Gastkommentar: Offene Scheunentore bei Österreichs KMU

Im Kosten-Nutzen-Rech­nen sind Internet-Kriminelle vielen Unternehmen weit voraus.

Manfred Wöhrl, GF Research Institute Computer Science

Ein Unternehmen, das seine Anlagen, den Fuhr­park und die Büros als schützenswerte Güter versteht, wird den Zugang dazu nicht nur mit einem Vorhängeschloss sichern. Präventiv und routinemäßig wird in der Nacht ein Wachdienst vorbeischauen. Dazu müssen nicht erst dunkle Gestalten ums Haus schleichen. Auf solche Sicherheitsvorkehrungen setzen nicht nur Konzerne, sondern auch die kleinen und mittleren Unternehmen (KMU) - vom Autohaus bis zum Steuerberater, vom Sägewerk bis zum Lagerhaus.

Mangelndes Interesse.

Und trotzdem: Der Großteil der KMU in Österreich steht für kriminelle Angriffe offen wie ein Scheunentor. Großkonzerne haben in der Regel ausgefeilte und aufwändige Sicherheitssysteme. Der Aufwand, der betrieben wird, um Nachrichten nicht nach außen dringen zu lassen, falls das System doch geknackt wird, ist gleichfalls enorm.

Die IT-Sicherheit wird hingegen von Österreichs KMU sträflich vernachlässigt. Nach dem Motto: Mir wird schon nichts passieren, wer sollte an meinen Daten Interesse haben? Das ist aus zwei Gründen der falsche Ansatz.

Erstens: Kriminelle Angriffe von Hackern geschehen nicht nur, um an Daten zu gelangen, sondern auch, um den Rechner als Basis für Attacken auf besser geschützte Unternehmen zu missbrauchen. Hacker benötigen tausende Systeme um ein Ziel zeitgleich zu attackieren. Ebenso kann das ungeschützte System als Ablage für kriminelle Inhalte wie Kinderpornos verwendet werden. So unschuldig der Betroffene auch ist, der juristische Tatverdacht mit allen unliebsamen Folgen besteht.

Zweitens: Die Kosten von Stehzeiten und Systemausfällen sind jedem Unternehmer bewusst. Die Ursachen dafür nicht. Sicherheitslücken im IT-Bereich waren 2004 für fünf Prozent der Systemausfälle verantwortlich, heuer werden es 15 Prozent sein, Tendenz steigend. In einem Betrieb mit 50 Millionen € Umsatz gehen bei einem Ausfall der EDV pro Tag - je nach Branche - 100.000 bis 250.000 € Umsatz verloren.

Vollständiger Schutz.

Freilich, einen 100-prozentigen Schutz gegen Angriffe gibt es nicht. Den muss es auch gar nicht geben. Bei den Maßnahmen muss abgewogen werden: Was sind die Daten wert, was kostet der Schutz - und welchen Aufwand kostet den Angreifer die Überwindung des Schutzes. Im Kosten-Nutzen-Rech­nen sind
Internet-Kriminelle vielen Unternehmen voraus.

Klar, Sicherheit hat ihren Preis. Zwei bis vier Prozent vom Jahresumsatz müssen für einen seriösen Schutz kalkuliert werden. Bei Kosten für die
Sicherheit darf jedoch kein Return of Investment erwartet werden. Sie können nur als Versicherung gesehen werden - und sollten so selbstverständlich wie eine Rechtsschutz­ sein.

* Manfred Wöhrl ist Geschäftsführer von Research Institute Computer Science (RICS)