Nerds sind Helden in schlechten amerikanischen Filmen. Bebrillt und unscheinbar basteln sie nächtelang an Computern, um ihren Kollegen Zugang zu verschlossenen Daten zu beschaffen oder sie mit netten Gadgets zu versorgen. CIOs beschleicht jedoch das Grauen, wenn sie die Helfer leibhaftig vor den eigenen Unternehmens-PCs knien sehen. Zwar ist es wenig bedrohlich, wenn sie dort Soundkarten einbauen. Wenn durch die übereifrigen Frickler allerdings ausführbare Freemailer-Dateien ins interne Netz gelangen, ist das ein klarer Verstoß gegen die Sicherheits-Policy.
Early Adopters kaschieren ihr Faible für die Technik in der Regel besser und verstecken ihre neueste Spielerei im Sakko. Auch wenn mobile Devices in 99 Prozent der Fälle harmlos sind, kann auch das verbleibende Restrisiko für Unternehmen gefährlich sein. "Mit der Managerfernsteuerung Blackberry", so Brad Lentz, CIO vom Beraterteam Capgemini, "lassen sich sensible Unternehmensdaten leicht, ungeschützt und unkontrolliert nach außen tragen." Michael Mrak, CIO bei den Casinos Austria, hält Bluetooth-Devices wie Handy, Notebook oder PDAs für das derzeit gefährlichste Männerspielzeug. Mrak: "Technisch gesehen ist es für jeden Mitarbeiter mit Halbwissen möglich, diese Devices ins Netz zu bringen."
Dass es mit der IT-Sicherheit in deutschen Unternehmen nicht zum Besten steht, hat zuletzt eine Studie des Beratungshauses Mummert belegt, das Ende 2004 vom französichen IT-Dienstleister Steria gekauft wurde: Knapp fünf Prozent der befragten IT-Manager wussten demnach nicht, ob es im eigenen Haus eine Security-Policy gibt (siehe Kasten). Diese fünf Prozent können den Bastlern und Early Adopters folglich keine Grenzen aufzeigen. Genau das wäre jedoch nötig: Gemäß einer Umfrage aus dem Jahr 2004 der International Data Corporation (IDC) stammen 90 Prozent aller Angriffe auf die IT-Sicherheit aus den Unternehmen selbst. 45 Prozent aller Schäden werden durch Mitarbeiter verursacht.
Das aber vor den Mitarbeitern auszusprechen fällt den meisten IT-Strategen schwer. Dabei ist es meist gar nicht die reine Böswilligkeit eines unzufriedenen Mitarbeiters, die diesen die "innovativen" Wege beschreiten lässt, sondern "oft eine fehlende Freiraumregulierung, die mit dem unmittelbaren Vorgesetzten zusammenhängt und die sich so auch wieder bremsen lässt", erklärt Markus Wild, CIO und CFO beim ERP-Anbieter Bäurer. Er lobt Praktikanten und Auszubildende, die "eine spezielle Kreativität hinsichtlich der Firmen-IT entwickeln". Ähnlich bewertet Casino-Austria-CIO Mrak die so genannten engagierten Bastler. "Mitarbeiter wollen häufig nur effizientere Arbeitsprozesse schaffen. Deswegen ist hier das Thema Disziplinierung so schwer zu handhaben."
"Spielzeug, das dann alle haben wollen"
Walter Schöffel, Director IS bei Philip Morris, betont die Mühe mit den Early Adopters: "Wir haben natürlich auch das Problem, dass es Mitarbeiter gibt, die ihr Spielzeug mitbringen - und das wollen dann alle haben." Doch Schöffel überprüft die unternehmensweiten Mobile Device Policies in kurzen Abständen - also etwa alle sechs bis zwölf Monate. Wenn nun beispielsweise PDA und Smart Phone noch weiter zusammenwachsen, könne es sein, dass "wir schon bald unsere Policy entsprechend ändern", erläutert Schöffel.
Der IS-Director rät ebenso wie sein österreichischer Kollege Mrak zu einer gut konzeptionierten Sicherheitsstrategie. Zu dieser sollten ein mehrstufiges IP-Filtersystem gehören, Intrusion Detection nach innen und außen, kaskadierende Virenprüfung und Spamfilter, Subnetze und Gateways sowie regelmäßige Security-Checks durch Drittanbieter. Mrak: "Soweit technisch und finanziell zu rechtfertigen, versuchen wir zu verhindern, dass nicht freigegebene Komponenten verwendet werden können." Die Casinos Austria setzen hier beispielsweise auf Port Security bei den Switches, um zu unterbinden, dass Mitarbeiter Fremd-Notebooks an das Firmennetz anschließen.
"Der CIO muss weiter die Arbeitsanforderungen der Anwender genau kennen, denn nur so kann er das Basteln verhindern - unabhängig davon, ob dies in guter oder böser Absicht geschieht", rät Mrak, und er fügt hinzu: "Wenn man dann - natürlich in wirtschaftlich vertretbarem Rahmen - alle Anforderungen berücksichtigt, dann minimiert sich auch das Risiko der Insellösungen." Werden zudem die Kommunikationskosten regelmäßig geprüft und bewertet, lassen sich unzulässige Nutzungen weiter eindämmen. "Ansonsten vertraue ich auf Aufklärung via Mitarbeiterzeitschrift und persönliche Gespräche im Rahmen von Workshops", so Mrak.
Auch wenn Early Adopters und engagierte Bastler den CIOs so manche unruhige Stunde bescheren, "sollte man nie vergessen, dass innovative Mitarbeiter auch ein Unternehmen nach vorne bringen", gibt Pascal Matzke zu bedenken. Allerdings gibt der Berater der Metagroup zu: "Wer sich darüber Gedanken macht, was sich verbessern oder vereinfachen lässt, galoppiert schon mal in die falsche Richtung."