abseits von Wirtschaftsspionage oder Hacker-Attacken sind gerade bei mittelständischen Betrieben, wie dem von Kathrin Frank, viele Informationslecks hausgemacht.

Das Deutsche Institut für kleinere und mittlere Unternehmen (DIKMU) hat Ende Januar eine Studie zum Verhalten mit Internet-Technologie (IT) von kleinen und mittelständischen Unternehmen veröffentlicht. Diese kommt zu dem Schluss, dass die große Mehrheit der Betriebe noch Nachholbedarf in Sachen IT hat. Während sieben Prozent der untersuchten Unternehmen der Internet-Technologie ablehnend gegenüberstehen, hat die mit 60 Prozent größte Gruppe zwar eine grundsätzlich positive Einstellung dazu, aber noch „viel ungenutztes Potenzial“, wie Jörn-Axel Meyer und Alexander Tirpitz in der Studie schreiben. Dabei sei ein offensives IT-Verhalten langfristig gerade für kleine und mittlere Unternehmen überlebensnotwendig, „dazu gehört im Kern eine IT-Strategie.“

Über Pannen reden Unternehmen nicht gern – vor allem, wenn sie hausgemacht sind

An dieser hapere es bei Unternehmen aber oft, sagt Andreas G. Weyert. Er arbeitet als Sicherheitsberater beim IT-Risikoberater BUW Consulting GmbH in Osnabrück. Werden die Berater in ein Unternehmen gerufen, erstellen sie eine Analyse der Risiken, die sich aus der hauseigenen IT-Architektur ergibt. BUW vermittelt nach eigenen Angaben bei Bedarf auch Software. Die Risikoanalyse fördert meist Unerfreuliches zutage: „Da umfasst unser Auditbericht selten unter 30 oder 40 Seiten, und das meiste ist Rot, um einmal in Farben zu sprechen“, sagt Weyert. Rot steht für hohes Risiko.

Oft sei die Hektik nach dem Ergebnis eines solchen Berichtes groß. Offen wollen Unternehmen über solche Fehltritte nicht reden. Dabei ist nicht alles gleich katastrophal, beschwichtigt Weyert. „Vieles kann ein Unternehmen intern lösen, indem es standardisierte Prozesse festlegt“, sagt der IT-Berater.

Die Sicherheitsschwächen sind vielfältig. Einmal besitzt das Unternehmen Gruppen-Postfächer, zu denen ein Dutzend Personen Zugriff hat, „ein echter Graus“, so Weyert, oder die Personalabteilung informiert die IT-Abteilung nicht darüber, wenn ein Mitglied aus dem Betrieb ausscheidet. In anderen Fällen haben alle Mitarbeiter ein personalisiertes Postfach, machen aber anderen Kollegen ihr Passwort zugänglich. „In diesem Fall müssen eigentlich alle Personen der Abteilung ihre Passwörter wechseln, wenn ein Mitglied ausscheidet“, sagt Weyert. „Das ist den Leuten meist überhaupt nicht bewusst“, sagt er. Seit zwölf Jahren ist Weyert Mitglied des Chaos Computer Clubs. Regelmäßig informiert er bei Podiumsdiskussionen über Risiken beim Umgang mit dem Internet und persönlichen Daten.

„Sicherheit ist kein Produkt, sondern ein Prozess“, sagt er. Bei den raschen technischen Fortschritten im Bereich IT müssten Unternehmen darauf achten, ihre Sicherheitsvorkehrungen regelmäßig auf den neusten Stand zu bringen. Dass regelmäßige Schulungen von Betrieben vom Mitarbeiter bis zum Chef in Sachen IT-Sicherheit nötig sind, kann auch Keywan Ghane, Vorstandsassistent beim DIKMU, bestätigen. „In diesem Bereich sind viele Unternehmen überhaupt nicht sensibilisiert“, sagt er.
Nach Veröffentlichung der Studie über das IT-Verhalten von Unternehmen forscht das Institut derzeit über Gefahren, die Unternehmen durch mobile Kommunikation entstehen. „Da gibt es viele naheliegenden Risiken, zum Beispiel Telefonieren im öffentlichen Raum oder SMS schreiben“, sagt Vorstandsassistent Ghane. Vielen Menschen sei offenbar nicht klar, wie leicht zum Beispiel Telefonate mitgehört oder SMS über die Schulter mitgelesen werden könnten.

Vorsicht ist auch beim Umgang mit anderen Geräten geboten: Bei Laptops sei die Verschlüsselung der Festplatte ein absolutes Muss, sagt IT-Berater Andreas Weyert. Nur so sind die Daten auf einem Gerät vor Einsichtnahme unberechtigter Personen geschützt, sollte es verloren gehen oder gestohlen werden. Auch wenn es dazu keine Zahlen gibt, sind in diesem Bereich meist kleine und mittelständische Unternehmen gefährdet, „sofern sie kein zentrales Sicherheitsmanagement haben“, sagt Keywan Ghane. Noch liegen die Ergebnisse der Studie nicht vor, aber das DIKMU fordert bereits ein Umdenken bei Unternehmen: „Mehr Bewusstsein und Schutz sind gefordert.“

Auch der Verein „Deutschland sicher im Netz“ befasst sich mit dem Thema. Der unter der Schirmherrschaft des Bundesministeriums des Innern stehende Verein berät unter anderem kleine und mittelständische Unternehmen. Dafür bietet er Workshops an und stellt Informationspakete zusammen, die auf der Webseite abrufbar sind. Das Ziel: In kompakter Form Geschäftsführer, IT-Verantwortlichen und Mitarbeitern wichtigste Sicherheitsvorkehrungen für den Betrieb erklären.

„Wenn ein Mitarbeiter das Unternehmen verlässt, sollten automatisch alle Konten in allen Systemen gesperrt werden. Das passiert heute mit einem integrierten Identitätsmanagement“, sagt Beiratsmitglied Sachar Paulus, Professor für Wirtschaftsinformatik an der Fachhochschule Brandenburg. „Dies haben aber die meisten kleinen Unternehmen noch nicht angeschafft.“ Es sei daher zu erwarten, dass in diesem Bereich mit hoher Wahrscheinlichkeit Pannen passierten.

Bei mobilen Geräten wie Smartphones bestünde die Möglichkeit, sie per „remote“-Lösung aus der Ferne zu löschen, wenn das Gerät abhanden kommt, sagt Sachar Paulus: „Das ist inzwischen Standard bei Professional-Lösungen. Auch das iPhone kann das zum Beispiel.“ Allerdings sei es da wie mit den „alten“ E-Mail-Accounts: Darum müsse sich im Unternehmen eben auch jemand kümmern.

Constance Frey

Aus der Ausgabe 3 / 2010

SUCHE

[Archiv]

MACHEN SIE MIT!

Bestimmen Sie das Titelthema der nächsten Ausgabe! Fragen die Sie bewegen, Themen, die sie aufregen.

[Kontaktformular]
[Inhaltsverzeichnis (PDF)]
[Abonnement]

OMBUDSMANN

Nachlässige Ämter, überbordende Bürokratie, verrückte Formulare - hier wird unser Ombudsmann Dr. Pierre Gerckens für den Berliner Mittelstand tätig. Haben auch Sie ein Anliegen? Schreiben Sie uns!

[zum Ombudsmann]

FOTOSTRECKE

[zur Fotostrecke]