Wäre das Unternehmensnetz ein Bollwerk, so mächtig wie Fort Knox, würde es vielleicht gelingen, Viren, Würmer, Hacker und Industriespione fernzuhalten. Die völlige Abschottung ist aber auch nicht der Weisheit letzter Schluss, denn im Zeitalter der Globalisierung und eines immer schneller werdenden Wettbewerbs kommt es heute mehr denn je darauf an, Geschäftspartnern und externen Mitarbeitern den ungehinderten und doch sicheren Zugriff auf das Unternehmensnetz zu gewähren. Außerdem sind die Gefahren, die von innen lauern, meist viel größer als die von außen.
"Die Lösung für diese Situation lautet Bewertung, Auslagerung und Schulung", heißt es daher in einer AT&T-Studie. Gefahrenbewertung sei die erste Stufe jeder Unternehmenssicherheitspolitik, wobei es abzuwägen gelte, die möglichen Gefahren und Schäden mit den Sicherheitskosten ins Gleichgewicht zu bringen.
Der Trend geht zum sicheren Netz
Technologisch setzen die meisten der 237 von AT&T befragten Unternehmen bei der Sicherheit auf Firewalls oder eine Kombination von Hard- und Software-Tools. Häufigstes Authentifizierungsverfahren ist die so genannte Token-Authentifizierung mit Zweifachschutz aus geheimem Passwort und einem fortwährend wechselnden Token (Authentikator). Viel versprechend ist auch die Biometrie. Intrusion Detection Systems und mehrstufige Firewalls halten zwar gewöhnlichen Angriffen stand, bieten aber im Extremfall keine ausreichende Sicherheit. Der Trend geht deshalb dahin, die Sicherheitsmechanismen auf die Netzwerkebene zu verlagern. Man spricht hier vom "holistischen" System, bei der das Netzwerk von Grund auf für die Sicherheit konzipiert ist und sich selbst auf Schwachstellen überwacht.
Schwachstelle Mensch
Die größte Schwachstelle in der Sicherheitsinfrastruktur eines Unternehmens ist aber der Mensch. Chris Byrnes von der Meta Group schätzt, dass "30 Prozent des Themas IT-Sicherheit Technologien und 70 Prozent Menschen und Praktiken betrifft". Kevin Mitnick, ein bekannter Hacker aus den USA, soll denn auch keine ausgeklügelte Technologie genutzt haben, um Unternehmensnetze zu durchbrechen. Vielmehr soll er Angestellte dazu überredet haben, ihm die benötigten Informationen für den Zugang in die Unternehmensnetze zu verschaffen. Ein sträflicher und oft gemachter Fehler ist es auch, einen Zettel mit dem eigenen Passwort herumliegen zu lassen oder von einem öffentlichen Zugang ins Intranet zu gehen, sich dann aber nicht mehr auszuloggen.
Erstaunliches Ergebnis einer Umfrage am Rande der Infosecurity Europe, der größten Sicherheitskonferenz in Europa: Rund 90 Prozent der Büroangestellten, die am Londoner Bahnhof Waterloo Station ein- und ausgestiegen sind, haben im Tausch für einen billigen Kugelschreiber ihr Passwort preisgegeben. Selbst auf höchster Ebene sind Fälle von derartiger Naivität keine Seltenheit, wie Tabelle 2 zeigt.
Daher sollten die IT-Verantwortlichen nicht müde werden, die Mitarbeiter über die Gefahren aufzuklären. Denn bei grob fahrlässigem Verhalten versagen selbst technologische Mittel wie "verfahrensbasierte Zugriffskontrollmechanismen". Dass viele Mitarbeiter nicht grob fahrlässig handeln, sondern - sei es aus Rache oder Habgier - bewusst die Sicherheit des eigenen Unternehmens aufs Spiel setzen, macht das Ganze natürlich noch schwieriger.
Meinung des Redakteurs
Streng genommen schließen "Netzwerk" und "totale Sicherheit" einander aus. Denn wie Kommunikation und Datenaustausch auch immer verlaufen, es stecken Menschen dahinter. Investitionen in Technologie sind unausweichlich. Und auch Outsourcing als die vielfach günstigere Lösung gibt es schließlich nicht zum Nulltarif. Durch Technologie lassen sich so manche Sicherheitsbarrieren aufbauen, aber gegen Dummheit ist kein Kraut gewachsen.