Ob Wirtschaftsspionage oder offene Türen im Gerätepool: Sichere Verwaltung und die Speicherung von Daten sind zu großen Herausforderungen für Unternehmen geworden. Am 13. Mai diskutierten Experten aus Wirtschaft und Verwaltung über leistbare Security, Privacy und Transparenz in Wirtschaft und Verwaltung. Die Partner der Report-Podiumsdiskussion waren das BRZ, Bacher Systems, AIT und CSC. BRZ-Geschäftsführer Roland Jabkowski begrüßte die rund 90 Gäste, die ins Bundesrechenzentrum gekommen waren: „Informationssicherheit, Cybersecurity und Datensicherheit – diese Begriffe haben in den letzten beiden Jahren deutlich an Bedeutung gewonnen. Das BRZ ist mit seinen Kunden einig, dass Sparmaßnahmen die IT-Sicherheit nicht beeinträchtigen dürfen. Cybersecurity kostet Geld, aber keine Cybersecurity zu haben, kostet noch mehr Geld.“ Johannes Mariel, Leiter Stabsabteilung Sicherheit und Qualität im Bundesrechenzentrum: „Wir erleben tagtäglich ganz ausgetüftelte Angriffe und eine Vielzahl an unterschiedlichen Schwachstellen. Sicherheit bedeutet einen hohen Aufwand, um sie auch professionell zu gewährleisten. Ein Aufwand, den sich auch kleine Unternehmen oder Organisationen leisten müssen. Wir haben ein eigenes BRZ-CERT (Anm. „Computer Emergency Response Team“). Und wir haben die richtigen Leute mit den richtigen Qualifikationen, die sich ausschließlich mit IT-Sicherheit beschäftigen. Ein großes Rechenzentrum tut sich da leichter.“ Auch ist für Mariel eine ausgewogene Kommunikation wichtig, um Awareness und Sicherheitsvorgaben zu schaffen, die von den Benutzern akzeptiert werden. Markus Hofbauer, IT-Security Consultant Bacher Systems: „Wir merken bei den Unternehmen, dass nach wie vor Angriffe auf sehr einfacher Ebene stattfinden. Dazu kommen anspruchsvolle, aufwendig programmierte und ausgeführte Attacken auf Applikationsebene. Die Kombination dieser unterschiedlichen Angriffsvektoren lässt die Anzahl möglicher Bedrohungsszenarien nahezu ins Unendliche steigen. Eine konkrete Gefahr entsteht jedoch erst, wenn durch Unternehmen eine konkrete Angriffsfläche geboten wird.” Für Christian Reiser, Experte für Informationssicherheit, sollte zunächst immer der einzelne User geschützt werden, auch bei Datenschutzfragen im privaten Bereich. „Wenn ich keine Sicherheit des einzelnen Mitarbeiters, des einzelnen Menschen habe, dann werde ich auch in der Organisation darüber letztendlich keine Sicherheit bekommen.” Für Reiser ist die leistbarste Sicherheitsmaßnahme ein gutes Firmenklima. “Ich habe noch nie erlebt, dass ein Mitarbeiter, der sich in seinem Unternehmen wohlfühlt, absichtlich und bewusst dem Unternehmen schadet.” Thomas Bleier, Thematic Coordinator ICT Security des Austrian Institute of Technology (AIT), ortet ein großes Problem darin, dass oft Sicherheitsmechanismen eine zu große Hürde für den Menschen darstellen. „Ein Beispiel ist die Absicherung von Systemen über Passwörter. Der IT-Forschung ist in den vergangenen 60 Jahren nicht gelungen, einen vernünftigen Mechanismus zu entwickeln, den die Menschen auch bedienen können. Da gehen wir als IT-Security-Experten wenig auf die Bedürfnisse des Menschen ein.“ Er sieht die Notwendigkeit, den Fokus weg von einzelnen Sicherheitsmaßnahmen wie einer Firewall, hin zu einer gesamtheitlichen Betrachtung der Risiken zu lenken, und auch dem Monitoring des aktuellen Sicherheitszustandes der Infrastruktur genügend Aufmerksamkeit zu schenken. Christian Fötinger, Leiter Cybersecurity Austria & Eastern Europe CSC, betonte: „Jedes Unternehmen benötigt andere Sicherheitslösungen.“ Fötinger demonstrierte dem Publikum diese Herausforderung für Unternehmen anhand eines durchlöcherten Kübels. „Äpfel werde ich damit weiterhin transportieren können. Bei der Feuerwehr hätte ich mit diesem Kübel keine Chance mehr. Ich muss mich also auf mein Kerngeschäft konzentrieren und mir genau überlegen, welche Lücken ich stopfe. Denn ich muss zuerst mein Geschäft betreiben, und nicht die IT-Sicherheit.“Fotos unter www.flickr.com/photos/award2008/sets/72157644662769114/