Für Informatik-Sicherheit gibt es keine Patentlösungen. Wer als Unternehmen aber bestehendes Wissen nutzt, kann 70 bis 80 Prozent der Risiken eindämmen, sagt Ingo Barkow, Leiter des Schweizerischen Instituts für Informationswissenschaft.

Barkow, der an der Fachhochschule Graubünden 600 Studenten betreut und in Datenmanagement und -analyse sowie IT Security-Vorkehrungen unterrichtet, ging an der jüngsten Fachtagung der INNOSourcing GmbH, Sirnach, der Frage nach, warum KMU ihr vorhandenes Wissen im Bereich der IT-Security in der Regel nicht umsetzen.

Alte Originalprotokolle im Einsatz

Die meisten Beschäftigten verfügten zwar über ausreichende Erfahrungen im Umgang mit Internetanwendungen und der Schulungsgrad sei auf gutem Niveau, dennoch klicke eine nicht geringe Zahl der Leute immer wieder auf Phishing E-mails oder glaube, im eigenen Betrieb könne ja nichts passieren, schilderte der Gastreferent die Ausgangslage. Verschiedene Bedrohungen würden generell unterschätzt. Die Komplexität der Systeme, von Cloud-Anwendungen über die Einflüsse höherer Gewalt bis zu Manipulationen oder Spionage, formulierte Barkow einen Erklärungsversuch.

Ein weiteres Problem sei jedoch in der Technik begründet. Die bereits Ende der 1960er Jahre entwickelten Originalprotokolle für den Datenaustausch im Internet seien ohne Gedanken an die Sicherheit entwickelt worden. Weniger als fünf Prozent der Nutzer setzten heute verschlüsselte Protokolle ein, weil sie nicht abwärtskompatibel seien. Deshalb würden nach wie vor alte Zöpfe gepflegt, illustrierte der Referent.

Zu fahrlässig, zu vertrauensselig

In den Unternehmen habe sich zudem in jüngster Zeit ein Paradigmenwechsel in Richtung Datenschutz vollzogen. Nicht mehr die Sicherheit der IT-Systeme und Daten, sondern die Frage, wie mit Personendaten umgegangen werde, sei in den Vordergrund gerückt. Schliesslich hätten Untersuchungen gezeigt, dass der «User» in 90 Prozent der Ausfälle das Problem sei. Bekannte Massnahmen wie Softwareupdates zum Beispiel würden ignoriert, weil sie als unbequem empfunden würden. Eine grosse Zahl der «User» verwende zudem nach wie vor die «dümmstmöglichen» Passwörter und sei generell zu vertrauensselig. Diese Fährlässigkeit öffne die Türen für Dateneinbrüche und Sabotage.

Die Schranken erhöhen

Trotz des grossen Schadenpotentials durch Dateneinbrüche oder durch Ransomware zeigten viele Unternehmen Hemmungen, in IT-Sicherheit zu investieren. Grosse Datenskandale blieben denn auch meist nicht lange im öffentlichen Bewusstsein, und vor allem hielten betroffene Unternehmen effektive Angriffe aus Sorge um ihr Ansehen oft unter Verschluss.

Lösungsansätze für die beschriebenen Probleme könnten gemäss Barkow das FIDO2-Protokoll, eine Authentifizierungstechnik mit biometrischen Methoden sein, wie sie von Smartphone bereits eingesetzt werde. Ebenso biete die Blockchain als verteilte, öffentliche Liste von Datensätzen einen hohen Schutz. Sie benötige aber viele Ressourcen und mache nur für spezifische Dienste Sinn.

KMU riet der IT-Security-Wissenschaftler, die typischen und bekannten «Top 10 Security Tipps» ernstzunehmen. Wer wenigstens das Minimum tue, könne damit 70 bis 80 Prozent der Risiken abwenden und die Schranken soweit wie möglich erhöhen.