IT-Se­cu­ri­ty: Ge­fah­ren so weit wie mög­lich re­du­zie­ren

Rheinische Post Moenchengladbach-Land - - UNTERHALTUNG - VON PATRICK PE­TERS

Der Mit­tel­stand ist ganz er­heb­li­chen Ge­fah­ren im Cy­ber­space aus­ge­setzt. Ne­ben in­di­vi­du­el­len Maß­nah­men in der IT-Se­cu­ri­ty steht auch im Vor­der­grund, das Si­cher­heits­be­wusst­sein für den Um­gang mit der IT bei den Mit­ar­bei­tern zu stär­ken.

15 Jah­re sind welt­ge­schicht­lich kei­ne wirk­lich lan­ge Zeit. Aber es ist sehr wohl ei­ne durch­aus sub­stan­zi­el­le Span­ne in ei­nem Be­reich wie der In­for­ma­ti­ons­tech­no­lo­gie (IT), die stän­di­gen dy­na­mi­schen Ve­rän­de­run­gen un­ter­wor­fen ist und ge­fühlt täg­lich Fort­schrit­te macht. Das zeigt sich auch am Un­ter­neh­men @-yet aus Leich­lin­gen. Der von Wolf­gang Stra­ßer ge­führ­te Spe­zia­list für IT-Ri­si­ko­ma­nage­ment wur­de am 1. Ju­ni 2002 ge­grün­det. „Wir spü­ren ganz stark, wie sich die An­for­de­run­gen der Auf­trag­ge­ber, sei­en es Un­ter­neh­men oder auch die öf­fent­li­che Hand, in die­ser Zeit ver­än­dert ha­ben. Heu­te liegt un­ser Fo­kus ganz klar auf der so­ge­nann­ten Bu­si­ness Se­cu­ri­ty, al­so die Si­che­rung ge­gen be­ab­sich­tig­te An­grif­fe wie Spio­na­ge und Sabo- ta­ge, un­be­fug­te Mo­di­fi­ka­tio­nen und Know-how-Ver­lust, wäh­rend die Si­cher­heit von sys­tem­be­ding­ten Aus­fäl­len und un­be­ab­sich­tig­ten Not­fäl­len auf Grund von Hard­ware­und/oder Be­triebs­sys­tem­pro­ble­men, die Bu­si­ness Con­ti­nui­ty, we­sent­lich we­ni­ger Raum ein­nimmt als noch vor ei­ni­gen Jah­ren.“

Das hat ein­fach mit den neu­en Ri­si­ken zu tun, die nicht nur gro­ße Un­ter­neh­men be­tref­fen. „Auch der Mit­tel­stand ist ganz er­heb­li­chen Ge­fah­ren aus­ge­setzt. Wir se­hen in der Pra­xis im­mer wie­der, dass Or­ga­ni­sa­tio­nen wirt­schaft­lich durch kri­mi­nel­le Hand­lun­gen im Cy­ber­space be­droht sind. Ty­pisch ist zum Bei­spiel, Da­ten zu ver­schlüs­seln, um Geld zu er­pres­sen, wie es mit Lo­cky und Wan­naC­ry pas­siert ist. Eben­so kom­men Fäl­le von ‚CEO-Fraud‘ vor. Da­bei wer- den Un­ter­neh­men aus­spio­niert, und mit­tels ge­fälsch­ter E-Mails, Web­sites etc. wird dann vor­ge­gau­kelt, der Ge­schäfts­füh­rer oder Vor­stand wei­se ei­ne Geld­über­wei­sung an. Die­se lan­det dann na­tür­lich bei den Ver­bre­chern. Kürz­lich ist so ein Scha­den von 40 Mil­lio­nen Dol­lar ent­stan­den, und auch meh­re­re un­se­rer Kun­den sa­hen und se­hen sich dem Ver­such aus­ge­setzt. In vie­len Fäl­len war die Sen­si­bi­li­sie­rung hoch ge­nug, so­dass nichts pas­siert ist, aber wir er­le­ben auch vie­le Fäl­le, in de­nen die An­grif­fe lei­der er­folg­reich sind“, er­zählt Wolf­gang Stra­ßer aus Er­fah­rung.

Es sei nun ei­ne Fra­ge der rich­ti­gen IT-Se­cu­ri­ty-Stra­te­gie, die­se Ge­fah­ren so weit wie mög­lich zu re­du­zie­ren. Doch wie ent­steht die­se Si­cher­heit? „Die ers­te und wich­tigs­te Fra­ge, die sich Ge­schäfts­füh­rer und Vor­stän­de stel­len müs­sen, ist fol­gen­de: Wie lan­ge kön­nen wir ei­nen Aus­fall der IT nach ei­nem An­griff auf die In­fra­struk­tur ver­kraf­ten und wel­cher Da­ten­ver­lust ist der für das Un­ter­neh­men schmerz­haf­tes­te? Es sind heut­zu­ta­ge so gut wie al­le Pro­zes­se und Ab­läu­fe, ob in Di­enst­leis­tungs­oder Pro­duk­ti­ons­un­ter­neh­men, IT-ge­stützt. Die Ab­hän­gig­keit von funk­tio­nie­ren­den Sys­te­men ist al­so sehr groß. Da­her muss der Schutz der Sys­te­me ganz in­di­vi­du­ell auf­ge­stellt wer­den. Je kür­zer die Aus­fall­zeit sein darf, des­to kom­ple­xer und teu­rer wer­den die An­for­de­run­gen“, be­tont der @-yet-Grün­der. Die Ex­per­ten ana­ly­sie­ren den Ist-Zu­stand der IT-Or­ga­ni­sa­ti­on und lei­ten dar­aus die Maß­nah­men ab, um den Soll-Zu­stand her­zu­stel­len.

Stra­ßer ruft Un­ter­neh­mens­ver­ant­wort­li­che des­halb da­zu auf, sich stra­te­gi­sche Ge­dan­ken über die Zie­le der IT-Si- cher­heit zu ma­chen. „Was will ich wirk­lich? Brau­che ich ei­nen wirk­sa­men Schutz ge­gen Er­pres­sungs-Soft­ware, oder will ich In­dus­trie­spio­na­ge und den Dieb­stahl geis­ti­gen Ei­gen­tums ver­hin­dern? Könn­ten viel­leicht man­che Be­rei­che oder be­stimm­te Mit­ar­bei­ter mei­nes Un­ter­neh­mens be­son­de­res Ziel von Atta­cken sein? Dar­auf kön­nen wir re­agie­ren – wenn wir wis­sen, was der Ver­ant­wort­li­che tat­säch­lich be­zweckt.“

Un­ter­neh­men dürf­ten nicht ver­ges­sen, dass es sich bei den Ver­ur­sa­chern der An­grif­fe um ab­so­lu­te Pro­fis han­de­le, de­nen man eben mit pro­fes­sio­nel­len Maß­nah­men be­geg­nen müs­se. „Oft steckt die or­ga­ni­sier­te Kri­mi­na­li­tät da­hin­ter. Zah­len zei­gen, wie be­deu­tend das Ge­schäft mit Cyber-Atta­cken ge­wor­den ist. Der welt­wei­te Um­satz des Cyber-Cri­me über- trifft nach An­ga­ben von Be­hör­den, den des Dro­gen­han­dels.“

Aus der um­fas­sen­den Bu­si­ness Se­cu­ri­ty ent­steht schluss­end­lich wie­der ei­ne Stär­kung der Bu­si­ness Con­ti­nui­ty. Da­mit blei­ben IT-Stö­run­gen und IT-Aus­fäl­le im to­le­rier­ba­ren Be­reich, und die IT ist auf mög­li­che Not­fäl­le tech­nisch und or­ga­ni­sa­to­risch vor­be­rei­tet.

Eben­so be­tont Wolf­gang Stra­ßer die Be­deu­tung der so­ge­nann­ten Awa­ren­ess, al­so des Si­cher­heits­be­wusst­seins für den Um­gang mit der IT. „Der Mensch und sein Um­gang mit den Da­ten und Ge­rä­ten ist der wich­tigs­te Fak­tor der IT-Si­cher­heit und muss auf der Un­ter­neh­mens­ebe­ne ge­re­gelt wer­den. Die ent­spre­chen­de In­for­ma­ti­ons­po­li­tik ist die Auf­ga­be der obers­ten Ge­schäfts­füh­rung. Wir un­ter­stüt­zen da­bei, die­se Awa­ren­ess zu eta­blie­ren.“

Newspapers in German

Newspapers from Germany

© PressReader. All rights reserved.