Auf den ersten Blick hatte die Anwaltskanzlei ihre Daten gut gegen Verlust geschützt: Am Netzwerk-Server war ein Bandlaufwerk installiert, auf das wöchentlich Sicherheitskopien überspielt wurden. Als die Festplatte des Rechners den Geist aufgab, sorgte das daher zuerst auch nur für geringe Beunruhigung. Das ganze Ausmaß des Schadens wurde erst deutlich, als sich herausstellte, dass auch das Laufwerk nicht funktionierte und schon seit Jahren leere Bänder archiviert worden waren. Niemand hatte jemals überprüft, ob der Sicherungsmechanismus in Ordnung war - alle Mandantendaten waren unrettbar verloren.

Ein Beispiel aus der Praxis - und so etwas kann gravierende Folgen haben. Das PC-Magazin zitiert Studien, nach denen 60 Prozent der Unternehmen, die von einem totalen Datenverlust betroffen sind, das folgende Jahr nicht überstehen. Und in Sachen Sicherheit haben die meisten kleineren Firmen erheblichen Nachholbedarf. "Das Thema wird nach unseren Erfahrungen eher stiefmütterlich behandelt", meint Frank Rustemeyer von "Mittelstand sicher im Internet". Der Experte der vom Bundeswirtschaftsministerium initiierten Initiative erläutert: "Das wird oft abdelegiert und dann fragt niemand mehr nach, ob auch wirklich alles so funktioniert, wie es das sollte."

Denn zwar hat auf den meisten gewerblich genutzten Rechnern irgendwann jemand Virenscanner und Firewall installiert, doch mit Pflege, Aktualisierung und Dokumentation der Maßnahmen hapert es in der Regel erheblich. "Es hilft nichts, wenn Sicherheits-Software zwar installiert ist, aber wenn das Konzept dann immer weiter aufgeweicht wird", erklärt wieder Rustemeyer. "Da wird hier eine zusätzliche Verbindung geschaffen, da ein Port freigeschaltet oder ein Passwort herausgegeben und nichts davon wird dokumentiert." Auf diese Weise wird das Netzwerk im Lauf der Zeit immer anfälliger etwa für Viren oder Hacker-Angriffe.

Und die Szenarien, was alles passieren kann, sind so vielfältig, dass man selbst kaum auf alle kommen würde. Ein regelrechtes Gruselkabinett präsentiert das Grundschutz-Handbuch des Bundesamts für Sicherheit in der Informationstechnik, das unter www.bsi.de auch online erreichbar ist: Was ist, wenn der Systemadministrator einen schweren Unfall erleidet und mit ihm auch alle Passwörter nicht verfügbar sind? Oder wenn der Marketing-Mann kurz vor dem Wechsel zur Konkurrenz sensible Unternehmensdaten mitgehen lässt? Oder was ist, wenn es brennt? Zwar werden in den meisten Firmen Sicherheitskopien angefertigt, aber in der Regel liegen diese im Schrank neben dem Rechner. Tritt ein Elementarschaden ein, sind die Backups genauso zerstört wie die originalen Daten. Daher sollten Sicherheitskopien, wenn es möglich ist, räumlich getrennt von den originalen Daten verwahrt werden. Bleiben sie in den gleichen Räumen, so müssen sie vor Feuer und Wasser geschützt werden

Gute und auch für den Laien verständliche Denkanstöße für Fragen, die man seinem IT-Verantwortlichen gelegentlich stellen sollte, finden sich in den Checklisten, die sowohl in dem Grundschutz-Handbuch wie auch auf der Website www.mittelstand-sicher-im-internet.de online sind. Darüber hinaus rät Rustemeyer dazu, auch in kleineren Betrieben ein Sicherheitskonzept zu erstellen, in dem die Bedrohungen analysiert und Schutzmaßnahmen festgeschrieben werden. Dazu gehört es auch zu klären, wer für was zuständig ist, wie oft Updates eingespielt werden müssen, wie die Datensicherung organisiert wird und dem Verantwortlichen auch die Zeit zur Verfügung zu stellen, die er braucht, um wirklich regelmäßig den Virenscanner zu aktualisieren.

So etwas kann man auch aus der Hand geben. Dienstleister, die sich auf das Thema IT-Sicherheit spezialisiert haben, findet man über die Industrie- und Handelskammer oder durch Recherche im Internet. Und auch wenn man es schlecht in Euro und Cent bemessen kann: So etwas kostet Geld, ist aber immer noch besser als nach einem Unfall oder Angriff komplett von vorne anfangen zu müssen. Mit etwa fünf Beratungstagen rechnet Rustemeyer für das Beispiel einere Anwaltskanzlei mit fünf Arbeitsplätzen, und: "Man sollte sich die Referenzen ansehen, um entscheiden zu können, ob man wirklich einen Spezialisten vor sich hat." Im laufenden Betrieb sollte das System - wieder als grobe Schätzung und abhängig vom konkreten Schutzbedarf - ein bis zwei Mal im Monat gewartet und kontrolliert werden. Außerdem muss der Dienstleister in der Lage sein, schnell zu reagieren, wenn ein neuer Virus gefunden wird oder Microsoft eine weitere Sicherheitslücke bekannt geben muss. Wichtig ist in jedem Fall ein Vertrag, in dem das Leistungsspektrum detailliert festgeschrieben wird.

Übrigens haftet der Geschäftsführer einer GmbH oder der Vorstand einer AG auch persönlich für Verluste, die aus schwerwiegenden Versäumnissen in Sachen IT-Sicherheit entstehen. Die Dinge ein wenig im Auge zu behalten, ist daher sicher kein Fehler: Newsticker zum Thema Sicherheit finden sich auf den Websites der Hersteller von Anti-Viren-Software. Auch heise.de informiert tagesaktuell und gegen eine geringe Gebühr lässt sich bei www.mcert.de ein speziell auf die Bedürfnisse von Mittelständlern zugeschnittener Newsletter abonnieren.

Trotzdem braucht nicht jeder Betrieb alles an Schutz, was der Dienstleister gern verkaufen möchte. Die Initiative rät hier dazu, den Bedarf nach vier Kriterien abzuklopfen: Wie hoch ist die Gefahr, dass ein Unbefugter versucht, an vertrauliche Daten zu gelangen? Wie wahrscheinlich ist es, dass Daten manipuliert werden? Lässt es sich verschmerzen, wenn die Rechner einen oder zwei Tage ausfallen? Und wie komplex ist das System, wie hoch also der Anspruch an eine Dokumentation von Passwörtern, Zugriffen und Änderungen? Eine Güterabwägung: "Wenn man zur Not einen Tag auf die Daten verzichten kann, braucht man zum Beispiel kein redundantes System, bei dem die komplette Technik doppelt zur Verfügung steht", erklärt Rustemeyer.