Gegen Dummheit ist kein Patch gewachsen

Die IT-Security wieder zurück in die Köpfe der Manager bringen, war die Kernaussage der diesjährigen phion Gipfelkonferenz, die heuer bereits zum fünften Mal im Tiroler Alpbach abgehalten wurde. Das heimische Softwarehaus sieht als wesentlichen Schritt im Erreichen dieses Zieles ein neues Miteinander von Management und Sicherheitsexperten.

"Wie sprechen wir mit dem Management?", fragte phion-CEO Wieland Alge die rund 500 Teilnehmer der Konferenz in seiner Keynote. Wesentlich sei eine Abkehr vom bisherigen Muster des "Bedrohungsszenarios an die Wand malen". "Sie wollen keine Angst mehr haben. Jedes Jahr haben wir gesagt, dass die Gefahren größer werden und das wir daher mehr Geld für mehr Sicherheit brauchen, aber irgendwann mag man einfach nicht mehr ängstlich sein." Auch wenn die Bedrohungen tatsächlich anstiegen, würde es eine Abkehr von dieser Strategie bedürfen. Die IT-Sicherheitsexperten müssten aufzeigen, dass ihr Gebiet ein wesentlicher Part im Erreichen der Unternehmensziele ist. Nicht die Technologie, sondern der Nutzen der Anwendung für die Geschäftsziele müsse daher im Mittelpunkt stehen. "Wir haben dieselben Ziele und auch die gleichen Feinde", so Alge über die Beziehungen zwischen Management und IT-Sicherheit.

Sicherheit dürfe auch nicht mehr als Prozess verstanden werden, sondern als ein essentieller Bestandteil der Abläufe in einem Unternehmen. Auch mit dem Irrglauben, dass die gesetzlichen Richtlinien, also die Erfüllung der "Compliance"-Vorgaben, ausreiche, müsse aufgeräumt werden.

Auch Klaus Gheri, CTO bei phion, wies auf die falsche Entwicklung in der Branche hin: "Eine gute Firewall ist absolut notwenig, aber einfach nicht sexy; darunter leidet die IT-Branche. Jedes Unternehmen hat eine Firewall, weil man das eben haben muss, aber nur die wenigsten erkennen die Firewall als ein wesentliches Kernelement. Überall findet man Firewalls, nur heißen sie jetzt eben anders." Bei phion finden sich daher auch unterschiedliche Produkte, die den Unternehmen nach ihren Bedürfnissen und Anforderungen die beste Lösung bieten sollen. Das so genannte "Best-of-Need"-Konzept soll es den Firmen ermöglichen, ihre sensiblen Daten und Dokumente zu schützen. In Europa sei man hier, wesentlich fortschrittlicher als der internationale Wettbewerb. Diesen Vorsprung gelte es auch zu nutzen und sich für die zukünftigen Bedrohungsszenarien zu rüsten.

Gefahr: Social Engineering

Neben neuen Lösungen, zahlreichen Workshops und Präsentation war vor allem der Auftritt von "Ex-Hacker" Kevin Mitnick ein Highlight der Veranstaltung. Mitnick wies einmal mehr auf die Bedeutung des Faktors Mensch im Bereich der IT-Sicherheit hin. "Selbst die großartigste Technik nützt nichts, wenn ein Angreifer über das schwächste Glied in der Kette an Information kommt", so Mitnick. Dieser Ansatz, das so genannte Social Engineering, bedeutet, dass Hacker Passworte und Details zum Unternehmen, die später ausgenutzt werden, oft über die Manipulation und Täuschung von Mitarbeitern herausfinden. Die Schwachstelle Mensch ließe sich leichter ausnützen, als ein technischer Hack und zudem gibt es auch "keinen Patch gegen Dummheit", wenn bei den Leuten das Bewusstsein für das Thema Sicherheit fehle. Auch hier müssen Unternehmen über konstantes Lernen und Lehren ihre Mitarbeiter bestmöglich schulen, um so die Angriffsstrategien rechtzeitig zu erkennen und zu durchschauen.

Wie einfach man als Unbefugter an Daten kommen kann, erläuterte Mitnick in seinem Vortrag. Ein paar Telefonate und die Hilfsbereitschaft von Call-Center-Mitarbeitern reichen meist schon aus, um seinem Ziel einen großen Schritt weiterzukommen. Bei seinen Sicherheitstrainings in den USA arbeitet Mitnick, der sich vom Hacker zum Consultant gewandelt hat, auch mit manipulierten USB-Sticks. Diese enthalten schädliche Software oder Spionage-Tools, die von den Anwendern unbemerkt, im Hintergrund Daten ausspionieren oder Hintertüren öffnen. "Wenn man in den Aufenthaltsräumen einen USB-Stick platziert, dann wird dieser mit großer Sicherheit vom Finder in einen Rechner gesteckt und schon ist der Angreifer im Firmennetzwerk. Noch besser geht es, wenn man auch noch "Geheim" oder "Streng vertraulich" darauf schreibt. Die Menschen sind einfach neugierig, das nutzen Hacker aus", so Mitnick.

In Alpbach gab phion auch die Zahlen für das Geschäftsjahr 2007/08 bekannt. Laut den vorläufigen Daten ist das Unternehmen in die roten Zahlen gerutscht, das Ergebnis der gewöhnlichen Geschäftstätigkeit (EGT) war mit 1,3 Mio. Euro negativ. Vor allem die Aufwendungen für die schnelle Internationalisierung, phion will in Deutschland und Italien stark wachsen, haben das Betriebsergebnis stark belastet, so das Unternehmen. Der Ausbau der Marktposition im Bereich Netzwerksicherheit steht weiterhin im Mittelpunkt, wie der Kauf des Schweizer Softwareherstellers Visonys zeigt.

www.phion.at