BERLIN. Adrenalin ist das Geschäft von Jochen Schweizer. Seine Firma bietet Bungeejumping, Fallschirmsprünge oder Hubschrauberflüge als Geschenke an. Doch wenn es um die eigene IT-Sicherheit geht, verzichtet das Unternehmen lieber auf Nervenkitzel.
Steffen Greiner hat als Chief Financial Officer rund 50 000 Euro investiert, um die Firma nicht nur vor Viren und Trojanern zu schützen, sondern auch vor Systemausfällen und Mitarbeiterfehlern. Hinzu kommen 12 000 Euro laufende Kosten im Jahr. Dafür lädt unter anderem eine zentral gesteuerte Antivirenlösung stündlich die neuesten Informationen über Schadprogramme aus dem Netz, und ein ausgefeiltes Backup-System schützt vor Datenverlusten. Für das Unternehmen ist IT-Sicherheit besonders wichtig, denn es wickelt Aufträge samt persönlicher Kundendaten in der Regel elektronisch ab.
Kundendaten gehen verloren
Die meisten Mittelständler kennen die Risiken der digitalen Geschäftswelt heute zwar besser denn je, sie schützen sich dennoch nicht ausreichend: Laut einer Studie des Beratungsunternehmens Accenture haben rund 70 Prozent der deutschen Firmen und Behörden in den vergangenen zwei Jahren personenbezogene Daten von Kunden und Mitarbeitern verloren. Auf 2,4 Millionen Euro schätzen die Berater den Schaden, der dabei durch den Vertrauensverlust entstanden ist.
An Problembewusstsein mangelt es nicht: Laut den Marktforschern von Bloor Research sind sich drei von vier Mittelständlern sicher, dass ein Datenverlust ihre Firma ernsthaft gefährden könnte. "Bei mittelständischen Unternehmen hat das Thema IT-Sicherheit klar an Bedeutung gewonnen", sagt auch Olaf Mischkovsky, Systemingenieur des Sicherheitssoftwareherstellers Symantec. "Allerdings wiegen sich viele in falscher Sicherheit, weil die Bedrohungen komplexer geworden sind." Immerhin würden deutsche Mittelständler im Schnitt jährlich 11 400 Euro in sichere IT investieren, sagt der Experte. Das sei im internationalen Vergleich allerdings noch wenig.
Travis Witteveen, Vertriebschef des mittelständischen IT-Sicherheitsanbieters Avira, hat eine eigene Faustregel: Unternehmen, bei denen mindestens 80 Prozent der Geschäftsprozesse über Computer laufen, sollten demnach fünf bis zehn Prozent ihres Umsatzes in die Ausstattung mit Software und Geräten investieren, die auf dem neuesten Stand der Technik sind. "Der Hauptanteil davon entfällt mit 70 Prozent der Kosten auf die Hardware", sagt Witteveen.
Dabei gilt: Die beste Sicherheitsarchitektur ist nur so stark wie ihr schwächstes Glied. Oft sehen die Unternehmen daher gar nicht, woher die Gefahr kommt. "Firmennetze werden weniger direkt durch Schadsoftware aus dem Internet bedroht, als vielmehr durch USB-Sticks, im Heimbüro genutzte Notebooks oder Smartphones, durch die Malware eingeschleppt wird", sagt Symantec-Experte Mischkovsky. Fraglich sei oft auch, wie gut internationale Zulieferer und Kooperationspartner geschützt sind, die Zugriff auf das Firmennetz haben.
"Datensicherheit betrifft schon lange nicht mehr nur die Technologie, sondern auch das Verhalten von Menschen", sagt Frank Fischer, Experte für Informationssicherheit und Datenschutz bei Accenture. Oft genug entstehe ein Schaden, weil ein unverschlüsselter Datenträger verbummelt wird und in falsche Hände gerät.
Auch soziale Netzwerke, die Mitarbeiter während der Arbeitszeit nutzen, sind ein beliebtes Angriffsziel. "Sie sind ein offenes Einfallstor für Spam, Viren und Trojaner", sagt Martin Hager, Geschäftsführer von Retarus aus München, einem Sicherheitsspezialisten für elektronische Unternehmenskommunikation. Heute werde jede dritte Spam-Mail unter dem Deckmantel sozialer Netzwerke versendet.
Bereits beim Klick auf nur einen Link in der Spam-Mail kann der Computer mit einem Schadprogramm infiziert werden, das persönliche Informationen ausspioniert. "Im schlimmsten Fall werden dadurch sogar ganze IT-Infrastrukturen von Unternehmen infiltriert und lahmgelegt, was schnell im unternehmerischen Fiasko enden kann", sagt Hager. Er rät, private E-Mails in Firmen zu verbieten und Spam-Filter und Virenscanner einzusetzen.
