Unternehmen verweigern Lieferanten und Kunden Zugriff auf IT-Systeme

Viele Unternehmen sind zurückhaltend bei der Öffnung ihrer IT-Systeme für Kunden und Lieferanten – auch weil strengere Sicherheitsvorkehrungen hierfür notwendig sind. Nur jeder vierte Betrieb in Deutschland erlaubt seinen Kunden oder Lieferanten den eingeschränkten Zugriff auf sein IT-System. Dabei haben es Hacker an anderer Stelle häufig erheblich leichter, in Firmennetze einzubrechen. 60 Prozent der Betriebe haben beispielsweise mobile Endgeräte wie Laptops, Handys oder PDAs nicht ausreichend gegen fremde Zugriffe gesichert. Dies sind die Ergebnisse der Studie Managementkompass Sicherheitsstrategien von Steria Mummert Consulting in Zusammenarbeit mit dem F.A.Z.-Institut.

Der sicherere Umgang mit Kundendaten auf der einen Seite sowie die gewünschte Öffnung der Netze für Externe auf der anderen stellen eine besonders große Anforderung an die IT-Sicherheit. Fünf von sechs befragten Unternehmen geben an, dass ihre Kunden großen bis sehr großen Wert auf einen sicheren Umgang mit ihren Daten legen. Aufgrund von Kooperationen mit anderen Unternehmen, Beziehungen zu Lieferanten und Dienstleistern sowie Nutzung elektronischer Vertriebskanäle können die Unternehmen ihre IT allerdings nicht hermetisch abriegeln. Immer häufiger haben Partner oder Kunden die Möglichkeit, auf speziell für sie freigeschaltete Portale zuzugreifen. Damit müssen allerdings auch diese externen Nutzer in die Sicherheitsstrategie der Unternehmen einfließen. Das betrifft beispielsweise den sicheren Umgang mit Zugangsdaten. „Dabei existiert eine Reihe sinnvoller Lösungen, um diese Fragestellung zu bearbeiten“, wie Dieter Haller, Experte für Identity- und Accessmanagement bei Steria Mummert Consulting, erläutert.

Besonders wichtig ist diese Frage für die Finanzwirtschaft. Sie ist deshalb Vorreiter auf dem Gebiet. Es sind vor allem Banken und Versicherungen, die ihre IT-Netze am stärksten für Externe öffnen. 43 Prozent der Firmen dieser Branche erlauben Kunden und Partnern den Zugang zu ausgewählten Bereichen ihrer IT. Trotzdem wird IT-Sicherheit großgeschrieben: In 64 Prozent der Finanzdienstleistungsunternehmen existieren Sicherheitsrichtlinien, 72 Prozent von ihnen beschäftigen einen Sicherheitsbeauftragten, den so genannten Chief Security Officer (CSO).

Unter den befragten großen Unternehmen verfügen 30 Prozent über entsprechende Andockmöglichkeiten. Den mittelständischen Unternehmen fehlt dagegen leider häufig eine durchdachte, auf alle relevanten Bereiche des Unternehmens abgestimmte IT-Sicherheitsstrategie. Zu viele Unternehmer glauben immer noch, ihre Geschäftsgeheimnisse seien gut geschützt, so eine Einschätzung des Bundesverbands Informationswirtschaft Telekommunikation und neue Medien (BITKOM).

„Der langfristig sinnvollste Weg ist eine an das Geschäftsmodell angepasste Öffnung der Datenwege unter Beachtung angemessener Sicherheitsanforderungen. Diese sollten verbindlich für alle Dienstleister und Zulieferer festgelegt werden“, erklärt Wolfgang Nickel von Steria Mummert Consulting. Dazu ist aber auch eine umfassende Sicherheitsstrategie im eigenen Unternehmen erforderlich. Eine Sicherheitsstrategie ohne Berücksichtigung des Anwenderverhaltens ist jedoch unwirksam. Viele Mitarbeiter gehen oft zu sorglos mit den Systemen und dem Zugriff auf das Internet um. Hinzu kommt, dass Sicherheitsvorschriften häufig unbekannt sind, oder das Personal geht davon aus, dass die IT-Abteilung schon für eine sichere Konfiguration gesorgt hat. Beispielsweise mit entsprechenden Schulungsmaßnahmen können Unternehmen hier relativ schnell für ein stärkeres Sicherheitsbewusstsein sorgen und eine Vielzahl vorhandener Sicherheitslecks stopfen.