Eine Tür oder ein Fenster lässt sich zuverlässig gegen Einbrecher sichern, doch wie schützt sich ein Unternehmen vor dem Einbruch in sein Datennetz? Tipps zu IT-Security vom VDMA und zwei Dienstleistern.

„Wer den kleinsten Teil seines Geheimnisses hingibt, hat den anderen nicht mehr in der Gewalt.“

Mit dieser drastischen Warnung des deutschen Schriftstellers Jean Paul wirbt ditis Systeme aus Heidenheim und Ulm, eine Tochter des Voith-Konzerns, für Dienstleistungen zur IT-Security und Datenschutz. Das heutige Know-how verdankt das Unternehmen den eigenen Erfahrungen beim Wahren des eigenen Wissens. „Als Hacker im eigenen Netz haben wir mit Erlaubnis der Geschäftsleitung überprüft, wie viele unsere Systeme angreifbar sind“, berichtet Geschäftsführer Rolf Strehle von einer spektakulären Aktion. Das erschreckende Ergebnis: Von insgesamt 25.000 waren es im ersten Anlauf bereits 200, „die wir sofort mit vollen Rechten hätten übernehmen können“. Darunter befanden sich sehr wichtige IT-Systeme.

Die Analyse der EDV-Struktur ergab außerdem, dass fast 8000 Systeme, also immerhin ein Drittel des Voith Corporate Networks, sich nicht zuordnen lassen. Sie entpuppten sich etwa als iPads oder Smartphones, die Mitarbeiter zum Beispiel über eigene Fritz-Boxen mit dem Firmennetz verbunden hatten. „Das sind offene Hintertüren, mit denen wir es den Angreifern oft viel zu leicht machen“, sagt Strehle. Beim Gespräch im VDMA-Arbeitskreis Informationssicherheit stellte er fest, dass die dabei aufgedeckte EDV-Struktur in vielen Firmen ähnlich aussieht.
Ein weiterer Tipp des IT-Experten betrifft die sogenannte SSL-Verschlüsselung mit Hilfe gekaufter Programme, die nach den Enthüllungen des ehemaligen US-Agenten Edward Snowden NSA-Hintertüren unter anderem für den amerikanischen Geheimdienst NSA offen lassen sollen. „Wir haben unsere Verschlüsselung nicht von einer zentralen Zertifizierungsbehörde gekauft, sondern nutzen einen eigenen selbstentwickelten Schlüssel“, betont der Fachmann.

Als erste wichtigste Gegenmaßnahme bezeichnet Strehle eine regelmäßige Inventur des Netzwerkes. „Wir scannen das Netzwerk einmal im Monat, um alle aktuell aktiven Geräte aufzuspüren, zu inventarisieren und zu clustern“, erklärt er. Darüber hinaus hat das Unternehmen ein Monitoring mit dem „Voith Anomaly Detector“ eingeführt, der anormales Surfverhalten im Netz aufspürt. Strehle: „Durch regelmäßiges Logging lässt sich auch ein verdächtiger Mitarbeiter entdecken, der beispielsweise 24 Stunden lang alle fünf Minuten Daten abrufen lässt.“ Außerdem hat es sich bewährt, regelmäßig an neuralgischen Punkten des Netzwerkes (z.B.: SAP, Fileserver) den Datenverkehr zu überwachen. Dabei gehe es in erster Linie (Stichwort: Trojaner) nicht darum, was reinkommt, sondern was an Daten raus geht. Das klingt nach einem enormen personellen Aufwand. Doch selbst für das relativ große Voith-Netzwerk mit 25.000 Systemen reichen zwei Mitarbeiter aus, die pro Tag jeweils eine Stunde die neuralgischen Punkte überwachen.

Doch als eines der wichtigsten Instrumente im Bereich IT-Sicherheit bezeichnet Strehle das Einbeziehen der Menschen in die Verantwortung. Denn es sind vor allem eigene Mitarbeiter, die oft unwissentlich Know-how-Verlust verursachen, während Datendiebstahl durch ausländische Geheimdienste sehr selten vorkommt. Der IT-Fachmann empfiehlt daher Management-Reports über Schwachstellen im Netzwerk, denn oft helfen diese Berichte, das Bewusstsein bei Mitarbeitern für den besseren und sicheren Umgang mit Daten zu wecken. Fachleute sprechen hier von der sogenannten Awareness, zu der ditis Mittelständlern Kampagnen anbietet.

Ebenso wie ditis ist die bhn Dienstleistungs GmbH & Co. KG aus Aerzen (bei Hameln) ein externer Dienstleister einer großen global agierenden Firma mit weltweitem Netzwerk: In diesem Fall handelt es sich um das Automatisierungsunternehmen Lenze SE, für das bhn alle IT-Dienste übernimmt. Als ein Sicherheitsrisiko bezeichnet Josef Flügel, Leiter IT-Infrastruktur bei bhn, die Datenflut. So habe Lenze früher pro Monat rund 16 Millionen Emails erhalten. Die Vermittlungsstationen im Firmen-Netzwerk, die sogenannten Proxys, befanden sich - so Flügel - kurz „vor dem Sterben“. Die britische Firma MessageLabs aus Gloucester, mittlerweile eine Tochter von Symantec (USA), half dem Unternehmen mit seinen cloud-basierten Service, die Datenflut in den Griff zu bekommen. Mittlerweile gelangen nur noch 500.00 Emails pro Monat ins Firmennetzwerk, von denen allerdings immer noch rund die Hälfte Spam-Nachrichten sind.

Wer sich mit dem Thema selbst beschäftige, müsse sich allerdings auch mit der eigenen Netzwerkstruktur auseinander setzen: Als hilfreich habe sich hier ein Blick auf die vom Bundesamt für Sicherheit in der Informationstechnik (BSI) in Bonn vorgeschlagene Referenzarchitektur erwiesen. Außerdem hat bhn für die Lenze-Fachabteilungen eine Checkliste mit Sicherheitsempfehlungen (inklusive Vertragsgestaltung) entwickelt, die beispielsweise bei der Suche nach Dienstleistern für Cloud-Anwendungen helfen. Dabei gehe es etwa um den Standort des Cloud-Service oder um die Transparenz, welche Eingriffe der Anbieter in das Netz vornehmen darf. Beim Virenschutz hieß es in einem Vertrag beispielsweise, dass die gefundenen Viren der Plattform des Anbieters zugeführt werden. Flügel: „Wir haben diesem Passus zugestimmt, denn damit wird ja auch uns geholfen.“ Für das Sammeln der Infos über Virenangriffe in einer zentralen Plattform spreche auch, dass der Dienste-Anbieter dank ihr auf Bedrohungen im Web sehr schnell reagieren könne.

Doch allgemein sollte sich ein Unternehmer die Verträge in puncto Zugriffsrechte sehr genau anschauen. Kritisch seien beispielsweise auch schwammige Passagen wie „bei Bedarf werden Dienste von Subunternehmen in Anspruch genommen“. Außerdem sollte das Unternehmen darauf bestehen, dass es über geschäftliche Änderungen informiert wird. Wichtig ist diese Information beispielsweise, wenn ein bisher europäisches Unternehmen (wie MessageLabs) plötzlich von Amerikanern (Symantec) übernommen wird. Dann würden plötzlich ganz andere Rechtsvorschriften beim Umgang mit Daten gelten. Daher sollte eine Firma bei Abschluss - wenn möglich – auf einen Vertrag nach deutschem Recht bestehen. Trotzdem fühlt sich Flügel weiterhin beim nun US-amerikanischen Dienstleister Symantec gut aufgehoben, „zumal es auch nicht viele andere Möglichkeiten gibt“.
Wichtig sei auch, dass die Daten vertragsgemäß zuverlässig gelöscht werden, wenn das Unternehmen aus der Datenwolke herausgehe. Lenze hatte sich übrigens gegen Daten in der Cloud entschieden und nutzt nur die Transferdienste. Flügels Tipp für Unternehmer: „Beim Einsatz von Cloud-Dienst sollte das Wissen über die Architektur immer bei Ihnen bleiben. Meine Mitarbeiter übernehmen heute die Handhabung der EDV-Umgebung in eigener Regie.“ Es gehe dabei nicht um das exakte Know-how um den Ablauf des Rechenprogramms (Algorithmus), sondern um das Wissen um die Funktion.
Alles in allem sind die Erfahrung mit Sicherheitsdienstleistung, der „Security as a Service (SaaS)“ gut. „Ich kann die Dienste dynamisch und kurzfristig einführen und skalieren“, berichtet der IT-Experte. „Die Steuerung der in Anspruch genommenen Dienste geschieht einfach über Web-Interfaces.“ Probleme hätte es nur mit der Echtzeitübertragung (Live-Streaming) in China gegeben, weil die sogenannte „Great Firewall of China“ sehr gründlich arbeite. Daher musste für China eine dedizierte Lösung installiert werden.

„Cloud-Dienste können das Sicherheitsniveau erhöhen“, fasst Flügel zusammen. „Als ein Risiko sehe ich beispielsweise, dass die Anbieter die Analysen ihrer Kunden selbst unter die Lupe nehmen können.“ Der IT-Fachmann spricht damit auch das noch ungewisse Zukunftsthema Big Data an, bei dem er auch noch nicht wisse, wie es sich weiterentwickele. Laut Wikipedia handelt es sich dabei um „große Datenmengen aus vielfältigen Quellen, die sich mit Hilfe neu entwickelter Methoden und Technologien erfassen, verteilen, speichern, durchsuchen, analysieren und visualisieren lassen“.
Eine Hilfe zur Selbsthilfe bietet beispielsweise der Verband Deutscher Maschinen- und Anlagenbau (VDMA) aus Frankfurt am Main mit seinem Arbeitskreis Informationssicherheit. Das Wissen hat der Verband im neuen, digitalen Leitfaden ISMS zusammengefasst, den VDMA-Mitglieder kostenlos und Nichtmitglieder gegen eine Gebühr von 50 Euro (Kontaktadresse: biljana.gabric@vdma.org) erhalten. In ihm gibt es unter anderem Richtlinien, Dokumente, Geheimhaltungsvereinbarungen und Vorlagen (zum Beispiel für Audits). Steffen Zimmermann, Fachmann für Sicherheitsfragen beim VDMA Informatik: „Es handelt es sich um sehr praxisnahe Erfahrungen und Vorlagen, denn das in dem Leitfaden zusammengeführte Know-how stammt größtenteils aus den beteiligten Unternehmen.“