Sprüngli, Paradeplatz, Zürich: Handtasche mit Schmuck im Wert von 257'323 Franken gestohlen." Die betreffende Dame, so ist es immer in solcherart lautenden Meldungen auf Seite zwölf, hatte "nur eine Sekunde lang" den Blick von ihrer Tasche weg zu den Truffes du Jour gewendet, und schon war's passiert. Vom Täter natürlich keine Spur mehr; im Getümmel von zuckersüchtigen Kunden, hausgemachten Pralinékreationen und Blätterteigkonfekt versteckt man sich ja leicht.
Wenn ich von Schicksalsschlägen wie dem obenerwähnten höre, kommt mir als erstes grundsätzlich folgender Gedanke: Selber schuld! Schmuck im Wert von über zwölf Franken neununddreissig trägt man erst gar nicht in seiner Handtasche herum; entsprechendes gilt im Zusammenhang mit Aktenkoffern und Barbeträgen von mehr als dreiunddreissig Franken siebenundfünfzig.
Nicht anders geht es aber leider in den Gefilden der Informationstechnologie zu. Es fängt damit an, dass sich - ausser in Grossbetrieben, wo eine Gestapo-ähnliche Security-Organisation sich den ganzen Tag um nichts anderes kümmert als die Sicherung aller Daten, sogar vor dem Zugriff ihrer Urheber selbst - kaum jemand um profane Dinge wie regelmässige Backups oder das Abschliessen der Tür zum Serverraum kümmert.
Ein befreundeter Supportmitarbeiter eines namhaften Herstellers von Backup-, Sicherheits- und Virenschutzlösungen weiss zu berichten, dass ein Grossteil seiner Klienten nicht ohne eine gewisse Zerknirschung anklopft, da einmal mehr selbst die elementarsten Sicherheitsaspekte erst nach dem Ernstfall zum Thema wurden - sprich: Backup nicht gemacht, Attachments ohne Vor-, Rück- und Einsicht geöffnet, Passwort auf Post-It-Zetteli an den Monitor geklebt, und so fort.
Das mangelnde Sicherheitsdenken in Schweizer KMU zeigt sich mit erschreckender Deutlichkeit in einer Studie der ZHW, wie wir letzte Woche vernehmen mussten. Erfreulicherweise befasste sich die Umfrage diesmal nicht mit Grösstunternehmungen und Pseudo-KMU mit mehreren hundert Mitarbeitern, sondern vornehmlich mit wirklich kleinen Betrieben im Stil von Anwaltspraxen und Unternehmensberatern - eigentlich sollten ja gerade diese besonderes Augenmerk auch auf ihre eigene Sicherheit lenken.
Aber weit gefehlt: Die meisten Befragten äusserten praktisch keine Angst vor Viren und Hackerangriffen und haben auch kein Konzept für den Notfall in Petto - man greift dann jeweils auf Handarbeit zurück und gewärtigt dementsprechend längere Ausfallzeiten.
Hand aufs Herz: Vertrauen wir unsere Daten solchen Konsulenten wirklich gerne an? Es tröstet da wenig, dass auch die traditionelle Art der Informationsaufbewahrung im Aktenschrank nur bedingte Sicherheit vor Klau und Spionage bietet.
Es ist ja noch zu verstehen, dass ein Kleinstunternehmen nicht Zigtausende Franken für Firewall, Intrusion Detection, Data Encryption, Honeynet und dergleichen mehr ausgeben kann. Besonders krass und absurd fällt der Sicherheitsmangel aber beim populären Wireless LAN aus: Zwar misstrauen die meisten Anwender der Funktechnik irgendwie prinzipiell - "was ohne Kabel über den Äther geht, kann ja nicht abhörsicher sein." Dennoch nutzen immer mehr Standorte die kabellose Bequemlichkeit, aber: Selbst die einfachsten, von Anfang an integrierten und nicht mit zusätzlichen Kosten oder Arbeitsmehraufwand verbundenen Security-Features des WiFi-Standards werden kaum genutzt, wie eine weitere Untersuchung belegt.
Sogenannte "Wardriver" waren Ende August im Raum Zürich unterwegs und haben bei der Ausübung ihres Hobbys - Ausspionieren von Funknetzen - quasi die Bestätigung der Winterthurer Umfrage erhalten: Siebzig Prozent aller gefundenen Access Points - zur Erinnerung, das sind über zwei Drittel! - streuten die Daten ohne Verschlüsselung gewissermassen zur Selbstbedienung in der Gegend herum. Dabei wäre es ein Leichtes, bei Access Point und Funkadaptern die zwar auch nicht über jeden Zweifel erhabene, aber dennoch nicht unnütze WEP-Verschlüsselung zu aktivieren. Ein signifikanter Teil der entdeckten WLAN-Installationen profitierte nicht einmal von der allereinfachsten Massnahme: Bei zwölf Prozent hatte man sogar die Netzwerkkennung SSID auf dem Hersteller-Default belassen. Wenn nicht in manchen Fällen vom Kassensystem im Kaufhaus bis zur Patientendatei in der Artztpraxis die eigenen Daten betroffen wären, käme an dieser Stelle wieder ein schadenfrohes "Selber schuld!" zum Zug - aber eben!
