IT Sicherheit Teil 3/2 Gefahren technischer Art
2.2 Gefahren technischer Art
Vielerlei Gefahren werden auf der technischen, also der Seite der Bediener der Technologie verursacht. Hierbei geht es nicht nur um unbefugte, sondern auch um unsachgemäße und leichtsinnige Bedienung der IT-Geräte.2.2.1 Gefahren von außen
Je nachdem, was für ein System das Unternehmen verwendet, kann es für „Hacker“ sehr einfach sein, von einem anderen Computer aus in das System einzudringen.
Besonders gefährdet sind Unternehmen, die mit WLAN Technologie arbeiten. Selbst wenn das Netz abgesichert und vom Anbieter als absolut sicher bezeichnet wird, ist es für einen geübten Hacker oftmals nur eine Sache vom Minuten, sämtliche Sperren des Systems zu überwinden und Zugriff auf alle betrieblichen Daten zu erlangen. Ein solcher „Datenklau“ kann zu großen finanziellen Einbußen führen, wenn betriebliche Daten beispielsweise an konkurrierende Unternehmen weitergeleitet werden.
Jedoch auch durch gezielte Attacken auf das System kann erheblicher Schaden angerichtet werden. So können etwa Viren und Trojaner in das System eingeschleust werden oder so genannte DoS-Attacken gestartet werden. Nicht selten hat dies einen Komplettabsturz des Systems und einen vollständigen Datenverlust zu Folge.
Hier gilt es, sich umfangreich zu informieren und abzusichern. Die Verwendung eines Virenscanners ist in einem Unternehmen unerlässlich.
Auch die Absicherung mit einem allgemeinen Passwort ist in der Regel nicht ausreichend. Einer Studie zufolge sind 71% bereit, ihr Passwort für einen Schokoriegel zu verraten. Es existieren noch immer in relativ wenig Unternehmen Vorgaben für die Auswahl der Passwörter, so dass der Name eines Familienmitgliedes immer noch mit am häufigsten verwendet wird. Auch wenn zur regelmäßigen Änderung der Passwörter aufgefordert wird, dieses jedoch immer „Sommer“ und „Winter“ ausgetauscht wird, macht ein solches Management wenig Sinn.
Hintergrund ist, dass durch solche Zugangshürden Verantwortlichkeiten festgestellt werden können. Wer hat sich an diesem Computer angemeldet? Betreffende Vorgänge können somit über den Zugang zugeordnet werden. Faktisch wird so eine Authentifizierung eingeführt.
Auf der anderen Seite lassen sich durch solch ein Zugangsmanagement unterschiedliche Zugriffsrechte einrichten – Autorisierungen regeln. Der Praktikant, der Mitarbeiter, der Lohnbuchhalter, die Chefsekretärin und der Chef können unterschiedliche Zugriffsrechte für unterschiedliche Datenbereiche erhalten.
2.2.2 Gefahren von innen
Die meisten Gefahren rühren aus dem Inneren des Unternehmens her. Ein sinnbildlicher Spruch in der IT-Sicherheitsbranche lautet: die größte Gefahr liegt zwischen Bürostuhl und Tastatur – mit anderen Worten: das höchste Sicherheitsrisiko ist der Mensch selbst. Die Gefahren von innen treten dann durch Fehlorganisation oder Fehlbedienung ein.
Fehlende Datensicherung etwa führt im Falle eines Datenverlustes zu einem enormen Aufwand und damit verbunden erheblichen Widerherstellungskosten.
Beispiel:
Die Unternehmerin U entschließt sich, die Speicherkapazität ihrer Datenbank zu erweitern. Dazu beauftragt sie den Hardwarespezialisten H, die Festplatte auszutauschen. H fragt U noch, ob sie eine Datensicherung vorgenommen hätte. Als H sodann die Vorbereitungen für den Festplattenaustausch trifft, kommt es zu einem kompletten Systemabsturz – und vollständigen Datenverlust.
Es stellt sich heraus, dass weder U vor der Übergabe des Rechners an H noch H vor Beginn seiner Arbeiten eine Datensicherung durchgeführt hatten. Genau genommen hatte U noch nie Datensicherungen ihrer Firmendaten durchgeführt. Die Kosten für die Wiederherstellung der Daten beliefen sich auf 30.000 Euro. U macht den H für den Absturz verantwortlich. Da Datensicherung jedoch ihre eigene Pflicht ist, kann sie von H keinen Schadensersatz verlangen. U muss die Wiederherstellungskosten selbst tragen.
Dem Beispiel liegt ein Fall aus dem Jahre 2002 zugrunde, über den das Oberlandesgericht Hamm am 01.12.2003 zu entscheiden hatte. Es hat festgestellt, dass ein Schadensersatzanspruch jedenfalls dann ausscheidet, wenn der Inhaber des Servers nicht für eine zuverlässige Sicherungsroutine sorgt, sondern diese grob vernachlässigt. An diesem Beispiel und Urteil zeigt sich deutlich die Bedeutung der Datensicherung und die Gefahr, die Kosten für einen möglichen Schaden selbst tragen zu müssen.
Auch wird oft, um Kosten zu sparen, auf eine professionelle Wartung des Systems verzichtet. Hierbei kommt es insbesondere auf die Ausgestaltung des Wartungsvertrages an.
Ein Virenscanner kann nur dann wirksam seiner Aufgabe nachkommen, wenn regelmäßig die aktuellen Virensignaturen aktualisiert werden. Andernfalls können sich Fehler im gesamten System festsetzen, die zu weitaus größeren finanziellen Einbußen führen, als die Wartungskosten betragen hätten.
Die größte Gefahr für die IT-Sicherheit in einem Unternehmen stellen jedoch stets die Mitarbeiter selbst dar. Nicht selten werden die Benutzer der Arbeitsplatzrechner nicht ausreichend eingewiesen, was häufig zu unqualifizierter Benutzung und den damit ausgelösten Systemfehlern führt, ohne dass hier auch nur annähernd eine böswillige Absicht dahinter stehen würde. Auch kann unter den Mitarbeitern oftmals ein sorgloser, bis hin zu leichtsinniger Umgang mit Passwörtern beobachtet werden.
Es empfiehlt sich daher ganz besonders, für eine ausreichende Schulung der Mitarbeiter zu sorgen. Gerade bei der Verwendung von Betriebssoftware werden solche Schulungen in der Regel vom Hersteller oder dessen Vertriebspartner angeboten.
Auch die Einrichtung von persönlichen Benutzernamen und Kennwörtern ist bei der Verwendung von empfindlichen, betrieblichen Daten nahezu unerlässlich, da nur so zurückverfolgt werden kann, wer zu welchem Zeitpunkt welche Schritte im System getätigt hat. Zudem sind alle Mitarbeiter regelmäßig darauf hinzuweisen, mit ihren Passwörtern und der damit verbundenen Verantwortung für das Unternehmen, sorgsam umzugehen.
Weiterlesen:
zum vorhergehenden Teil des Buches
zum folgenden Teil des Buches
Links zu allen Beiträgen der Serie IT-Sicherheit
Stand: 03/07
Wir beraten Sie gerne persönlich, telefonisch oder per Mail. Sie können uns Ihr Anliegen samt den relevanten Unterlagen gerne unverbindlich als PDF zumailen, zufaxen oder per Post zusenden. Wir schauen diese durch und setzen uns dann mit Ihnen in Verbindung, um Ihnen ein unverbindliches Angebot für ein Mandat zu unterbreiten. Ein Mandat kommt erst mit schriftlicher Mandatserteilung zustande.
Wir bitten um Ihr Verständnis: Wir können keine kostenlose Rechtsberatung erbringen.
Das Referat IT-Recht wird bei Brennecke Rechtsanwälte betreut von:
Tilo Schindele, Rechtsanwalt, Stuttgart
Rechtsanwalt Schindele begleitet IT-Projekte von der Vertragsgestaltung und Lastenheftdefinition über die Umsetzung bis hin zur Abnahme oder Gewährleistungs- und Rückabwicklungsfragen.
Tilo Schindele ist Dozent für IT-Recht und Datenschutz bei der DMA Deutsche Mittelstandsakademie.
Er bietet Seminare und Vorträge unter anderem zu folgenden Themen an:
- Praxistipps zum rechtssicheren Einsatz von E-Mails im Unternehmen
- Rechtssicherheit im Internet: - Praktische Rechtstipps für Unternehmer von AGB über Disclaimer und E-Mails bis zu web2.0
- Allgemeine Geschäftsbedingungen zu Vertragsschluss, Laufzeit und Umzug in Telekommunikationsverträgen
Kontaktieren Sie Rechtsanwalt Tilo Schindele unter:
Mail: tilo.schindele@brennecke-rechtsanwaelte.de
Telefon: 0721-20396-28
Mehr Beiträge zum Thema finden Sie unter:
Rechtsinfos/ Datenschutzrecht/ IT-SecurityRechtsinfos/ IT-Recht/ Software/ Datensicherung
Rechtsinfos/ IT-Recht/ IT-Security