16.12.2009

Gibt es einen Schutz vor Datenklau und IT-Einbruch?

DSC_2204_online.JPG
IT-Sicherheitsguru Mark Semmler.  Foto: N. Groß

Interview mit Mark Semmler, Ex-Hacker und heute gefragter IT-Sicherheitsexperte.

Die Fäuste in die Höhe und ein „Das war’s“. Mark Semmler hat eben das IT-System eines Unternehmens geknackt und alle konnten zugucken. Doch der Mann in Schwarz und mit Haarzopf wird dem betroffenen Unternehmen nur eine mahnende, nette Mail schicken. Mark Semmler ist Sportler und Trainer zugleich auf seinem Fachgebiet. Aus der Hackerszene kommend, berät er heute Unternehmen zur IT-Sicherheit. Unter Kennern hat er sich den Ruf eines Guru erworben. Seine Vorträge sind so interessant wie unterhaltsam – das Live-Hacking inbegriffen. Für das FORUM gab Mark Semmler ein kurzes Interview.

Was ist die Schwachstelle in den IT-Systemen der Unternehmen?

„Der Mensch. Der Mensch ist ein neugieriges Wesen. Man kann seine Hilfsbereitschaft oder Hilfsbedürftigkeit ausnutzen, um es zu verleiten, bestimmte Dinge zu tun. Beispiel: Sie bekommen eine Email in der steht: He, der Inhalt ist was total lustiges und klicken auf den Anhang. Der Anhang ist aber nichts lustiges, sondern eine Schadsoftware. Benutzer wissen definitiv nicht von sich aus, was gut ist, was sicher ist. Deshalb muss man die Benutzer einer IT-Infrastruktur sauber einnorden. Man muss ihnen erklären, was ist hier erlaubt und was nicht. Wenn man das tut - Klammer auf - das kostet auch ganz wenig Geld - Klammer zu -, hält man sich per se 60, 70, sogar 80 Prozent aller Probleme aus dem Netz raus. Denn wenn die Benutzer keine fremden USB-Sticks mitbringen, wenn die Benutzer keine fremden Laptops mitbringen, wenn die Benutzer, Entschuldigung, nicht jeden Scheißdreck aus dem Internet runter laden und draufklicken, wenn die Benutzer sich nicht grob fahrlässig verhalten, weil sie es nicht besser wissen, hat man ganz viele Probleme weniger. Das gilt für jeden, der irgendwie in der IT-Infrastruktur rumfuhrwerkt: Für die Mitarbeiter, die Geschäftsleitung, die Eigentümer, die Administratoren  und auch fremde Dienstleister. Der Faktor Mensch muss berücksichtigt werden.“

Wird der Faktor Mensch vernachlässigt, ist mit welchen Schäden zu rechnen?

„Die Schäden sind sehr vielfältig. Es kommt auf das Unternehmen und seine IT-Infrastruktur an. Zu rechnen ist mit Ausfällen des IT-Systems, Maschinen können nicht arbeiten, die Verfügbarkeit leidet. Es können Haftungsschäden, Haftungsfragen gemäß bürgerlichem Gesetzbuch, auftreten. Die Verkehrssicherungspflicht ja hat jedes Unternehmen zu erfüllen. Es können auch dadurch Schäden auftreten, dass die Vertraulichkeiten von Daten gebrochen wird, dass diese veröffentlicht werden, die man einfach nicht veröffentlicht haben möchte.“

Können Sie solche Schäden beziffern?

„Die sind extrem unterschiedlich. Es kommt auf das Unternehmen an. Die Schadenssummen können bei wenigen Hundert Euro losgehen. Zum Beispiel: Ich muss ein Notebook neu aufsetzen, weil eine Schadsoftware drauf ist. Aber die Schäden können auch zum kompletten Ruin der Firma führen, innerhalb einer recht kurzen Zeit. Das habe ich schon miterlebt.“

Was können Sie Firmen mitgeben? Was sollten die mindesten Vorkehrungen in der IT-Sicherheit in einem Unternehmen sein?

„Das allerallermindeste ist ein gutes Back-up. Ja, denn wenn irgendeine Katastrophe passiert, habe ich alle meine wichtigsten Daten noch einmal da. Dann kann ich beginnen, die Dinge von vorne aufzubauen. Denn wenn sonst die Daten weg sind, sind sie pleite.“

Aber es muss doch noch einen Schutz vor der Katastrophe geben?

„Okey. Von den Grundmaßnahmen ist das Back-up das allerwichtigste. Ansonsten gibt es noch eine Menge anderer Sachen, die man machen kann. Punkt 1: Die Benutzer sensibilisieren, was sie zu tun und zu lassen haben. Punkt 2: Das Unternehmen muss sich überlegen: Wo liegen meine kritischsten Daten und was kann diesen Daten passieren? Wenn man diese Hausaufgaben gemacht hat, sind die Gefährdungen im Haus festzustellen und ich kann mir Maßnahmen ausdenken oder ausdenken lassen durch einen Dienstleister, wie ich den Gefährdungen adäquat begegnen kann. Meine Antwort ist schwammig, ich weiß. Aber das liegt daran, dass jede Firma anders aufgestellt ist. Es gibt Firmen die arbeiten nur mit Laptops. Dann heißt es: Laptop super gut absichern. Es gibt Firmen die arbeiten mit Terminal-Servern oder so. Und es gibt Firmen, die haben eine sehr individuelle Gefährdungslage, weil sie zum Beispiel viel mit Fremddaten arbeiten. Denken sie nur mal an Druckereien. Da gehen die mobilen Sticks hin und her. Oder sie arbeiten vor allem mit vertraulichen Daten. Wenn die rausgehen, droht bei entsprechender Haftungsvereinbarung Konventionalstrafe. Da sind sie schneller pleite als sie gucken können. IT-Sicherheit ist immer so individuell wie das Unternehmen.“

Mark Semmler war Gast der IHK Ostbrandenburg. Er hielt Vorträge vor Unternehmern und Administratoren. Die Teilnehmer nutzten intensiv die Gelegenheit für individuelle Gespräche.  Die Veranstaltung wurde unterstützt durch das Kompetenzzentrum für den elektronischen Geschäftsverkehr im Oderland (KEGO).

alt IHK/Norma Groß

Kommentare

Es sind noch keine Kommentare vorhanden.
Um einen neuen Kommentar zu schreiben, können Sie sich als registrierter Benutzer hier einloggen.
Falls Sie noch keinen Login haben, können Sie sich hier registrieren.
Als nicht registrierter Benutzer können Sie hier auch anonym einen Kommentar verfassen