der Technologiestiftung Berlin,
zuständig für Marketing, Presse
und Strategie und für
IT-Sicherheitsfragen ein ausgewiesener Experte.
|
Thomas
Leitert ist als Vorstandsvorsitzender der TimeKontor Aktiengesellschaft,
einem Spin-off-Unternehmen
der Technologiestiftung Berlin, zuständig für Marketing, Presse und Strategie und für IT-Sicherheitsfragen ein ausgewiesener Experte. |
BW: IT-Systeme sind aus dem betrieblichen Alltag nicht mehr wegzudenken. Damit rücken auch Probleme der IT-Sicherheit stärker in den Vordergrund. Welchen Bedrohungen sind die Unternehmen aktuell ausgesetzt?
Leitert: Bei vielen
Unternehmen ist das Bewusstsein für die Risiken beim Einsatz von Informations-
und Kommunikationstechnik in letzter Zeit zwar gestiegen. Experten bemängeln
allerdings eine unzureichende Umsetzung der Erkenntnisse zum Thema IT-Sicherheit
in die Praxis.
Laut einer Untersuchung
der US-Forschungseinrichtung Computer Security Institute ist für größere
Firmen vor allem der webbasierte Geschäftsbereich gefährdet:
74% der Global 2000 Unternehmen betrachten ihre Website als das häufigste
Angriffsziel. „Unternehmens-Homepages werden immer sensibler, weil immer
mehr Geschäftsprozesse über sie abgewickelt werden", so die Experten.
Dass die Gefahr gezielter, wirtschaftlich motivierter Attacken für
die kleineren Firmen nicht geringer ist, zeigte sich z. B. in den neuen
Spionage-Fähigkeiten des „Bugbear"-Wurmes. Dieser verfügt über
sogenannte Backdoor-Funktionen, die den Angreifern Zugang zu den Systemen
gewähren bzw. Passwörter und andere sensible Daten automatisch
zusenden. Hartmut Pohl, Professor am Institut für Informationssicherheit
(ISIS) in Köln, sieht den Aspekt der Wirtschaftsspionage als völlig
unterschätzt an. Die meisten „Hacker" seien nicht ziellos unterwegs
und viele „technische Fehler" in den IT-Systemen stellten sich bei genauerer
Prüfung als gezielte Manipulationen heraus, die zu keinem geringen
Teil von internen Mitarbeitern begangen werden.
BW: Nimmt das Gefahrenpotential zu? Kann man einen Anstieg der Vorfälle registrieren?
Leitert: Eindeutig ja! Die Sicherheitsexperten der Firma Internet Security Systems (ISS) meldeten allein im dritten Quartal des vorigen Jahres 583 neue Sicherheitslücken. Das bedeutet im Vergleich zum Vorjahresquartal eine Steigerung von 65%. Internet-Würmer und Viren wie „Nimda", „Klez" oder zuletzt „Bugbear" nutzen neue und alte Schwachstellen immer wieder gnadenlos aus. Dabei wird die Langlebigkeit der Schädlinge vielfach unterschätzt. Die Attacken des Nimda-Wurmes beispielsweise haben sich seit seinem Auftauchen im September 2001 erst auf 44,5% reduziert.
BW: Haben Sie den Eindruck, dass vor allem die kleinen und mittleren Unternehmen die Bedrohungen richtig einschätzen?
Leitert: Ganz klar nein. Die von TimeKontor im Okt./Nov. 2002 durchgeführte Entscheiderbefragung zum Thema „Wie viel IT-Sicherheit braucht ein Unternehmen?" bestätigt dies. Insbesondere kleine und mittlere Unternehmen, sehen in Sicherheitsinvestitionen oft nur unnötige Kosten, anstatt sie als Sicherung der Unternehmensexistenz zu betrachten. Dabei ist durch eine systematische und individuelle Risikoanalyse, gezielte Sicherheitslösungen und routinemäßige Überprüfungen mit geringeren Mitteln durchaus effektiver Schutz zu erreichen. 100% Sicherheit gibt es nicht. In Bezug auf die Informations- und Kommunikationstechnik fehlt der Unternehmensleitung jedoch oft die Möglichkeit, die Risiken wirklich realistisch einzuschätzen. Einen ersten Überblick, wie es um die eigene IT-Sicherheit bestellt ist, können sich Entscheider mit Hilfe unserer Checkliste verschaffen.
BW: Wie entwickelt sich der Markt für IT-Sicherheit? Kann man von einer eigenen Dienstleistungsbranche sprechen?
Leitert: IT-Sicherheit entwickelt sich allmählich zu einer krisenfesten Branche. Entgegen dem teilweise rückgängigen Trend bei den IT-Budgets ist hier eine stetige Steigerung zu verzeichnen. Für die Zukunft soll sich der deutsche Markt nach Untersuchungen der Marktforschungsfirma Meta Group von derzeit etwa 1,5 Mrd. € bis zum Jahr 2005 auf rund 3 Mrd. € fast verdoppeln. Das verwundert nicht. Wenn in Zeiten von E-Commerce und E-Business die effektive Integration der Systeme vorangetrieben wird, ist natürlich deren Zuverlässigkeit und Integrität von allerhöchster Wichtigkeit. Die Gefahren werden keinesfalls geringer. Je mehr die Vernetzung voranschreitet, desto weitreichender das Gefahrenpotential. Um IT-Sicherheit in den Unternehmen stärker zu verankern, ist allerdings auch ein Umdenken der Security-Anbieter notwendig. Wie die aktuelle TimeKontor Umfrage zeigte, fordern Entscheider eine stärkere Integration von Sicherheitslösungen, Verbesserungen im Bereich der Usability und eine klare Kommunikation von Kosten und Nutzen von IT-Sicherheitsmaßnahmen.
BW: Auch im sensiblen IT-Bereich bestimmt das schwächste Glied die Sicherheitskette. Was sollte der Unternehmer beachten, damit er nichts Wichtiges vernachlässigt?
Leitert: Um Investitionen in IT-Sicherheit gezielt vornehmen und den effektiven Schutz des Unternehmens gewährleisten zu können, müssen technische Maßnahmen mit einer Risiko- und Schwachstellenanalyse, einer unternehmensspezifischen Schutzbedarfsfeststellung sowie dem Aufbau einer adäquaten Sicherheitspolitik gekoppelt sein. Technik ohne Strategie hilft wenig, so das Fazit der Analysten. Einer Umfrage des Marktforschungsinstituts Aberdeen unter den Global 2000 Unternehmen zufolge werden unternehmensspezifische Anforderungen an IT-Sicherheit zu wenig berücksichtigt und die Analyse der verwundbaren Stellen vernachlässigt. Während knapp die Hälfte der Grossunternehmen über eine Security-Policy verfügt, wie eine Studie von silicon.de belegt, besitzen nur 27% der mittelständischen Unternehmen ein schriftlich fixiertes Regelwerk. Strategisches Vorgehen zahlt sich jedoch aus. Die Pareto-Regel, nach der mit nur 20% Aufwand 80% des Ergebnisses zu erzielen ist, lässt sich auch auf Investitionen in IT-Sicherheit anwenden.
Foto: TimeKontor AG
