"Sicherheit im Unternehmen? Da gibt es unendlich viel dazu zu sagen. Und man weiß nicht, wo man anfangen und enden soll", sagt Christoph Riesenfelder, der als IT-Sicherheitsberater der IBM Österreich bei Kunden tagtäglich mitbekommt, was alles passieren kann, was nicht sollte. Kontrolle Doch da alles seinen Anfang braucht, beginnt er bei jenem Faktor, der weithin als IT-Sicherheitsrisiko Nummer eins gilt: dem Nutzer. "Der Anwender ist technisch nun einmal nicht zu kontrollieren", sagt Riesenfelder. "Deshalb ist es besonders wichtig, den Mitarbeitern verständlich zu machen, was passieren kann, wenn er sich so nebenbei aus dem Internet etwas auf seinen Büro-PC herunterlädt oder eine Mail eines ihm unbekannten Absenders öffnet." Zum Beispiel kann er sich da einen Trojaner einfangen, der seine Tastatureingaben kontrolliert, E-Mail-Adressen ausliest und anderen groben "Unfug" anstellt. Komplex Dabei muss es nicht immer gleich kompliziert und aufwändig sein, für ein bisschen mehr Sicherheit beim Umgang mit Internet und Co im Unternehmen zu sorgen. Virenscanner und Firewalls sollten eigentlich selbstverständlich sein. Aber wie wäre es einmal damit: "Stellen Sie Spielregeln auf", lautet einer der Ratschläge des IBM-Experten. Darin sollte zum Beispiel nachlesbar sein, was der einzelne Mitarbeiter im Internet tun darf, inwieweit der Rechner für private Zwecke genutzt werden darf, was Heruntergeladen werden darf et cetera. Interna Auch wenn es noch so blöd klingt, weil es eigentlich einem der Hausverstand sagen sollte, der Mensch aber zur Unbesonnenheit neigt: "Die Mitarbeiter sind auch immer wieder darauf aufmerksam zu machen, keine Firmeninterna in Blogs oder Chats auszuplaudern", empfiehlt Riesenfelder. Bei der IBM gibt es beispielsweise Business Conduct Guidelines, ein kleines Richtlinienheft, in dem auch der - richtige - Umgang mit elektronischen Daten geordnet ist. Think Zum Glück ist der vorsätzlich "böse" Mitarbeiter die Ausnahme, viele Sicherheitspannen geschehen aus Unerfahrenheit. Darum: bei gegebener Möglichkeit - etwa wenn ein neues Betriebssystem oder Programm eingeführt wird - bei der Schulung die Sicherheitsaspekte mitbehandeln. "Motivieren Sie Ihre Mitarbeiter zur Sicherheit", appelliert Riesenfelder. Ein Merksatz wie "Think before you click" könnte dabei ein hilfreicher Ansatz sein. Zugriff Zu den IT-Sicherheitsspielregeln gehören sollte auch das "ordentliche" Sichern der Daten. "Die meisten Firmen tun dies zwar, aber nicht in ausreichendem Maße", weiß der Experte aus der Praxis. Dabei sollte darauf geachtet werden, dass die Daten lesbar, integer und unverfälscht auf den Speichern gelangen. Die gesicherten Daten sollten möglichst an verschiedenen Orten gelagert werden. "Dies kann durchaus eine USB-Festplatte sein, die in den Safe gelegt wird und periodisch upgedatet wird." All das ist natürlich nur die Spitze vom "Eisberg IT-Sicherheit". "Aber irgendwo muss man halt anfangen", resümiert Riesenfelder. (Karin Tzschentke)