Wer wissen will, wie Datensicherheit in Wirtschaft und Verwaltung funktioniert, kann entweder den 928-Seiten-Wälzer gleichen Namens des Beratungsunternehmens PWC aufschlagen. Aber die einfachere Art, auf offene Fragen zur IT-Sicherheit kompetente Antworten zu bekommen, ist der jährliche Besuch der IT-SA Nürnberg. Die ist mittlerweile die weltgrößte Kongressmesse zu diesem Themenkomplex.

In gewisser Weise dreht sich die IT-SA eigentlich um ein paar Paragrafen des Strafgesetzbuchs StGB. Wer Daten sammelt, verbreitet oder produziert, sollte zumindest dessen §§ 201 bis 206 kennen, dazu die §§ 303a und b. Das zumindest empfehlen die Fachleute von PWC Cybersecurity Services: Die haben „die Inhalte des Werkes nach bestem Wissen und Gewissen erarbeitet und zusammengestellt“, heißt es in der Einleitung ihres Buchs „Datensicherheit in Wirtschaft und Verwaltung“.

Professionelle Hacker

In den genannten StGB-Paragrafen geht es im Wesentlichen um die mögliche Verletzung von Geheim- und Lebensbereichen, also neben den altbekannten Brief-, Fernmelde- oder Geschäftsgeheimnissen auch ums Ausspähen oder Abfangen von Daten. „Wer rechtswidrig Daten löscht, unterdrückt, unbrauchbar macht oder verändert, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft“: Zwar ist laut „§ 303a Datenveränderung“ hier sogar schon der Versuch strafbar. Aber abschrecken wird dies einen echten IT-Verbrecher wohl kaum.

Auch „§ 303b Computersabotage“ ist mit maximal drei Jahren Haftandrohung nicht unbedingt dazu angetan, Einzel-Hacker von ihrem Zerstörungswerk abzuhalten. Nur wenn dies „gegen die Datenverarbeitung mit wesentlicher Bedeutung eines fremden Betriebs oder einer Behörde gerichtet“ und ein „besonders schwerer Fall“ ist, liegt die Höchststrafe mit zehn Jahren hier um einiges höher.
Weil also die Gefahr, länger im Knast zu landen, scheinbar nicht sehr hoch ist, gibt es laut dem „Sicherheitsstrategen“ Lars Kroll von Symantec Deutschland inzwischen sogar „Service-Provider für Angriffe auf Unternehmen“. Und die Hacker „arbeiten professioneller denn je“.

Zudem – und das scheint eine immense Gefahr, an die kaum gedacht wird – schieben über 90 Prozent der IT-Sicherheitsleute in Unternehmen, Kommunen und Behörden Frust wegen der stressigen Arbeitsbedingungen. Obwohl noch mehr (92 Prozent) ihren Job lieben, wie eine brandaktuelle Symantec-Studie mit dem Titel „Alarmstufe Rot“ ergeben hat, fühlen sich 81 Prozent ausgebrannt. Weshalb die Gefahr steige, dass sie Fehler machen. „Dabei sind für IT- Verteidiger keine Fehler erlaubt. Wie beim Fußball der Torwart“, vergleicht Kroll. Und noch eins ist dem Symanticer wichtig: „Das Briefing mit dem Geschäftsführer. Es geht um ein IT-Kulturpaket im Unternehmen.“ Noch zu viele IT-ler würden in ihrer Arbeit sabotiert, meint Kroll. Doch das Gegenteil müsste der Fall sein: „Sicherheitsleute brauchen Wertschätzung. Sicherheit ist der Fels, auf der ein Unternehmen aufbaut.“

Kroll macht für die Sicherheitsgefahr sogar die eigene Software-Branche mitverantwortlich. „Bisher stand für jede Firma das Verkaufen im Vordergrund“, Kompatibilität mit Konkurrenzprodukten interessierte kaum. Und deshalb gebe es „zu viele Versionen von Sicherheitsprogrammen“, die IT-Sicherheitler seien in vielen Unternehmen schlichtweg alleingelassen worden. „Weniger Komplexität“ empfiehlt seine Firma inzwischen als Grundvoraussetzung für höhere IT-Sicherheit.

Fast in dieselbe Kerbe – dass hochkomplexe IT-Architektur höchst gefährlich sei – hieb auch der preisgekrönte IT-Sicherheitsjournalist Misha Glenny in seinem Hauptvortrag der Messe. Das könnte ein Grund sein, warum die itWatch GmbH aus München bei ihrer gleichnamigen „Datenschleuse“ auf eine recht einfache Struktur setzt. Auf der einen Seite ihres Daten-Waschcomputers kommen Dateien rein – von Sticks, Mobiltelefonen, Mailservern – auf der anderen Seite kommen sie von gefährlichen Programmteilen gereinigt raus und gehen an die Adressaten im Firmennetzwerk. Die Originaldateien werden außerhalb des internen Netzes gespeichert, Viren können also die Firma oder die Verwaltung nicht lahmlegen.

Verseuchte Erpressermails untersuchen

Laut Geschäftsführer Ramon Mörl nutzt beispielsweise Bayerns Polizei das „itWatch“, um verseuchte Erpressermails später untersuchen zu können. Auf den Rechnern der Fachkommissare landen aber nur saubere Daten. Und wenn doch ein Virus ins Firmennetzwerk oder auf den PC im Homeoffice eingedrungen ist? Dann hilft „unser ImageStick“, erklärt Geschäftsführer Jurij Ivastsuk-Kienbaum von Waxar Data Saving Systems aus Augsburg. „Wenn der PC nicht mehr lauffähig ist: neu starten über den Stick. Darauf ist alles gespeichert, von der Systemsoftware bis zu E-Mails. In wenigen Minuten ist der Zustand vor dem Crash wiederhergestellt. Genuine Backup“, also echte Sicherung nennt Waxar das: Es verwalte sich automatisch selbst, laufe unabhängig vom zu sichernden Betriebssystem mit. „Ein technologisch neuer Ansatz, bei dem die Software fest mit der Hardware verschmolzen ist“, erläutert der Geschäftsführer das EU-patentierte System. Das im Übrigen jeder nutzen könne, „ohne Fachmann zu sein“, wie Ivastsuk-Kienbaum betont. Ein Nachteil: der ImageStick ist PC-gebunden – also jeder Rechner braucht sein eigenes Backup. Aber für Preise ab 100 Euro ist diese Sicherheit erschwinglich.

Volle Messestände, strahlende Aussteller-Vertreter: Wer sich auf der IT-SA umsah, konnte verstehen, dass auch der Veranstalter jubelte. „Noch größer, noch internationaler, neue Bestmarken: Die IT-SA ist die Messeheimat für alle, die sich dem Thema IT-Sicherheit professionell widmen“, erklärte Petra Wolf von der NürnbergMesse am Ende. Allein die Zuwächse von etwa 10 Prozent bei Ausstellern und internationalem Fachpublikum, dazu 350 Forenbeiträgen in 30 Veranstaltungen zeige: Nürnberg sei „der Treffpunkt der internationalen IT-Sicherheitsgemeinschaft, die Messe die führende internationale Plattform für Cybersicherheit“, so Wolf.
(Heinz Wraneschitz)