Kommentar: Manager und Cyber-Terroristen

Seit den Anschlägen vom 11. September vor einem Jahr schürt die US-Regierung Ängste vor Cyber-Terrorismus, orakelt gar von Staatsterrorismus per Internet. So gäbe es konkrete Hinweise darauf, dass fünf oder sechs feindliche Staaten gezielt Netzwerke amerikanischer Einrichtung angegriffen haben. Noch in diesem September sollen dagegen konkrete Maßnahmen ergriffen werden.

Unter Fachleuten gilt der Begriff „Cyber-Terrorismus jedoch als irreführend. Firewalls und Virendetektoren unterscheiden nicht, ob ein Angriff von einem pickeligen Computerfreak aus Israel – wie im Fall des Goner-Virus -, der russischen Mafia oder von der Al Qaida vorgetragen wird. Die Abwehrmechanismen sind in jedem Falle dieselben.

Trotz des bestenfalls vagen Zusammenhangs zwischen Terrorismus und Computersicherheit, glauben die Anbieter insofern vom 11. September zu profitieren, als dadurch weltweit das Sicherheitsbewusstsein geschärft worden sei. Eine US-Studie aus diesem Sommer lässt daran jedoch massiven Zweifel aufkommen. Danach haben seit den Anschlägen nur drei Prozent der befragten Unternehmen ihre Einstellung zu Sicherheitsfragen verändert. Daher nimmt es nicht wunder, dass der erhoffte Boom weitgehend ausblieb. Einzig Sicherheitsspezialist Symantec (Börse Frankfurt: SYM) freut sich über unerwartet hohe Umsätze. Doch der Kauf von Virensoftware und Firewalls löst noch keine Sicherheitsprobleme. Sie funktionieren nur dann, wenn sie richtig eingestellt sind und regelmäßig mit den aktuellen Updates und Patches versorgt werden.

Leider geht jedoch aus der genannten Umfrage auch hervor, dass nur 14 Prozent der IT-Manager regelmäßig nach Schwachstellen im eigenen Unternehmen fahnden. In einer Zeit, in der fast täglich neue Sicherheitslücken entdeckt werden, wäre jedoch gerade das Stopfen dieser Löcher die Hauptaufgabe der Sicherheitsbeauftragten. Ihnen wird allerdings die Arbeit alles andere als leicht gemacht. Ihr größtes Problem sind die User, die sich nicht durch irgendwelche Regeln den freien Umgang mit ihrem Rechner verbieten lassen wollen.

Die gefährlichsten Anwender sind dabei weniger die häufig gescholtenen Sekretärinnen und Sachbearbeiter, die ahnungslos dubiose E-Mail-Anhänge öffnen und verbreiten. Ihnen kann die IT-Abteilung mit Sicherheitsvorschriften und gezielter Rechtevergabe durchaus Zügel anlegen. Das Problem liegt beim Führungspersonal, das sich schon qua Position ungern Vorschriften machen lässt. Manager sind es, die unkontrolliert neue Software ausprobieren, sie sind es, die vertrauliche Entscheidungen per E-Mail diskutieren und auf den Luxus beharren, mit Geschäftspartnern per Instant Messaging (IM) zu chatten – obwohl diese Art Software kaum abzusichern ist.

Führungskräfte greifen inzwischen gern zu Handy und E-Mail, weil sie erkannt haben, dass sie ihre Aufgaben, die wesentlich aus Verhandeln, sprich: Kommunizieren, bestehen, damit leichter und schneller bewältigen können als durch Meetings und Briefverkehr. Dabei vernachlässigen sie jedoch zunehmend grundlegende Sicherheitsregeln. Immer wieder kommt man im Flugzeug neben Leuten zu sitzen, die Akten durcharbeiten, auf denen oben ein dicker roter Vertraulichkeitshinweis prangt. Wegschauen ist in wegen der Enge kaum möglich. Und auch im Zug fühlen sich ICE-Nutzer längst von Führungskräften belästigt, die glauben, ihre Firma lautstark vom Handy aus leiten zu müssen.

Gedankenlose Manager riskieren das Firmenwohl, wenn sie es nicht für nötig halten, bei sicherheitsrelevanten Gesprächen zumindest die Stimme zu senken, bei Vertragsverhandlungen ihre E-Mails nicht verschlüsseln und vertrauliche Angelegenheiten im Chat-Forum diskutieren. Diese Verhaltensweisen unterlaufen jede Sicherheitsstrategie und öffnen Cyber-Terroristen, vor allem aber Industriespionen Tür und Tor.