Pfaffenhofen (PK) Die Einbrecher kommen nicht mit dem Brecheisen, sie schlagen auch keine Fensterscheiben ein oder machen sich die Finger schmutzig: Sie sitzen irgendwo vor ihrem PC, suchen in fremden Computer-Netzwerken die undichte Stelle - und dann sind sie drin, spionieren Firmendaten aus, hacken sich in Kundendateien ein, in Bankverbindungen, Verträge und Strategie-Papiere.
Um solche Schäden zu verhindern, die in die Millionen gehen können, entwickeln die IT-Experten von Arca-Consult Abwehrmaßnahmen - quasi undurchdringliche stählerne Rollgitter.
Vor 15 Jahren hat Doris Tietze, 57, die auf ihre Banklehre ein BWL-Studium mit Schwerpunkt Informationswissenschaften gesattelt hat, ihr Beratungsunternehmen in Pfaffenhofen gegründet. Mit ihrer Mannschaft ist sie mittlerweile umgezogen, von den 100 Quadratmetern Bürofläche an der Ingolstädter Straße ins neue Firmengebäude an der Senefelder Straße: 3000 Quadratmeter Grund, 600 Quadratmeter Nutzfläche, helle, offene Räume. Denn das Unternehmen boomt rasant, weil vielen Firmenchefs inzwischen die Brisanz des Themas dämmert und sie zu ahnen beginnen, welchen Schaden Kriminelle in ihren Rechnern anrichten können. Mehr noch: Eine ganze Infrastruktur kann so lahmgelegt werden.
Deshalb hat die Bundesregierung 2015 das IT-Sicherheitsgesetz erlassen. Das zuständige Bundesamt erläutert die Notwendigkeit: "Insbesondere im Bereich der kritischen Infrastrukturen - wie etwa Strom- und Wasserversorgung, Finanzen oder Ernährung - hätte ein Ausfall oder eine Beeinträchtigung der Versorgungsdienstleistungen dramatische Folgen für Wirtschaft, Staat und Gesellschaft in Deutschland. "
"Terroristen", sagt Doris Tietze, "könnten heute ein ganzes Land zum Stillstand bringen, wenn es ihnen gelingen sollte, in die IT-Netzwerke einzudringen. Und deshalb sind relevante Unternehmen verpflichtet, für Daten- und Informationssicherheit zu sorgen und ein Informationssicherheits-Management-System einzurichten und es zertifizieren zu lassen. " Die Arca-Gründerin leitet mit ihrer Tochter Janine Altendorfer, 30, das Beratungsunternehmen als geschäftsführende Gesellschafterin. Ehemann Klaus Tietze, ebenfalls gelernter Bankkaufmann und in den 80ern einer der ersten Wirtschaftsinformatik-Studenten, leitet die Kundenbetreuung und -akquise.
Tietze sitzt mit ihrer Marketing-Managerin Heike Fleischmann am großen Besprechungstisch, alles ist neu, es riecht nach Farbe und Holz. 15 Mitarbeiter haben hier ihren Arbeitsplatz, zu sehen sind im Moment allerdings nur drei. "Die übrigen sind beim Kunden", erklärt die Chefin, "aber freitags kommen wir alle wieder hier zusammen. "
Beim Rundgang durchs Gebäude wird klar: Hier wird auf die Mitarbeiter eingegangen. Neben Küche und Aufenthaltsbereichen ist ein eigener Raum reserviert für die Kinderbetreuung, um die sich eine fest angestellte Kraft kümmern wird. Janine Altendorfer weiß um die Problematik berufstätiger Mütter: Sie hat selbst zwei Kinder im Kita-Alter. Ein behindertengerechter Zugang und ein Aufzug soll es Menschen mit Handicap erleichtern, an ihren Schreibtisch zu kommen.
Wer hier arbeitet, der muss Programmiersprachen so perfekt beherrschen wie andere Leute eine Fremdsprache, außerdem Compliance-Vorgaben kennen, also die Einhaltung von Gesetzen und Richtlinien. Und schließlich Geschäftsabläufe in Prozessmodellierungen grafisch darstellen können. Wem zum Thema Informationssicherheit allenfalls die Installation eines Virenschutzprogramms einfällt, der hat keine Ahnung, wie anfällig eine Unternehmensstruktur sein kann.
Das erlebe doch jeder beim Surfen, erklärt die IT-Spezialistin. Da hat man sich auf einer Internet-Seite ein Urlaubsziel angeschaut - und wird in den kommenden Wochen zugeschüttet mit entsprechenden Angeboten. Oder die E-Mails: Woher wolle man wissen, dass die nicht von Unbefugten mitgelesen werden? "Stellen Sie sich vor", schildert Doris Tietze ein aktuelles Beispiel, "Sie machen als Unternehmer ein Angebot - doch bei den Ausschreibungen landen Sie immer auf dem zweiten Platz. Gut möglich, dass ein Mitbewerber Ihre E-Mails heimlich mitgelesen und Sie gezielt unterboten hat. "
Ein anderes ganz unverfängliches Beispiel: Da kommt ein Lieferant mit einem USB-Stick und bittet, ihn in den Firmen-PC stecken zu dürfen, um etwas zu zeigen. Woher will man dann wissen, ob da nicht ein Trojaner mit eingeschleust wird? Oder: Wer bekommt in einer Firma Zugang auf welche Daten? Soll jeder Bewerbungsunterlagen anschauen können? Wie sind die Zugriffsrechte geregelt? Und was ist, wenn ein Mitarbeiter von daheim aus arbeitet und sich ins Firmen-Netzwerk einloggt? Wie stellt man sicher, dass er auf diesem Netzwerk nicht seine privaten Angelegenheiten bearbeitet und damit möglicherweise Dritten Tür und Tor öffnet? "Solche Sachen müssen in einem Unternehmen verbindlich geregelt werden", sagt Doris Tietze. Und deshalb spannt sie zwischen allen Abteilungen einen Bogen - Nomen est omen: Arca, der Firmenname, leitet sich ab vom Lateinischen arcus - der Bogen.
Immer wieder komme es vor, dass sich Kriminelle in Firmennetzwerke einloggen, um Adressen abzufischen. Mit welchem Nutzen? "Um sie zum Beispiel für eigene Geschäfte zu verwenden", sagt Tietze. Oder einfach nur, um an die IP-Adressen heranzukommen, die im Darknet höchstbietend für kriminelle Geschäfte angeboten werden. Wie das geht, zeigte ein Prozess vor dem Pfaffenhofener Amtsgericht, wo ein Paketfahrer angeklagt war, mit solchen Adressen bei einem Versandhaus teure Handys bestellt und an fingierte Empfänger ausgeliefert zu haben. "Die Verbrechen", sagt auch Pfaffenhofens Stellvertretender Polizeichef Paul Roth, "verlagern sich zunehmend ins Internet. "
Besonders übel ist die Erpresser-Methode, von der selten in der Zeitung steht, weil die Betroffenen nicht wollen, dass ihre Schwachstelle bekannt wird. Da schalten morgens die Mitarbeiter ihre Rechner an - und die Bildschirme bleiben schwarz, nichts geht mehr. Einzig eine Nachricht ist lesbar: Gegen die Zahlung einer fünfstelligen Summe werde das System wieder freigeschaltet. "Viele Firmenchefs zahlen dann", weiß die IT-Sicherheitsexpertin, "weil es sehr aufwendig ist und manchmal mehrere Tage dauert, alles wieder zum Laufen zu bringen. "
Und deshalb sei die Frage von manchen Unternehmern, ob sich für sie ein solches Sicherheitskonzept überhaupt lohnt, einfach falsch. Denn der immaterielle Schaden lasse sich kaum beziffern. Das sei doch wie beim Einbruchsschutz für ein Einfamilienhaus, erklärt Doris Tietze. Da rechnet ja auch niemand gegen: Die Diebe haben Wertsachen für 35000 Euro erbeutet, eine Alarmanlage hätte 40000 Euro gekostet - also habe ich 5000 Euro gespart. Insofern ist auch die Antwort auf die Frage, bei welchen Problemen Arca-Consult helfen kann, nur logisch: "Wir sichern Ihre Unternehmenswerte vorab, damit Sie erst gar keine Probleme bekommen. "
Albert Herchenbach
-Foto: Foto: Herchenbach
