Viele Mittelständler vernachlässigen die Sicherheit ihrer IT-Systeme. Die Folgen von zu viel Sorglosigkeit können fatal sein.

Als Geschäftsführer des Antivirensoftwareherstellers Softwin hat Martin Siemens schon viel gehört. Als ihm der Inhaber eines Handwerksbetriebes aber erzählte, wie er sich vor Computerschädlingen schützt, war er sprachlos. "Wenn der hört, dass ein Virus im Internet unterwegs ist, öffnet er einfach so lange keine E-Mails, bis sich die Aufregung gelegt hat", berichtet Siemens.

Dass es Computerviren egal ist, wann der Anwender den entscheidenden Klick tut und sie aktiviert, wissen inzwischen zwar auch die meisten Mittelständler. Dennoch fehlt es ihnen beim Thema IT-Sicherheit oft an der nötigen Professionalität. Denn es reicht nicht, nur Sicherheitssoftware aus dem Internet auf den Unternehmensrechnern zu installieren.

Wirklicher Schutz ist mit viel Aufwand verbunden. Der sich aber lohnt. Denn die Folgen einer Infektion können fatal sein. Und zwar nicht nur, weil möglicherweise das System ausfällt und die Arbeit im Unternehmen komplett kollabiert. Wenn Viren oder Trojaner sich in einem Netzwerk eingenistet haben, sammeln sie fleißig Daten, etwa aus den digitalen Adressbüchern, und schicken Kopien ihrer Schadenscodes an alle Mailempfänger, die dort aufgeführt sind. Bis verärgerte Geschäftspartner einen darauf hinweisen, dass man ihnen Viren ins Haus schickt. Darunter kann die Beziehung erheblich leiden, schließlich gefährden die Schädlinge auch die Prozesse beim Adressaten.

Häufig verlangen deshalb zum Beispiel Automobilhersteller von ihren Zulieferern in Sachen IT dokumentierte Vorsorgemaßnahmen, damit ihre eng getakteten Lieferketten nicht aus dem Tritt kommen. Wer wegen Computerpannen in Verzug gerät, verliert schließlich schnell den Auftrag.

Für den Absender eines Schädlings kann das teuer werden. Denn bei Haftungsfragen haben Sicherheitsmuffel schlechte Karten. "Spätestens im Schadensfall wird IT-Sicherheit vom reinen Expertenthema zur Angelegenheit des Managements", erklärt Rechtsanwalt Wilfried Reiners von der Kanzlei PRW in München. Vorschriften wie die Sorgfaltspflicht-, Datenschutz- und Haftungsrichtlinien oder das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) verpflichten Geschäftsführer und IT-Leiter zu verantwortungsvollem Risikomanagement. Wie erste Gerichtsurteile zeigen, greifen sie beim Datenverlust oder -diebstahl durch Viren, Würmer oder Hackerprogramme. Wenn Managern Versäumnisse nachgewiesen werden, können sie persönlich für Schäden haften.

Effektiven Schutz garantieren nur Komplettlösungen, die ständig aktualisiert werden. Firewalls - virtuelle Schutzmauern, die den Datenverkehr zwischen Computern kontrollieren - oder Antivirensoftware sind nur Kosmetik, wenn Unternehmen das Geld für professionelle Programme sparen wollen. "Einige arbeiten mit Software, die aus Werbegründen eine Zeit lang kostenlos ist, oder mit Testversionen, die sie heimlich weiter benutzen", sagt Softwin-Chef Siemens. Diese Programme sind zwar nützlich, werden aber nach einiger Zeit nicht mehr aktualisiert. Sicherheitsprogramme, die nicht fortlaufend gepflegt werden, sind für Hacker aber keine Hürde. Ihre Schwachstellen werden schonungslos und in immer kürzerer Zeit ausgenutzt.

Doch selbst professionelle Produkte arbeiten nicht immer zuverlässig. Gleich dreimal schlichen sich digitale Schädlinge in das Unternehmensnetz des Biotechnologieunternehmens Morphosys in München. Darunter war auch der Computerwurm Nimba, der den Datenverkehr im Unternehmensnetzwerk erheblich behinderte. Dann hatte IT-Leiter Steffen Pohlenz die Nase voll und wechselte den Softwareanbieter. Dabei nahm er sich ausgiebig Zeit, neue Produkte zu testen. Zu Recht, wie sich zeigte. Ein Antivirenprogramm, das Pohlenz in Betracht gezogen hatte, übersah bei einem Test 140 bekannte Schädlinge - für den Hersteller eine blamable Bilanz. Der neue Virenschutz arbeitet nun zuverlässig, sagt Pohlenz. Seit dem Softwarewechsel gab es jedenfalls keinen erfolgreichen Virenangriff mehr.

Kleinere Unternehmen können sich meist keine eigenen Experten leisten, die Software testen und fortlaufend pflegen. Vielen geht es wie Harald Möller, Geschäftsführer der Touristikgruppe Bayern Express & P. Kühn Berlin (BEX). "Internetrecherchen und E-Mails gehören für uns schon seit vielen Jahren zum Alltag", sagt er. Trotzdem war es lange den einzelnen BEX-Reisebüros überlassen, sich zu vernetzen und abzusichern. In der Zentrale hatte dafür niemand die Zeit und das Know-how.

Ein Spiel mit dem Feuer, wie die Spezialisten von Siemens feststellten, die die Betreuung des Computernetzwerks und der dazugehörenden Sicherheitssoftware inzwischen übernommen haben. Sie entdeckten schnell, dass Hacker die BEX-Computer schon im Visier hatten. "Ein Rechner versuchte, alle Viertelsekunde einen anderen Computer über das Internet anzusprechen", sagt Möller. Ein Trojanisches Pferd war auf die Festplatte gelangt und sollte den Computer zu einem vom Hacker ferngesteuerten Werkzeug machen. Über derartige "Zombie"-Rechner werden dann häufig vom Nutzer unbemerkt Spam- und Viren-E-Mail versandt.

Um komplexe IT-Infrastrukturen zuverlässig zu schützen, lagern vor allem größere Mittelständler diese Aufgaben gerne aus. Zwischen 1400 und 2000 Euro im Monat kostet es, wenn ein Dienstleister die Schutzlösungen aus der Ferne betreut.

Auch der Mercedes-Händler Kunzmann setzt auf die Hilfe von Externen. Bei dem Unternehmen sind mehr als 300 PCs von 550 Mitarbeitern an acht Standorten vernetzt. Zunächst hatten der interne IT-Fachmann Joachim Roßmeisl und sein Team Ende 2004 selbst versucht, die alte Firewall-Software zu ersetzen. Doch das Projekt war unerwartet kompliziert, das fünfköpfige Team konnte nicht gleichzeitig die Software installieren und den Netzbetrieb aufrechterhalten. Schließlich halfen Experten des Sicherheitsdienstleisters Sy-mantec und mussten wenig später ins Haus kommen, um die IT-Mannschaft zu schulen. "Die neue Firewall hat sich sehr von der alten unterschieden", sagt Roßmeisl.

Damit nicht genug: Eine Firewall hält zwar viele Cyber-Einbrecher fern. Um zu erkennen, ob nicht doch jemand die Geschäftsdaten heimlich verändert hat, ist ein Spezialsystem nötig. Um aber ein so genanntes IDS oder IPS-System zu betreiben, brauchen selbst IT-Experten viel Zeit und Erfahrung. Bevor die Computersicherheit sich zum Fass ohne Boden entwickelte, gab Kunzmann auch diesen Job an externe Experten raus. "Man kann nicht permanent alles selbst überwachen", sagt er. "Unser Kerngeschäft ist schließlich der Verkauf von Autos und nicht die Wartung von Computersystemen."