13.04.2007
Datensicherheit

Sie haben elektronischen Müll in Ihrem Postfach!

Viele Unternehmen leiden unter der Flut von Spam-Mails. Einige dieser Mails fischen nach persönlichen Daten eines Computerbenutzers, andere enthalten Viren oder Trojaner und können innerhalb von Sekunden ein ganzes System lahmlegen. Im GDV arbeitet seit 2002 ein Expertenkreis, der sich diesen Problemen stellt und bereits Lösungen anbietet.

Jeden Morgen das Gleiche: Im Büro angekommen, stellt man den Coffee to go auf den Schreibtisch, knipst den Computer an und hängt seine Jacke an die Garderobe, bis das Arbeitsgerät hochgefahren ist. Doch erst dann begegnet dem Büromenschen das eigentliche Ritual des 21. Jahrhunderts: E-Mails abrufen. Im Deutschen hat sich dafür der englische Begriff „E-Mails checken“ durchgesetzt. Und das kommt nicht von ungefähr. Schließlich bedeutet das englische Verb „check“ so viel wie kontrollieren, und seitdem Trickbetrüger und Hacker getarnt unter den Namen von Banken, Internetkaufhäusern oder auch Versicherungen Spam-Mails verschicken, das sogenannte Phishing, liegt die erste Aufgabe des Tages meist darin, unerwünschte Post zu identifizieren und zu löschen. Eine mit Viren oder Trojanern infizierte Mail könnte sogar das gesamte Computernetz eines Unternehmens ins Chaos stürzen. Ein Horrorszenario.

GDV Position:

Die Gefahr von Spam-E-Mails und Viren wird immer bedrohlicher und kann für Unternehmen katastrophale Auswirkungen auf ihre Geschäftsprozesse haben. Deshalb müssten sie viel mehr als jetzt in die Sicherheit ihrer Informationstechnologie investieren.

Vor allem Deutschland ist eine Hochburg des Phishing, wie eine aktuelle Studie des Security-Software-Herstellers Symantec zeigt. Und die Gefahr nimmt zu. So wurden im vergangenen Jahr 19 Prozent mehr Phishing-E-Mails von dem Unternehmen abgefangen als 2005. Nach den Ergebnissen der Studie erwarten 60 Prozent der Unternehmen innerhalb dieses Jahres sogar einen großen Störfall mit kritischen Auswirkungen auf die Geschäftsprozesse. Und nur 38 Prozent der befragten Unternehmen geben an, dass sie bei der Sicherheit ihrer Informationstechnologie (IT) schon sehr effizient vorgehen. Die meisten Unternehmen investieren noch zu wenig in IT-Sicherheit, so der Report. Wie für jede andere Wirtschaftsbranche ist auch für Versicherungsunternehmen die steigende Flut von Spam-Mails das vorwiegende Problem. „Heute sind rund die Hälfte aller eingehenden E-Mails unerwünscht“, schätzt Günther Otten, Datenschutzbeauftragter der Gothaer. „Vor vier Jahren waren es knapp 20 Prozent.“ Otten ist nicht nur in seinem Unternehmen für die IT-Sicherheit verantwortlich, sondern leitet zusätzlich zum „Expertenkreis IT-Security“ des Gesamtverbandes der Deutschen Versicherungswirtschaft (GDV) auch das Gremium „Informations- und Kommunikationstechnologie“.

Der Expertenkreis existiert seit 2002. Der GDV will mit dessen Arbeit den auftretenden Problemen vom Spam & Co. entgegensteuern. „Zum Kreis gehören zwölf bis 15 ständige Vertreter aus den verschiedenen Versicherungsunternehmen“, sagt Otten. „Wir überlegen uns in dieser Runde, wie sinnvolle IT-Security aufgebaut sein sollte.“ Die Empfehlungen, die vom Expertenkreis an die Mitglieder des GDV herausgegeben werden, nützen nicht nur den Versicherungen, deren Mitarbeiter der Arbeitsgruppe angehören. Sie kommen vor allem auch kleineren Versicherungen zugute, für die ein eigener IT Security Office Manager nicht finanzierbar ist – also eine Person, die sich hauptberuflich um die Sicherheit der Informationstechnologien im Unternehmen kümmert. Der IT Security Office Manager ist für die Entwicklung, Umsetzung und die Kontrolle von Sicherheitsrichtlinien zuständig. Er muss analysieren, welcher Schutz in seinem Unternehmen notwendig ist, muss IT-Risiken erkennen und Konzepte erstellen, um sie einzudämmen. Nach einer Erhebung der Europäischen Kommission entfallen derzeit nur etwa fünf bis 13 Prozent der IT-Ausgaben auf die Sicherheit der IT-Systeme, – „bedenklich wenig“, sagt die zuständige EU-Kommissarin Viviane Reding. Sie regt an, Institutionen sollten sich in Zukunft besser vernetzen, um bewährte Vorgehensweisen zu verbreiten und das Sicherheitsbewusstsein der Endnutzer zu erhöhen.

Das versucht der GDV mit dem Expertenkreis IT-Sicherheit, dessen Arbeit in Zukunft in einem Krisenreaktionszentrum aufgehen soll. Das Krisenreaktionszentrum koppelt seine Arbeit mit dem Bundesamt für Sicherheit in der Informationstechnik und soll so immer auf dem neuesten Stand der Anforderungen an die IT-Sicherheit bleiben. „Noch 2007 wollen wir eine Art Echtheits-Signatur für alle Mitglieder des GDV einführen, mit der Mails, die tatsächlich von uns versandt werden, vom Phishing unterschieden werden können“, sagt Otten. Eine solche Signatur sei vor allem deshalb wichtig, weil derjenige für einen eventuellen Schaden haftet, in dessen Namen die Mail versandt wurde, auch wenn sich Betrüger diesen Namen nur „ausgeliehen“ haben.

Susanne Klingner ist freie Journalistin in München.