BAD HOMBURG: Die meisten Unternehmen sind nur ungenügend auf die Gefahren aus dem Internet vorbereitet. Das behaupten der Business-Extranet-Betreiber Intouch GmbH und der Internet Carrier Psinet GmbH in Ismaning. Neun "Kardinalfehler" seien an der Tagesordnung: Sicherheitsbelange erhalten in DV-Abteilungen nicht den Stellenwert, der ihnen zusteht. Ist einmal ein Sicherheitssystem installiert, wird es solange beibehalten, bis es veraltet ist. Sicherheit wird auf technische Aspekte beschränkt, die menschlichen - offen herumliegende Paßwörter, eingeloggte Rechner während der Mittagspause - bleiben unberücksichtigt. Selbst wenn Firmenlenker über IT-Sicherheit nachdenken, glauben sie oft nicht, daß ihr Unternehmen ein lohnenswertes Ziel für Hacker darstellt. Schlimmstenfalls, glauben die Manager, werden sie nur einmal von Hackern heimgesucht, doch erfahrungsgemäß kommen die Einbrecher immer wieder. Intouch hält es außerdem für einen "Irrglauben", daß eine Firewall und eine Schulung des Systemadministrators bereits genügen, um unerwünschte Gäste vom Firmennetz fernzuhalten. Wenn es dann zum "worst case" (schlimmsten Fall) gekommen ist, genüge es oft nicht, einfach den Webserver herunterzufahren, weil Internet-service-provider populäre Webseiten ohne Rücksprache replizieren. Und die "Todsünde", für die Intouch keinen Ablaß erteilt, ist die Übertragung unverschlüsselter Informationen zwischen Servern. Denn mit sogenannten Sniffern können Hacker aus dem Datenstrom Paßwörter und Usernamen herausschnüffeln.Natürlich haben Psinet und Intouch "goldene Regeln" für verunsicherte Internet-Benutzer parat: Als vorausschauende Maßnahmen empfehlen sie, "präzise Vorkehrungen für den Tag X" zu treffen. Zum Schlachtplan zählen 24-Stunden-Rufbereitschaft für Netzwerkadministratoren, ein Eskalations-Management, das festlegt, "was bei welcher Angriffsstufe zu tun ist" und klare Richtlinien für die Kommunikation mit den Medien. Internet-Sicherheit müsse zur "Chefsache" werden. Intouch bietet übrigens einen Service - "Internet
Security Audit" - zur Abschätzung des Risikopotentials an. (is)