Nur jeder vierte deutsche Betrieb öffnet seine IT-Systeme für Kunden und Lieferanten und gewährt ihnen eingeschränkten Zugriff, heißt es in einer aktuellen Studie des Consulting-Unternehmens Steria Mummert . "Die Gründe hierfür sind durchaus unterschiedlich und in jedem Einzelfall anders. Meistens ist die Abschottung jedoch mit starken Sicherheitsbedenken verknüpft", erläutert Wolfgang Nickel, IT-Security-Experte bei Steria Mummert Consulting, im Gespräch mit pressetext. Während Finanzdienstleister, bei denen 43 Prozent entsprechende Andockmöglichkeiten bieten, zu den Musterbeispielen gehören, haben KMUs ihre Systeme nach außen meistens komplett abgeriegelt.

Klare Konzepte

"Vor allem wenn keine klaren Konzepte vorhanden sind, wird das System - naheliegenderweise - komplett abgeschottet", so Nickel. Dabei liegen die Sicherheitsprobleme meist in einem völlig anderen Bereich. Hacker haben es an anderer Stelle häufig erheblich leichter, in Firmennetze einzubrechen. 60 Prozent der Betriebe haben beispielsweise mobile Endgeräte wie Laptops, Handys oder PDAs nicht ausreichend gegen fremde Zugriffe gesichert, so die Autoren der Studie. Die Schnittstellen zu Geschäftspartnern seien hier ein viel geringeres Problem.

Eine besondere Anforderung an die IT-Sicherheit ist der sicherere Umgang mit Kundendaten auf der einen Seite sowie die gewünschte Öffnung der Netze für Externe auf der anderen Seite. Fünf von sechs befragten Unternehmen geben an, dass ihre Kunden großen bis sehr großen Wert auf einen sicheren Umgang mit ihren Daten legen. Aufgrund von Kooperationen mit anderen Unternehmen, Beziehungen zu Lieferanten und Dienstleistern sowie Nutzung elektronischer Vertriebskanäle können die Unternehmen ihre IT allerdings nicht hermetisch abriegeln, so die Studienautoren.

Anforderungen

"Bei der Öffnung der Systeme ist es zuerst wichtig, sich die Geschäftsprozesse genau anzusehen und die Anforderungen zu analysieren. Schließlich müssen die Aufgabengebiete in organisatorische und technische Bereiche eingeteilt werden", empfiehlt Nickel. Da heutzutage die technische Seite zumeist wenig problembehaftet sei, müsse man sich mit Sorgfalt an die Organisation machen. Dabei ist vor allem zu klären, wer welche Befugnisse hat. Partner mit der Möglichkeit auf freigeschaltete Bereiche des Systems zuzugreifen, müssen in jedem Fall in die Sicherheitsstrategie der Unternehmen eingebunden werden. Das betrifft beispielsweise den sicheren Umgang mit Zugangsdaten.

"Der langfristig sinnvollste Weg ist eine an das Geschäftsmodell angepasste Öffnung der Datenwege unter Beachtung angemessener Sicherheitsanforderungen. Diese sollten verbindlich für alle Dienstleister und Zulieferer festgelegt werden", erklärt Nickel. Dazu ist aber auch eine umfassende Sicherheitsstrategie im eigenen Unternehmen erforderlich. Eine Sicherheitsstrategie ohne Berücksichtigung des Anwenderverhaltens ist jedoch unwirksam. Viele Mitarbeiter gehen oft zu sorglos mit den Systemen und dem Zugriff auf das Internet um. Hinzu kommt, dass Sicherheitsvorschriften häufig unbekannt sind, oder das Personal geht davon aus, dass die IT-Abteilung schon für eine sichere Konfiguration gesorgt hat. Beispielsweise mit entsprechenden Schulungsmaßnahmen können Unternehmen hier relativ schnell für ein stärkeres Sicherheitsbewusstsein sorgen und eine Vielzahl vorhandener Sicherheitslecks stopfen.(pte)