Inhaltsverzeichnis

Inhaltsverzeichnis   I

Abk  ürzungsverzeichnis.  III

Abbildungsverzeichnis.   V

Tabellenverzeichnis   VI

1  Einleitung.  1

1.1  Motivation.  1

1.2  Problemstellung und Abgrenzung  2

1.3  Ziel der Arbeit.  3

1.4  Vorgehensweise  4

2  Grundlagen  4

2.1  Begriffsdefinition IT-Sicherheit  4

2.2  Sicherheitsziele und Bedrohungen.  6

2.3  Rechtliche Vorgaben.  10

2.4  Anerkannte Zertifizierungen.  12

2.4.1  DIN EN 61508.  13

2.4.2  ITSEC  14

2.4.3  Common Criteria (CCITSE)  15

2.4.4  ISO 27001:2005 und IT-Grundschutz  16

2.5  Technische Grundlagen  17

2.5.1  Firewalls  17

2.5.2  Proxy.  17

2.5.3  IDS / IPS.  18

2.5.4  Malware-Schutz.  18

2.5.5  Web-Filter.  19

2.5.6  E-Mail-Filter.  20

2.5.7  Zugriffskontrolllisten.  20

2.5.8  USV  21

2.5.9  Kryptographie.  22

I

2.5.10  Biometrie  23

2.5.11  Backup Recovery  24

2.5.12  Disaster Recovery.  24

3  Interviews  25

3.1  Abgrenzung der Partner und Inhalte.  25

3.2  Durchführung.  26

3.3  Ergebnisse.  27

3.3.1  Organisation  27

3.3.2  Technologie  31

3.3.3  Bedrohungen und Reaktionen  34

3.3.4  Weiche Sicherheitsfaktoren.  38

4  IT-Sicherheitsprozess  40

4.1  Grundlagen des IT-Sicherheitsprozesses  41

4.2  Analyse anhand der Interviewergebnisse  50

5  Lösungskonzept  58

5.1  Technische Lösungen  58

5.2  Betriebswirtschaftliche Lösungen.  60

6  Umsetzung  62

7  Kosten und Nutzen von IT-Sicherheit  63

7.1  Kosten und Nutzen der SPA-MAbwehr  64

7.2  Kosten und Nutzen von Security Outsourcing  69

8  Zusammenfassung und Ausblick.  73

8.1  Erreichte Ergebnisse  73

8.2  Ausblick  74

8.3  Übertragbarkeit  75

Anlage  I: Interviewfragen.  VII

Literaturverzeichnis   X

II

Abkürzungsverzeichnis

ACL Access Control List AGG Allgemeines Gleichbehandlungsgesetz (ugs. Antidiskriminierungsgesetz) BetrVG Betriebsverfassungsgesetz BilKoG Bilanzkontrollgesetz (Gesetz zur Kontrolle von Unternehmensabschlüssen) BSI Bundesamt für Sicherheit in der Informationstechnik CAD Computer Aided Design CC Common Criteria CCITSE Common Criteria for Information Technology Security Evaluation CERT Computer Emergency Response Team CRC Cyclic Redundancy Check DHCP Dynamic Host Configuration Protocol DMZ Demilitarized Zone DNS Domain Name System DoS Denial of Service EAL Evaluation Assurance Level ERP Enterprise Ressource Planning EUHG Gesetz über das elektronische Handelsregister, Genossenschaftsregister sowie das Unternehmensregister FTP File Transfer Protocol GAU Größter Anzunehmender Unfall GDPdU Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen GOBS Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme HIPS Hostbasiertes Intrusion Prevention System HTTP Hypertext Transfer Protocol IDS Intrusion Detection System IPS Intrusion Prevention System IT Informationstechnologie ITIL IT Infrastructure Library ITSEC Information Technology Security Evaluation Criteria K-Fall Katastrophenfall KMU Kleine und Mittelständische Unternehmen KonTraG Gesetz zur Kontrolle und Transparenz im Unternehmensbereich LAN Local Area Network

III

MAC Media Access Control NAC Network Access Control PHP PHP: Hypertext Preprocessor PKI Public-Key-Infrastruktur PP Protection Profile RFID Radio Frequency Identification RSS Really Simple Syndication (seit RSS 2.0) SIL Safety Integrity Level SMS Security Management Software SMTP Simple Mail Transfer Protocol SNMP Simple Network Management Protocol SOX Sarbanes-Oxley Act of 2002 SSH Secure Shell SSL Secure Sockets Layer TCP/IP Transmission Control Protocol / Internet Protocol TCSEC Trusted Computer System Evaluation Criteria TDDSG Teledienstedatenschutzgesetz TDG Teledienstegesetz TLS Transport Layer Security USB Universal Serial Bus USV Unterbrechungsfreie Stromversorgung VDMA Verband Deutscher Maschinen- und Anlagenbau e.V. VLAN Virtual Local Area Network VoIP Voice over IP VPN Virtual Private Network WLAN Wireless Local Area Network WSUS Windows Server Update Services XSS Cross-Site Scripting

IV

Abbildungsverzeichnis   

Abbildung  1: Netzwerkdiagramm Maschinenbau  

Abbildung  2: schematische Zeichnung einer Skytale.  

Abbildung  3: Vertrauen in IT-Sicherheitsmittel.  

Abbildung  4: Vertrauen in IT-Services  

Abbildung  5: Vertrauen in Institutionen und Personen  

Abbildung  6: Vier Phasen des Sicherheitsprozesses  

Abbildung  7: Assessment-Phase.  

Abbildung  8: Protection-Phase  

Abbildung  9: Detection-Phase  

Abbildung  10: Response-Phase  

Abbildung  11: Kontinuierliches Sicherheitsmanagement  

Abbildung  12: GSTOOL des BSI.  

Abbildung  13: Beispiel Modellierung im GSTOOL  

Abbildung  14: HTML-Hilfe des GSTOOL  

Abbildung  15: Strukturplan Beispielunternehmen  

Abbildung  16: Schichtenmodell GSTOOL.  

Abbildung  17: Sicherheitsmaßnahmen im Grundschutz-Baustein 1.000.  

Abbildung  18: Objektmodellierung im GSTOOL  

Abbildung  19: überarbeitetes Netzwerkdiagramm (logische Topologie)  

Abbildung  20: Outsourcing-Ebenen  

V

Tabellenverzeichnis   

Tabelle 1:  Definition informationstechnischer Sicherheitsziele.  6

Tabelle 2:  Basisziele und Bedrohungen.  7

Tabelle 3:  finanzrechtliche Vorgaben für Informationssysteme.  11

Tabelle 4:  Zertifizierungsmöglichkeiten.  12

Tabelle 5:  Sicherheitsintegritätslevel (SIL) nach DIN EN IEC 61508.  14

Tabelle 6:  EAL-Stufen der Common Criteria.  15

Tabelle 7:  Interviewinhalte  26

Tabelle 8:  IT-Sicherheitsmittel  31

Tabelle 9:  IT-Dienste  33

Tabelle 10:  Vertrauenswerte.  38

Tabelle 11:  Security Outsourcing  61

Tabelle 12:  ROSI  64

Tabelle 13:  VDMA-Werte für SPAM  65

Tabelle 14:  SPA-MKosten im VDMA  66

Tabelle 15:  VDMA-Werte für Anti-SPAM  67

Tabelle 16:  SPA-MAbwehr-Kosten im VDMA  67

Tabelle 17:  Kosten für Inhouse-Realisierung  70

Tabelle 18:  Kosten externer Dienstleistung.  71

VI

1 Einleitung

Das Unternehmermagazin Impulse und die IBM Deutschland GmbH führen jährlich die „E-Business-Studie“ durch ¹ . In 2006 wurden 1002 Interviews mit deutschen Unternehmen durchgeführt, deren Mitarbeiterzahl zwischen zehn und 999 liegt. Die Ergebnisse der Studie zeigen den E-Business-Einsatz im deutschen Mittelstand auf. Es zeigte sich, dass nur 1 % der befragten Unternehmen auf E-Business komplett verzichtet, eine eigene Homepage haben 43%, einen Online-Shop 19% der Firmen im Einsatz. E-Mail als digitales Kommunikationsmittel nutzen 98% der Interviewpartner.

Durch Einsatz von E-Business erreichen die interviewten Unternehmen eine höhere Produktivität (56%), reduzierte Organisationskosten (55%) und kürzere Lieferzeiten (54%). Umsatzsteigerungen durch E-Business können fast die Hälfte aller Unternehmen vorweisen.

Umfassende E-Business-Nutzung hat jedoch nicht nur Vorteile. Je mehr Technologie für Geschäftsprozesse genutzt wird, desto abhängiger werden Unternehmen von jederzeit verfügbaren Informationssystemen. Nur 18% der Unternehmen wurden noch nie Opfer eines Angriffes auf Ihre E-Business-Systeme. Aktive Schutzsysteme wie Virenscanner und Firewall sind die Antworten der Interviewpartner auf externe Bedrohungen, immerhin 93% schützen sich mit Hilfe von Firewall-Systemen.

1.1 Motivation

Die Vernetzung von Büroarbeitsplätzen zu einem Computernetzwerk („Office-Netzwerk“) ist in nahezu allen Firmen realisiert und bewirkt einen Produktivitätsgewinn gegenüber Szenarien ohne Vernetzung. Erst durch die technische Vernetzung können IT-Technologien wie E-Mail, Intranet oder zentralisierte Datenbanken genutzt werden. Ähnliche Vorteile werden von einer Vernetzung einzelner Maschinen zu einem Maschinen-Netzwerk oder gar dem Zusammenschluss von Maschine(n) und Office-Netzwerk zu ganzheitlichen, unternehmensweiten Netzwerken („Corporate-Netzwerk“) erwartet.

In kleinen und mittelständischen Unternehmen (KMU) wird die dafür notwendige IT-Sicherheits-Infrastruktur häufig als Insellösung im Office-Netzwerk sowie den

¹ Vgl. http://www.impulse.de/downloads/ibm_studie_2006.pdf , Stand 10.03.2007.

1

nach Außen wirkenden Serverdiensten umgesetzt. Es existieren Antivirus-Programme auf Office-PCs, Server werden vor unbefugten Zugriffen geschützt und Sicherheitsupdates für Server und Office-PCs werden zeitnah eingespielt.

1.2 Problemstellung und Abgrenzung

Grundlage der unternehmensweiten Vernetzung von Arbeitsstationen, Servern und Maschinenarbeitsplätzen bilden gemeinsam genutzte Protokolle und Infrastrukturen, z.B. TCP/IP in Verbindung mit Netzwerk-Switchen oder Hubs. Die Verwendung von Standard-PC-Komponenten in der Maschinensteuerung, beispielsweise eine Intelbasierte Workstation mit Microsoft Windows XP als Betriebssystem, ermöglicht Unternehmen die einfache Anbindung an das vorhandene Firmennetzwerk, birgt jedoch die Sicherheitsprobleme eines jeden Windows-basierten Personal Computers.

Abbildung 1: Netzwerkdiagramm Maschinenbau

Das in Abbildung 1 gezeigte Netzwerkdiagramm stellt einen üblichen technischen Aufbau innerhalb eines Maschinenbau-Unternehmens dar. Produktionsanlagen sind durch die jeweiligen Terminals mit dem Produktionsnetzwerk verbunden. Die farbliche Einteilung der Unternehmens-IT in drei getrennte Bereiche soll das Problem des „Abteilungsdenkens“ veranschaulichen. Zur Gefahr wird Abteilungs-

2

denken, wenn die jeweiligen Verantwortlichen nicht miteinander reden, Virenscanner nicht übergreifend auf allen Workstations und Terminals aktualisiert werden oder Sicherheitsupdates nicht zeitnah eingespielt werden. Verantwortungen werden im K-Fall „Ausfall der Maschine“ gerne zwischen betroffenen Abteilungen, hier Produktion oder IT-Abteilung, und Hersteller hin und hergeschoben. Für das betroffene System, das Maschinen-Terminal, fühlt sich niemand verantwortlich. In der Wirtschaft haben fehlende IT-Sicherheitsmaßnahmen in der Produktion in 2006 für Schlagzeilen gesorgt und der Unternehmensmarke Schaden zugefügt, der bei Einhaltung grundlegender IT-Sicherheitsvorschriften nicht eingetreten wäre. So verteilte McDonalds Japan bei einem Gewinnspiel im Oktober ca. 10.000 MP3-Player, die neben 10 kostenlosen Musikstücken auch einen Spyware-Trojaner enthielten ² . Auf infizierten Rechnern stiehlt der Trojaner private Daten und lädt Code aus dem Internet nach ³ . Im September lieferte Apple Inc. ebenfalls einige seiner MP3-Player („Video iPods“) mit einem Windows-Virus aus und entschuldigte sich in einer Stellungnahme ⁴ . Bei beiden Unternehmen wurde als Grund ein infizierter Windows-Rechner in der Produktion genannt.

Weitere Fälle aus der Praxis publizierte das Sicherheitsforum Baden-Württemberg in einer Broschüre ⁵ , in der neben dem Windows-Virus-Problem weitere wichtige IT-Sicherheitsrisiken, beispielsweise „neugierige Praktikanten aus China“, „Ideenklau durch eigene Mitarbeiter“ oder auch „Ausfall des Administrators“ aufgezeigt werden.

1.3 Ziel der Arbeit

In dieser Arbeit werden mit Hilfe von Interviews die typischen Sicherheitsprobleme von sechs ausgewählten Unternehmen des Maschinenbaus analysiert und Lösungen zur sicheren Anbindung des Produktionsnetzwerkes an die Netzwerkstruktur angeboten. Die im Rahmen dieser Diplomarbeit durchgeführten Interviews können, streng wissenschaftlich, nicht als repräsentativ für den gesamten Maschinen- und Anlagenbau betrachtet werden, da die Anzahl der Interviews zu gering ist. Sie geben

² Vgl. http://www.heise.de/security/news/meldung/79544 , Stand 10.03.2007.

³ Vgl. http://www.sophos.de/security/analyses/trojqqpassafn.html , Stand 10.03.2007.

⁴ Vgl. http://www.apple.com/support/windowsvirus/ , Stand 10.03.2007.

⁵ Vgl. http://www.sicherheitsforum-bw.de/downloads/Sicherheitsforum2.pdf , Stand 10.03.2007.

3

jedoch einen guten Eindruck über die bestehenden Probleme der Maschinen-Office-Vernetzung wieder.

1.4 Vorgehensweise

Zunächst werden technische und rechtliche Grundlagen zur IT-Sicherheit dargestellt. Danach erfolgt eine Abgrenzung der Interviews und Interviewpartner, Schilderung der Durchführung der Interviews und Präsentation der in Erfahrung gebrachten Ergebnisse. Anschließend werden anhand des IT-Sicherheitsprozesses die ermittelten IT-Sicherheitsrisiken analysiert, nachfolgend technische und betriebswirtschaftliche Lösungen aufgezeigt und die erreichten Ergebnisse erläutert.

2 Grundlagen

Um eine einheitliche Interviewgrundlage zu schaffen, müssen sicherheitsbezogene IT-Begriffe definiert und im Kontext der Arbeit relativiert werden. Weiterhin werden für die Produktion relevante IT-Sicherheits-Standards vorgestellt, die in den geführten Interviews angesprochen oder erwähnt wurden.

2.1 Begriffsdefinition IT-Sicherheit

Sicherheit ist ein „Zustand, in dem man vor Gefahr geschützt ist“ ⁶ . Daraus lässt sich ableiten, dass IT-Sicherheit der Zustand ist, in dem IT-Systeme zu hundert Prozent vor Gefahren geschützt sind. Ein hundertprozentiger Schutz ist bei vernetzten IT-Systemen faktisch jedoch nicht zu erreichen, da „Daten häufig permanent in Gebrauch und somit einer Vielzahl von potentiellen Bedrohungen ausgesetzt sind.“ ⁷ . Um ein Mindestniveau an IT-Sicherheit zu erreichen, werden organisatorische, physikalische und technische Maßnahmen zur Umsetzung empfohlen, z.B. nach BSI IT-Grundschutz ⁸ . Die Wirksamkeit dieses umgesetzten „Grundschutzes“ kann auf Wunsch anschließend durch akkreditierte Auditoren attestiert werden ⁹ .

⁶ http://de.wiktionary.org/w/index.php?title=Sicherheit&oldid=505888 - Bedeutung: [1], Stand

10.03.2007.

⁷ Hansen, H. R., Neumann, G. (2001), S. 173.

⁸ Vgl. http://www.bsi.de/gshb/index.htm , Stand 10.03.2007.

⁹ Vgl. http://www.bsi.bund.de/gshb/zert/auditoren/index.htm.

4

Nachteil der BSI-Grundschutzmethode ist die kostenintensive Umsetzung, bis der gewünschte Zertifizierungsgrad erreicht wird. Jedes IT-System wird mit gleicher Aufmerksamkeit betrachtet und muss gemäß den IT-Grundschutz-Katalogen gesichert werden. Die Systeme werden dabei getrennt betrachtet, was einen erheblichen Administrationsaufwand mit sich bringt. Liegen keine

Kundenanforderungen nach Sicherheits-Zertifikaten vor, liegt es aus wirtschaftlichen Überlegungen nah, zuerst ohne Zertifizierungsabsicht eine Analyse der Unternehmens-IT durchzuführen und die Infrastruktur oder Dienste entsprechend zu sichern.

IT-Sicherheit, als Zustand definiert, unterliegt ständigen Änderungen und muss stets gewartet, korrigiert und ergänzt werden. So müssen beispielsweise Policies (Richtlinien) in regelmäßigen Abständen auf ihre Wirksamkeit überprüft und Zertifikate nach 2 bis 3 Jahren erneuert werden. IT-Sicherheit sollte daher keinesfalls als ein Projekt mit dem Zielphoto „Audit erfolgreich“ oder „Policy fixiert“ angesehen werden. Vielmehr ist IT-Sicherheit als ein Prozess zu betrachten. Die Definition des IT-Sicherheitsbegriffs ändert sich dadurch in:

IT-Sicherheit ist ein Prozess, mit dem IT-Systeme ökonomisch und technologisch optimiert vor Gefahren geschützt werden.

5

2.2 Sicherheitsziele und Bedrohungen

Nachdem der IT-Sicherheitsbegriff im Rahmen dieser Arbeit definiert ist, erfolgt eine schematische Differenzierung in einzelne Sicherheitsziele: 10

Tabelle 1: Definition informationstechnischer Sicherheitsziele

Für jedes der genannten Sicherheitsziele existieren Bedrohungen, vor denen die Systeme geschützt werden müssen. Basiszielerreichungen sind Voraussetzung für höhere Ziele.

¹⁰ Vgl. Hansen, H. R., Neumann, G. (2001), S. 174-177.

6

Tabelle 2: Basisziele und Bedrohungen

Das erste Basisziel, Vertraulichkeit, beruht darauf, dass „geheime Daten geheim bleiben“ ¹² . Nur wenn als geheim eingestufte und für einen definierten Personenkreis bestimmte Daten dies auch bleiben, ist das Ziel erreicht. Das Ziel umfasst neben der Datenvertraulichkeit ebenfalls die Vertraulichkeit des Kommunikationsakts sowie der Kommunikationspartner und kann durch geeignete Methoden der Kryptographie erreicht werden.

Das zweite Basisziel, Datenintegrität, dient der Sicherung vor unerwünschten Modifikationen von Daten, sowohl gewollten als auch ungewollten Änderungen. Damit der Empfänger einer Nachricht Veränderungen an übertragenen Daten feststellen kann, können Prüfziffernsysteme verwendet werden. Das dritte Basisziel, Authentifikation, dient der Beglaubigung von Benutzern oder Kommunikationspartnern. Somit wird sichergestellt, dass die Gegenseite auch die Person ist, als die sie sich ausgibt ¹³ . Die entsprechende Identifizierung wird am einfachsten mit Hilfe von Passwörtern erreicht. Werden deutlich höhere Anforderungen an die Identifizierung des Gegenübers gestellt, bieten sich biometrische Identifizierungsmerkmale an ¹⁴ .

Das letzte Basisziel, Verfügbarkeit, dient der ständigen Erreichbarkeit eines Systems. Wird ein System, das für die Abarbeitung eine Anfrage durchschnittlich 100ms

¹¹ Vgl. Tanenbaum, A. S. (2003), S. 624.

¹² ebd. (gleiche Seite wie bei ¹¹ ).

¹³ Vgl. ebd. (gleiche Seite wie bei ¹¹ ).

¹⁴ Vgl. in dieser Arbeit, Kapitel 2.5.10 Biometrie.

7

benötigt und 100 Anfragen parallel verarbeiten kann, mit mehr als 10000 Anfragen pro Sekunde ausgelastet, so ist für weitere Benutzer das System nicht benutzbar und aus Nutzersicht auch nicht verfügbar ¹⁵ . Die Menge an Anfragen kann sowohl natürlichen Ursprungs (gewachsenes Interesse) als auch künstlich erzeugt (Denial-of-Service-Angriff) sein. Eine Eindämmung aktiver Denial-of-Service-Angriffe ist mit heutigen Technologien für Unternehmen nur kostenintensiv zu realisieren, zum Beispiel durch Intrusion Prevention Systeme. DoS-Angriffe zu verhindern, besonders Distributed DoS-Angriffe, ist mit aktueller Technologie für Unternehmen des Mittelstandes nahezu unmöglich.

Die höheren Sicherheitsziele besitzen nur ein abstraktes Bedrohungsmodell und dienen grundsätzlich der rechtlichen oder organisatorischen Sicherheit. Das Ziel Datenauthentizität wird prinzipiell durch das Erfüllen von zwei Zielvorgaben erreicht - der Vertraulichkeit (durch Verschlüsselung) und der Datenintegrität (durch Prüfsummen) ¹⁶ . Das Ziel Nicht-Abstreitbarkeit entspricht einer Nachweisbarkeit getätigter Kommunikation und muss für rechtlich verbindliche Transaktionen realisiert werden ¹⁷ . Das Ziel Zugriffskontrolle dient der Einschränkung der Ausführung von Operationen auf ein definiertes Objekt und der Klassifizierung von Objekten und Personen. Nur wenige Personen benötigen beispielsweise den Zugriff auf alle Objekte eines Datenbanksystems ¹⁸ . Die Umsetzung des Ziels Zurechenbarkeit wird durch Aufzeichnung von Zeit und Umfang der Ressourcennutzung eines Informationssystems erreicht und ist damit Voraussetzung für Fakturierung oder Provisionierung von Application Services ¹⁹ . Neben diesen Sicherheitszielbedrohungen existieren Schadensszenarien, die den im IT-Grundschutzhandbuch des BSI fixierten Schutzbedarfskategorien (niedrig bis mittel, hoch, sehr hoch) zugeordnet werden können. Eine schadenorientierte Risikoanalyse der IT-Systeme deckt im Anschluss an die am Grundschutzhandbuch orientierte Schutzbedarfsfeststellung schnell auf, in welchen Bereichen des Unternehmens sofortiger Handlungsbedarf besteht. Die nachfolgende Auflistung von

¹⁵ Vgl. Tanenbaum, A. S. (2003), S. 624.

¹⁶ Vgl. Hansen, H. R., Neumann, G. (2001), S. 176.

¹⁷ Vgl. ebd. (gleiche Seite wie bei ¹⁶ ).

¹⁸ Vgl. ebd., S. 177.

¹⁹ Vgl. ebd. (gleiche Seite wie bei ¹⁸ ).

8

Beispielen soll einen Überblick geben, welche Schadensszenarien ein Unternehmen bedrohen können: 20

Szenario „Verstoß gegen Gesetze, Vorschriften oder Verträge“ Am 01.01.2007 wurden durch Inkrafttreten des EUHG ²¹ die Informationspflichten bei Geschäftsbriefen von Kapitalgesellschaften erweitert. Nun werden eindeutig auch (formlose) E-Mails als Geschäftsbriefe angesehen und müssen somit den Formvorschriften genügen. Eine Aktiengesellschaft muss beispielsweise folgende Angaben in ausgehenden geschäftlichen E-Mails machen, um nicht gegen geltendes Recht zu verstoßen:

„Vollständiger Firmenname, Rechtsform und Sitz der Gesellschaft, das

Registergericht des Sitzes der Gesellschaft und die Nummer, unter der die

Gesellschaft in das Handelsregister eingetragen ist sowie alle Vorstandsmitglieder

und der Vorsitzende des Aufsichtsrates mit dem Familiennamen und mindestens

einem ausgeschriebenen Vornamen. Der Vorsitzende des Vorstandes ist als solcher

zu bezeichnen.“ 22

Grundsätzlich wird von rechtlicher Seite davon ausgegangen, dass interne Kommunikation und private E-Mails nicht als Geschäftsbriefe angesehen werden und auf diesen die Angaben nicht erfolgen müssen. Jedoch kann eine technische Umsetzung teilweise diese Fälle nicht unterscheiden und in der Praxis wird eine einheitliche Signatur durch eine zentrale Softwareinstanz automatisiert erzeugt und der E-Mail vor dem Verlassen des Unternehmens hinzugefügt (Sonderfälle vernachlässigt).

Szenario „Ansehensverlust“

Wie bereits in Kapitel 1.2 geschildert, können Sicherheitsprobleme in der Produktion von Zulieferern zu Ansehensverlust des eigenen Unternehmens oder Produkts führen. Um solchen Vorkommnissen vorzubeugen empfiehlt es sich, ein vorhandenes Lieferantenauswahlverfahren um eine IT-Sicherheitskomponente zu erweitern und Lieferanten somit einer IT-Sicherheitsklassifizierung zu unterziehen. In einer aktuellen Studie der Firma Cybertrust erklärten 39 Prozent der Studienteilnehmer, „die Informationssicherheit ihrer Partner "nie" zu beurteilen - und zwölf Prozent

²⁰ Vgl. Eckert, C. (2006), S. 160f.

²¹ EUHG: Gesetz über das elektronische Handelsregister, Genossenschaftsregister sowie das

Unternehmensregister.

²² Wiesner, M. (2007), S. 2.

9

konnten diese Frage nicht beantworten, weil sie es nicht wissen“ ²³ . Mehr als die Hälfte also beschäftigt sich überhaupt nicht mit dem Thema „IT-Sicherheit meines Lieferanten“ und setzt sich somit fahrlässig der Gefahr aus, sowohl materielle als auch immaterielle Schäden durch externe Sicherheitsprobleme zu erleiden. Für Aktiengesellschaften kann solch ein Ansehensverlust auch zu materiellem Schaden führen (sinkender Aktienkurs).

Szenario „Finanzielle Verluste“

Wenn im Produktionsunternehmen der Fileserver, auf dem alle notwendigen Produktionspläne zentral gespeichert werden, durch einen Hardwaredefekt ausfällt, steht die Produktion unter Umständen mehrere Stunden oder Tage still. Auf das vorhandene Backup kann nur vom Fileserver selbst zugegriffen werden, das ist in diesem Moment wegen des Hardwaredefektes jedoch unmöglich. Dieses ziemlich einfache Szenario kann einer Maschinenbaufirma schnell eine Konventionalstrafe auf Grund von Lieferverzögerungen einbringen und damit hohen finanziellen Schaden verursachen. Zusätzlich treten weitere Streueffekte auf, die sich nur schwer erfassen lassen, beispielsweise verlagerte Produktionsaufträge des Kunden oder Imagebeeinträchtigungen.

Weitere mögliche Schadensszenarien sind:

• Beeinträchtigung des informationellen Selbstbestimmungsrechts, unbefugte Weitergabe personenbezogener Daten, Vorratsdatenspeicherung • Beeinträchtigung der persönlichen Unversehrtheit, Personen-Scan auf Flughäfen ²⁴ , medizinische Überwachungssysteme • Beeinträchtigung der Aufgabenerfüllung.

Lieferverzögerungen durch verzögerte Bestellbearbeitung (Krankheit, etc.)

2.3 Rechtliche Vorgaben

Die sowohl für Hersteller als auch Anwenderunternehmen verbindlichen rechtlichen Vorgaben betreffen finanzrechtliche Regelungen zur steuerrechtlichen Prüfbarkeit sowie zum Betrieb von Buchungssystemen. Die nachfolgende Tabelle 3 listet für

²³ http://www.cio.de/knowledgecenter/security/830638/index.html , Stand 10.03.2007.

²⁴ Vgl. http://www.heise.de/tp/r4/artikel/13/13080/1.html , Stand 10.03.2007.

10

diese Arbeiten relevante Vorgaben auf. Es existieren entsprechende Literatur und genügend IT-Beratungsunternehmen, welche die Vorgaben ausführlich betrachten. 25

Tabelle 3: finanzrechtliche Vorgaben für Informationssysteme

Im dritten Quartal 2006 wurde das Allgemeine Gleichbehandlungsgesetz verabschiedet ²⁹ . Es verpflichtet Arbeitgeber unter anderem dazu, Mitarbeiter aktiv vor Diskriminierung zu schützen, „dies umfasst auch vorbeugende Maßnahmen“ ³⁰ . Zu vorbeugenden Maßnahmen zählen neben organisatorischen und personellen auch informationstechnische Maßnahmen wie E-Mail-Archivierung, Internetzugriffsprüfungen und die entsprechende Protokollierung, damit sich Unternehmen vor ungerechtfertigten Ansprüchen schützen können.

Auf Internetseiten der interviewten Unternehmen fanden sich beispielsweise diskriminierende Bewerbungsfragen, die nun beseitigt wurden.

25 Vgl. http://de.wikipedia.org/w/index.php?title=Revisionssicherheit&printable=yes, Stand 10.03.2007.

26 Vgl. http://www.gdpdu-portal.com/Finanzamt/Dokumente/GDPdU_Grundsaetze.pdf , Stand 10.03.2007.

27 Vgl. http://thomas.loc.gov/cgi-bin/query/z?c107:H.R.3763.ENR: , Stand 10.03.2007.

28 Vgl. http://www.bis.org/publ/bcbsca.htm , Stand 10.03.2007.

29 Vgl. http://www.gesetze-im-internet.de/bundesrecht/agg/gesamt.pdf , Stand 10.03.2007.

30 Vgl. § 12 Abs. 1 S. 2 AGG.

11