Newsfeed abonnieren
Prekäre Rechtslage
„Wenn man ungeschützte Rechner ins Netz hängt, sind sie binnen Sekunden infiziert.“ - Kevin Hogan, Symantec
IBM-Mann Riesenfelder weiß vom Fall eines Online-Shops, dem Kartendaten gestohlen wurden. "Die Firma war nicht zertifiziert und muss nun den gesamten resultierenden Schaden tragen - die Kosten für die Verständigung aller Karteninhaber, Produktion und Versand neuer Karten, Anwaltskosten und so weiter. Optional können auch Strafzahlungen verhängt werden. Bei den meisten heimischen Firmen herrscht über diese neuen Vorschriften noch blanke Ahnungslosigkeit", so Riesenfelder.
Auf Haftungsfragen werde in der Sicherheitspolitik von Firmen generell viel zu wenig Rücksicht genommen, warnt Riesenfelder. Es gebe zum Beispiel oft keinerlei Regeln für die Internet-Nutzung der Mitarbeiter. Diesen fehle daher auch das entsprechende Sicherheitsbewusstsein. "Das Unternehmen haftet in einem ihm nicht bekannten Ausmaß, weil alle Internet-Zugriffe aus dessen Domäne heraus erfolgen. Wenn Mitarbeiter beim Benutzen von Filesharing-Programmen Urheberrechtsverletzungen begehen oder andere illegale Aktivitäten setzen, ergibt sich das Risiko von Hausdurchsuchungen und weiterer Rechtsfolgen - vom Imageverlust gar nicht zu reden", betont Riesenfelder. Firmen müssten also ein Sicherheitsregelwerk erstellen, dieses den Mitarbeitern in Schulungen vermitteln und die Einhaltung in Audits überprüfen.
Ein weiteres noch immer zu wenig beachtetes Risiko stellen laut Riesenfelder auch mobile Devices dar, auf die nicht selten gigabyiteweise unverschlüsselte Firmendaten heruntergeladen werden. Ein aktueller Fall aus dem Erfahrungsschatz des Experten: Ausgerechnet dem Sicherheitsbeauftragten eines österreichischen Großunternehmens wurde der Labtop mit sensibelsten, ungeschützten Firmendaten gestohlen.
Neue Technik - neue Bedrohungen
„Die meisten heimischen Firmen managen IT-Sicherheit nicht, sondern sie stopfen nur Löcher.“ - Rainer Kaltenbrunner, IDC
Immer komplexere Technik erzeugt immer komplexere Bedrohungen, denen die Unternehmen auf immer komplexere Art begegnen müssen. In Österreich reagiert man durchaus auf die neuen Herausforderungen, zeigt eine aktuelle, vom Marktforscher IDC durchgeführte Enterprise Security-Umfrage unter heimischen Firmen. Das Resümee des Studienautors, IDC-Analyst Rainer Kaltenbrunner: "Die meisten IT-Sicherheitsmaßnahmen bestehen aus mehreren kombinierten Technologien, um Eindringlinge abzuwehren, abweichende Ereignisse und abweichendes Verhalten zu erkennen und die Geschäftskontinuität zu bewahren. Den meisten großen Unternehmen gelingt es, diese Sicherheitsstrategie vollständig umzusetzen, wohingegen es KMUs schwieriger finden, der Komplexitätskurve interner Methodiken zu folgen."
Wenn man berücksichtigt, dass 98 % der heimischen Unternehmen KMUs sind, ist das keine wirklich beruhigende Nachricht. Riesenfelder warnt jedenfalls: "Die meisten heimischen Firmen managen IT-Sicherheit nicht, sondern sie stopfen nur Löcher. Es fehlt ihnen der Gesamtüberblick. Das Thema Sicherheit muss strategisch und systematisch behandelt werden."
Sicher oder nicht sicher? IDCs Austria Enterprise Security Survey 2008 hat die Security-Belange österreichischer Unternehmen unter die Lupe genommen. Hier die wichtigsten Erkenntnisse.
- Symantec, Checkpoint und Kaspersky waren jene Unternehmen, die auf die Frage nach den wichtigsten IT-Anbietern in Bezug auf Security am häufigsten genannt wurden.
- Technische Skills und der Quality of Services stehen bei der Auswahl eines Anbieters an erster Stelle. Dahinter folgen Verlässlichkeit und die Berücksichtigung bereits bestehender Partnerschaften.
- Wenn Unternehmen mehr Geld für Security zur Verfügung hätten, würden sie es in erster Linie für das Sicherheitstraining der Mitarbeiter ausgeben und erst dann an den Kauf neuer Security-Lösungen denken.
- Finden Security-Attacken statt, so wird bei rund einem Drittel der Unternehmen das externe Netzwerk unterbrochen, bis die Bedrohung abgeklärt ist. Immerhin ein Viertel der Unternehmen geht davon aus, dass externe Attacken keine Chancen hätten. Die Art der Security-Attacken, unter denen Firmen in letzten 12 Monaten zu leiden hatten, ist relativ breit gestreut und gleich verteilt. Am häufigsten basierten Attacken auf Router- oder Netzwerkfehler.
- Mehr als die Hälfte der Unternehmen berichtete von überhaupt keinen Attacken. Umgekehrt berichtete fast jedes fünfte Unternehmen von mehr als 100 Attacken in den letzten 12 Monaten.
- Rund die Hälfte der Unternehmen geht davon aus, dass die größten Bedrohungen externer Herkunft sind, ein Viertel sieht die größten Bedrohungen innerhalb des Unternehmens. 28 % sehen die Risiken zwischen intern und extern gleich verteilt.
- Trojaner, Viren & Würmer werden noch vor Spyware, Mitarbeiter-Fehlern und dem Austausch von Informationen per E-Mail als größtes Risiko empfunden.
- Security Lösungen werden zum überwiegenden Anteil nach den Integrationsmöglichkeiten mit der bestehenden Infrastruktur ausgewählt. Erst an zweiter Stelle liegen die Kosten, gefolgt von der gewünschten Einfachheit einer Implementierung.
- Als größte Herausforderung wird die steigende Komplexität der Sicherheitsbelange gesehen. Das steigende Volumen und die Komplexität des Netzwerkverkehrs liegt an zweiter Stelle, gefolgt von der Geringschätzung von Security-Maßnahmen durch die eigenen Mitarbeiter.
Hier gratis downloaden!
1/2012
8/2011
7/2011
Dr. Christine Wahlmüller-Schiller ist freie Autorin und Kommunikationsberaterin, spezialisiert auf die IT- und Telekom-Branche. 