Störfälle, die die IT-Sicherheit betreffen, nehmen überdurchschnittlich zu


"72 Prozent aller Unternehmen und Organisationen in Europa betrachten die IT-Sicherheit als Kernthema unter den betrieblichen Prozessen. Das reflektiert nicht nur die Angst vor Schäden und den damit einhergehenden Verlusten, sondern auch die Tatsache, dass die IT-Sicherheit eine Leistungskomponente eines Unternehmens und seiner Dienste und Produkte darstellt, bis hin zu einem Unterscheidungsmerkmal vom Wettbewerb. Gerade im Hinblick auf Prozesse, die über Unternehmen verteilt sind, also Outsourcing und unternehmensübergreifende Arbeitsteilung in jeder Form, kommt dem Thema IT-Sicherheit eine überragende Bedeutung zu", führt der Nextiraone-Geschäftsführer Helmut Reisinger aus. Da jede Kette nur so stark sei wie ihr schwächstes Glied, stelle die IT-Sicherheit eine Aufgabe dar, die End-to-End definiert und implementiert werden müsse, über Unternehmensgrenzen hinweg.

Dazu kommen auch gesetzliche und wirtschaftsrechtliche Vorschriften. Das Bundesdatenschutzgesetz (BDSG) regelt den Umgang mit personenbezogenen Daten. Werden diese Daten aufgrund einer nachlässigen IT-Sicherheit Dritten zugänglich, sind die im BDSG enthaltenen Sanktionsmittel sowohl gegenüber dem Unternehmen selbst wie auch gegenüber den dafür Verantwortlichen denkbar. Das Gesetz zur Kontrolle und Transparenz von Kapitalgesellschaften (KonTraG) sieht bei Schäden des Unternehmens aus vermeidbaren Risiken auch eine persönliche Haftung der Verantwortlichen des Unternehmens vor. Die Geschäftsführung ist nach KonTraG aufgefordert, ein unternehmensweites Risiko-Management einzuführen. "Auch das Rating nach Basel II verlangt explizit eine Hinterlegung sogenannter operationeller Risiken mit Eigenkapital. Und Risiken, die sich aus der Nutzung moderner Informationstechnologien ergeben, gelten als zentraler Bestandteil der operationellen Risiken. Gerade für kleinere und mittelständische Unternehmen, in denen bisher keine besonderen Maßnahmen zum Schutze der EDV existierten, kann dies eine sehr anspruchsvolle Hürde bei der Kreditbeschaffung sein. So können beispielsweise ständige Netzwerkprobleme die Produktivität im Unternehmen stören und indirekt dadurch die eigene Bonität gefährden", skizziert Reisinger die Lage.

Die zunehmende Mobilität der Kommunikation verstärke nach Analysen von Nextiraone die Sicherheitsprobleme in Unternehmen. "Neben Notebooks treten zunehmend weitere mobile Geräte auf, die Daten speichern und aktiven Programmcode übertragen können: Smartphones, PDA’s, Digitalkameras oder MP3-Player. Mit einer Vielzahl kaum kontrollierbarer Schnittstellen wie Irda, Bluetooth oder USB können hiermit leicht bisher bewährte Sicherheitskonzepte unterlaufen werden. Die rasch wachsende Mobilität der Mitarbeiter in vielen Unternehmen unterstützt diesen Trend. Auch die frühe Adaption neuer Technologien im täglichen Privatgebrauch führt zu einem permanenten Druck der Mitarbeiter, diese Technologien auch beruflich einzusetzen", betont Reisinger.

Auch die homogene Softwarelandschaft trage dazu bei, dass sich Würmer schneller verbreiten könnten. "Während vor gut zwölf Jahren große Unternehmen ihre Betriebssysteme mit eigenen Anwendungen steuerten, ist man heute längst dazu übergegangen, standardisierte Software zu verwenden. Die Angriffsfläche für Viren und Würmer ist somit ernorm gewachsen", warnt Reisinger. Die Kommunikationsinfrastruktur sei so gut ausgebaut, dass PC-Benutzer in der ganzen Welt miteinander kommunizieren könnten. "Und sie tun es auch sehr rege. Bereits über die Hälfte ihrer Zeit verbringen PC-Benutzer online. Je höher die Kommunikationsdichte, umso schneller können sich Würmer verbreiten. Anders ausgedrückt: Die Geschwindigkeit von Würmern wächst proportional zur Internetgeschwindigkeit. Immer mehr Internetbenutzer lassen sich in Internetverzeichnissen, Mailboxseiten oder Chatrooms als Besucher eintragen und geben so ihre E-Mail-Adresse jedermann preis. Würmer zapfen jedoch nicht nur private E-Mail-Verzeichnisse an, sondern auch öffentliche, um sich automatisch an alle diese Adressen zu versenden", so der Nextiraone-Chef.

Die unkomplizierte Programmierbarkeit von Computern habe stark zugenommen. Kaum ein fortschrittliches Office-Programm verzichte noch auf Makros, die der Laie bequem nach Handbuch mit Visual Basic anfertigen könne. "Auch Würmer lassen sich mit dieser einfachen Programmiermethode rasch herstellen. Ausgehend von den Bedrohungen, ihrem Ausgangsort und ihrer Wirkung gibt es allerdings genügend Instrumente für Unternehmen, um die IT-Sicherheit zu verbessern", führt Reisinger aus. Das umfasse Server, Workstations, Netzwerkkomponenten, Backupsysteme und Notstromversorgungen. Maßnahmen zur Erhöhung der Sicherheit seien redundante Systemstrukturen, Sicherungskonzepte, Überwachung zur präventiven Fehlerfindung, Service Level Agreements und Virtual Private Networks. "Beim Datenzugriff im Unternehmen sind das Berechtigungsmanagement, die Klassifizierung der Daten und Sicherheitseinstufung, Authentisierung, Single Sign-on (SSO) und Public Key Infrastructure (PKI) die wichtigsten Elemente der IT-Sicherheit", so Reisinger.

Alle Arten von Netzwerkzugriff von außen oder Netzwerknutzung von innen müssten berücksichtigt: Internet, Intranet, Extranet, Workgroup-Management, E-Mail und FTP, Anwendungen für den E-Commerce oder Portale. Zu den Sicherheitsinstrumenten zählten Firewalls, Virenscanner, Remote Access Steuerung und redundante Netzwerkanbindung. Wichtig sei nach der Marktanalyse von Nextiraone auch die physikalische Umgebung der IT und des Unternehmens selbst, gesteuert über Gebäudemanagement, Feuer- und Wasserschutz, Zugangskontrolle, Videoüberwachung oder Biometrie. "Prinzipiell ist eine funktionierende Sicherheit der IT-Sicherheit keine Frage, die ein einzelner Mitarbeiter für einen einzelnen Rechner beantworten kann. Der erste Schritt zu einer funktionierenden IT-Sicherheit ist die Definition und Einschätzung der möglichen Gefahren. Mit diesem Gefahrenkatalog lassen sich dann im nächsten Schritt Strategien entwickeln, wie die möglichen Auswirkungen dieser Gefahren möglichst umgangen oder zumindest eingedämmt werden können. Ein wesentlicher und oft vernachlässigter Bestandteil der IT-Sicherheit liegt jedoch im Reporting, im Qualitäts- und Ereignis-Management, um automatisch auf Probleme und Angriffe reagieren zu können. Das Monitoring und die Eingriffssteuerung für Sicherheitskomponenten kann durch einen externen Anbieter erbracht werden und den häufig existierenden Schwachpunkt der personellen Besetzung kompensieren", so die Erfahrung von Reisinger.

 

Risk Academy

Die Intensiv-Seminare der RiskAcademy® konzentrieren sich auf Methoden und Instrumente für evolutionäre und revolutionäre Wege im Risikomanagement.

Seminare ansehen
Newsletter

Der Newsletter RiskNEWS informiert über Entwicklungen im Risikomanagement, aktuelle Buchveröffentlichungen sowie Kongresse und Veranstaltungen.

jetzt anmelden
Lösungsanbieter

Sie suchen eine Softwarelösung oder einen Dienstleister rund um die Themen Risikomanagement, GRC, IKS oder ISMS?

Partner finden
Ihre Daten werden selbstverständlich vertraulich behandelt und nicht an Dritte weitergegeben. Weitere Informationen finden Sie in unseren Datenschutzbestimmungen.