Keine Ausreden mehr

Datensicherheit ist (keine) Glückssache

Mit der zunehmenden Abhängigkeit von EDV-Systemen im Alltag ist es an der Zeit sich über Datensicherheit nicht nur Gedanken zu machen. Doch gerade in kleinen und mittelständigen Unternehmen mangelt es an Taten. Mit der zunehmenden Vernetzung von Computer, sowohl firmenintern als auch mit dem Internet, ist die Zeit der Datensicherheitsunschuld vorbei. Sind doch die geschäftlichen und sozialen Konsequenzen im Falle einer EDV-Störung für alle Beteiligten unabsehbar, wenn keine Sicherungsmaßnahmen im Vorfeld getroffen werden.

Durch die Schilderung von einem Fallbeispiel soll aufgezeigt werden, welche praktischen Auswirkungen es haben kann, wenn

keine Unternehmensrichtline für die Nutzung des Internets vorliegt,
keine Unternehmensrichtline für die Nutzung des firmeninternen Netzwerkes vorliegt,
die Anwender nicht über Datensicherheitsbelange aufgeklärt und ausgebildet werden,
keine oder nur unzureichende Backups der Datenbestände angefertigt werden,
Zugriffberechtigungen zu einfach und leichtfertig vergeben werden
keine Antiviren-Software zum Schutz der Computer zur Verfügung steht.

Case Study

Ein Angestellter holte sich aus dem Internet Computerviren sowie auch diverse Programme zum Erstellen von Computerviren auf seinen Firmenrechner. Zwar experimentierte er nicht mit den Computerviren selbst, wohl aber wurden diverse Programmierhilfen zum Erstellen und Veredeln von Computerviren ausgiebig getestet. Diese Tests wurden auf einem Computer durchgeführt,

der an das firmeninterne Netzwerk angeschlossen war,
der zur alltäglichen Arbeit verwendet wurde,
auf dem wichtige Arbeitsdaten gespeichert waren,
von dessen Datenbeständen kein Backup existierte,
der über keinerlei Schutzmaßnahmen verfügte (AV-Software, residentes Schutzprogramm, etc.).

Im Laufe des Testens von diversen Programmen aus dem Virenuntergrund wurde auch ein Programm aufgerufen, das in Wirklichkeit ein Trojanisches Pferd war und nach seinem Aufruf die Festplatte formatierte und mit zufälligen Zeichen überschrieb.

Der Schaden durch die verlorengegangen Daten läßt sich nicht beziffern, da im nachhinein niemand genau sagen konnte, welche Daten in welchem Umfang überhaupt verloren gegangen sind.

Die manuelle Wiedereingabe von Daten von denen man noch wußte, dass sie auf dem Rechner vorhanden waren, dauerte über zwei Wochen.

Der Angestellte war sich nach eigenen Aussagen keiner Schuld bewußt und war über die Auswirkungen seines Forscherdrangs schockiert. Von der Möglichkeit eines Trojanischen Pferdes hatte er noch nie gehört.

Reality Bites

Es erscheint heute paradox, dass jeder in einem Unternehmen nach kurzer Einweisung in das Betriebssystem und das Anwenderprogramm Daten weiterverarbeiten darf, ohne dass er darüber aufgeklärt wurde welche Konsequenzen für das Unternehmen entstehen wenn es zu einem Datenverlust kommt oder welche Sicherheitsaspekte im Umgang mit Daten und Computern zu beachten sind. Daten sind heute der Blutkreislauf eines modernen Unternehmens und die Personen, die mit diesem Datenkreislauf arbeiten, sind schlechter über Sicherheitsaspekte informiert als ein Angestellter an seiner Produktionsmaschine.

Die Ursache hierfür ist meist die Tatsache, dass den Unternehmen überhaupt nicht bewußt ist, welche Gefahren in der Welt der EDV lauern. Und gerade diese Gefahren können im Ernstfall viel Geld kosten oder das Unternehmen an den Rand des Ruins führen. So verliert die amerikanische Wirtschaft laut einer Studie pro Jahr rund 4 Milliarden Dollar durch Datenverluste. Über 60 Prozent aller Befragten konnten keine Richtlinien zur Datensicherheit oder regelmäßige Sicherungskopien vorweisen. Mehr als 50 Prozent befürchten Datenverlust in absehbarer Zeit und mehr als 25 Prozent haben bereits Datenverlust zu verzeichnen gehabt. Die teilweise riesigen Datenmengen die dabei verlorengehen, verursachen einen Produktionsausfall von mehr als einer Woche und die Rekonstruktion der Daten ist teilweise unmöglich.

Auch längerfristige Effekte waren bei ernsthaften Datenverlusten zu beobachten. Nahm die EDV-Störung bzw. der Datenverlust eine gewisse (von der Unternehmensgröße und EDV-Struktur abhängige) Größe an, waren 84% der geschädigten Unternehmen nach 12-18 Monaten nicht mehr am Markt vertreten. Die dabei verlorengegangenen Arbeitsplätze kann man als die soziale Komponente der Datensicherheit betrachten.

Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des Autors unzulässig und strafbar.