"Business Security" sichert Geschäftserfolg

Angesichts der angespannten wirtschaftlichen Situation und des immer heftigeren Konkurrenzkampfes wird zurzeit Wirtschaftsspionage betrieben, wie nie zuvor. "Es laufen Wirtschaftskriege ab, über die in der Öffentlichkeit nicht gesprochen wird", berichtet Hartmut Pohl, Professor am Institut für Informationssicherheit (ISIS) in Köln.

Oft werden Sabotage und Spionage nicht einmal bemerkt. Da ärgern sich die Verantwortlichen über die wieder einmal ausgefallenen IT-Systeme, vielleicht gerade kurz vor Abgabetermin eines Angebots, und bemerken erst beim Nachprüfen, dass ein externer Angriff oder die Machenschaften eines internen Mitarbeiters die Systeme lahm gelegt haben. Ein Trend, den auch Innenminister Ernst Strasser bestätigt, der berichtet, dass die Zahl der Fälle von Computer- und Internetkriminalität in Österreich stark ansteigt und daher von der Exekutive verstärkt die Zusammenarbeit mit der Wirtschaft gesucht wird.

Eine KPMG-Umfrage unter den 500 größten heimischen Unternehmen ergab, dass ein Drittel der Firmen in den letzten Jahren von Wirtschaftskriminalität betroffen war. In Deutschland gaben bei einer ähnlichen Untersuchung 61 Prozent der Firmen an, in Wirtschaftskriminalität verwickelt gewesen zu sein. Die Autoren der KPMG-Studie nehmen daher an, dass die Dunkelziffer in Österreich ähnlich hoch ist. Hier geht es also nicht nur um die technische Sicherheit, sondern um die Überprüfung sämtlicher geschäftsrelevanter Prozesse nach definierten Sicherheitskriterien zur Absicherung des Geschäftserfolges. Siemens Business Services bezeichnet diesen neuheitlichen und übergreifenden Ansatz als "Business Security".

Ganzheitliches Sicherheitskonzept

Die Schadenssummen, die durch IT-Sicherheitslücken entstehen, steigen von Jahr zu Jahr. Schon ein Prozent IT-Ausfall bedeutet 88 Stunden Stillstand im Jahr - eine Unterbrechung der Geschäftstätigkeit, die sich kaum ein Unternehmen leisten kann. Die fatalen Folgen der schlechten Geschäftssicherheit sind nicht nur materielle Einbußen in Millionenhöhe, sondern auch Verlust an Kundenzufriedenheit und Unternehmensimage. Die IT-Infrastruktur ist ein wesentliches Kriterium für die Stabilität und Verfügbarkeit vieler Geschäftsprozesse. Je höher die Verfügbarkeit der Systeme, desto geringer sind die Kosten, die aufgrund von Ausfällen entstehen. Allerdings heißt zunehmende Verfügbarkeit auch höhere Investitionen in die IT. Ein kostenoptimaler Schutz ist das Ziel - d.h. die Balance zwischen Über- und Unterversorgung.

Dass in den Betrieben auf die Gefahrenpotenziale reagiert wird, zeigt die Marktentwicklung: Allein in Europa sollen 2005 laut Frost & Sullivan 21,8 Milliarden Euro für Netzsicherheit ausgegeben werden. Wobei eine beliebige Anhäufung von verstreuten Maßnahmen jedoch nicht ausreicht, um sich vor Datendiebstahl und Ausfällen zu schützen. "Risiken können nur durch ein ganzheitliches Sicherheitskonzept erfolgreich minimiert werden. Technik allein genügt nicht für die Lösung von Sicherheitsproblemen, Business Security durchzieht alle Geschäftsprozesse und es müssen Verantwortlichkeiten auf allen Ebenen einer Organisation definiert werden", betont Dr. Albert Felbauer, Geschäftsführer von Siemens Business Services Österreich.

Vertraulichkeit, Integrität und Verfügbarkeit

Wenn es um Sicherheit von EDV-Anlagen und Unternehmensnetzwerken geht, sind also Profis gefragt. Siemens Business Services wurde bereits 1999 - als erstes Unternehmen in Österreich - nach dem British Standard BS 7799 zertifiziert. Die Sicherheitsexperten von Siemens Business Services beraten produktneutral. "Uns geht es darum, die Sicherheit unserer Kunden kontinuierlich und dauerhaft zu erhöhen", so Dr. Albert Felbauer. Um Vertraulichkeit, Integrität und Verfügbarkeit von Informationen, Anwendungen und Systemen gewährleisten zu können, werden gemeinsam mit ManagerInnen, Sicherheitsbeauftragten bzw. AnwenderInnen Security Policies erarbeitet. "Die Installation einer Anti-Viren-Software genügt nicht. Den MitarbeiterInnen muss gesagt werden, was sie genau tun oder unterlassen sollen, falls eine Virenschutzwarnung auf dem PC-Bildschirm angezeigt wird," betont Felbauer die Notwendigkeit, konkrete Verhaltensweisen für sicherheitsrelevante Situationen zu entwickeln.

Risiko in den eigenen Reihen

Die eigenen MitarbeiterInnen stellen nämlich ein bislang zuwenig beachtetes Sicherheitsrisiko für die Unternehmensnetzwerke dar. Der Anteil der Sicherheitsprobleme, die nicht von wilden Hackern im Cyberspace, sondern von den eigenen KollegInnen verursacht wird, ist beträchtlich: Verschiedene Untersuchungen zeigen, dass 65 bis 80 Prozent der Angriffe und Fehler im eigenen Unternehmen passieren. Meist ist es Nachlässigkeit, die zu Problemen führt - zum Beispiel wenn ein Mitarbeiter seinen Arbeitsplatz verlässt und damit den Datenzugang offen lässt. Auch der schönste Passwortschutz in Kombination mit Bildschirmschonern nutzt wenig, wenn ohnehin jeder in der Firma die Passwörter kennt oder der Zugriffsschutz deaktiviert ist.

Firewalls und Hacking-Maschinen

Übergriffe aus dem Web können Firewalls verhindern, eine aus Hard- und/oder Software bestehende Barriere zwischen dem "Innen" (Intranet/LAN) und dem "Außen" (Internet/Extranet). Allerdings sind Firewalls nicht hundertprozentig sicher. Das US-Verteidigungsministerium hat in einer Studie festgestellt, dass Firewalls im Schnitt nur 38 Prozent der Angriffe erfolgreich abwehren. Betriebe, die auf Nummer sicher gehen wollen, kommen nicht darum herum, ihre unternehmensweiten IT-Netzwerke immer wieder auf Sicherheitsmängel abzuklopfen. Das erfordert oft einen erheblichen personellen und finanziellen Aufwand und legt ganze Netzwerke zeitweise lahm.

Eine Alternative bietet eine Siemens-Entwicklung namens PASU (Permanente Automatisierte Sicherheitsüberprüfung). Diese Maschine simuliert das Verhalten eines Hackers und arbeitet rund um die Uhr, 365 Tage im Jahr. Plattformübergreifend werden das gesamte Unternehmensnetzwerk untersucht und Sicherheitslücken aufgezeigt.

Sicherheitstechnische Anlagen

Neben dem Risiko von Datenverlusten müssen natürlich auch Feuer, Einbruch und Diebstahl in eine ganzheitliche Sicherheitsstrategie mit einbezogen werden. Laut Innenministerium wird täglich alle 45 Minuten in Geschäftsräume, Fabriken und Lager eingebrochen. In Österreich bietet Siemens seit über 30 Jahren sicherheitstechnische Anlagen an - von der Brandmeldeanlage bis zur Videoüberwachung. Während also das Bedürfnis nach Sicherheit wächst, rüstet die Technik kräftig auf. Wichtigste Voraussetzung für sichere Daten und entspannte ManagerInnen ist aber die konsequente Entwicklung einer umfassenden Sicherheitsstrategie und die Umsetzung einer Business Security Strategie, die neben möglichst flexiblen technischen Maßnahmen Organisation und Schulung der MitarbeiterInnen einbezieht.

http://www.sbs.at

---

Die Hacking-Maschine

Der Verbundkonzern will es bei der Datensicherheit genau wissen. Um Möglichkeiten der Manipulation auszuschließen, wird das gesamte IT-System ständigen simulierten Hackerangriffen ausgesetzt.

Mit Hilfe der Permanenten Automatisierten Sicherheitsüberprüfung (PASU) simulieren die Experten von Siemens Business Services typisches Hackerverhalten. Dabei legen sie eine Ausdauer an den Tag, von der auch die eifrigsten Netz-Ganoven nur träumen können: 24 Stunden am Tag, 365 Tage im Jahr wird das gesamte Netzwerk plattformübergreifend untersucht, ohne dass dabei der laufende Betrieb der Systeme gestört wird.

"Sicherheit spielt bei uns eine enorm wichtige Rolle. Im Konzernnetzwerk sind nicht nur das Büro-LAN mit rund 3.500 Anschlüssen, sondern auch die E-Commerce-Plattformen sowie die technischen Bereiche der Prozessleittechnik und Telekommunikation integriert", betont Christian Aschenberger, IT-Sicherheitsverantwortlicher des Verbundkonzerns. "Eine Sicherheitsüberprüfung einmal im Jahr, oder alle sechs Monate reicht längst nicht mehr aus."

Grundlage der permanenten Netzanalyse ist eine von Siemens Österreich entwickelte Hacking-Maschine, die im Hochsicherheitstrakt des Siemens Rechenzentrums in Wien-Floridsdorf steht. Entdeckt die Software eine Sicherheitslücke im Netz, erhält der betroffene Anwender eine Verständigung auf seinem Bildschirm. Gleichzeitig wird per E-Mail der Administrator benachrichtigt, der zusätzlich einen automatisierten Fehlerbericht per Intranet abrufen kann.

---

Security Policy für Amt der Steiermärkischen Landesregierung

Siemens Business Services (SBS) hat für das Amt der Steiermärkischen Landesregierung ein Informationssicherheits-Managementsystem erstellt.

Ziel des Projekts war vor allem die Durchsetzung und Aufrechterhaltung eines angemessenen IT-Sicherheitsniveaus für die gesamte Landesverwaltung. Im Besonderen soll damit auch das Sicherheits- und Problembewusstsein aller MitarbeiterInnen erhöht werden.

Das IT-Sicherheitsmanagement umfasst die organisatorischen, IT-technischen und baulichen Bereiche. Dazu gehören die Erstellung einer Security Policy sowie die Definition eines Maßnahmenkataloges als Basis für Management-Entscheidungen. Konkret geht es dabei um die Einführung eines IT-Sicherheitsprozesses, die Erstellung einer klaren Sicherheitspolitik und um interne Schulungsmaßnahmen für alle MitarbeiterInnen.

Für das Amt der Steiermärkischen Landesregierung ergeben sich durch die neu gestalteten Security-Prozesse wesentliche Vorteile. Vorhandene Schwachstellen und Lücken in der Sicherheit werden identifiziert und beseitigt. Ein dauerhaftes IT-Sicherheitsmanagement sorgt langfristig für die Vermeidung der festgestellten und möglicher weiterer Fehlerquellen. Gleichzeitig werden durch professionelle IT-Services höchste Anforderungen an Verfügbarkeit und Sicherheit der IT-Infrastruktur erfüllt.

"Die kompetente Beratung durch die Security-Experten von SBS bei der Abfassung einer Sicherheitspolitik ermöglichte uns eine zielgerichtete und insgesamt wirtschaftlichere Etablierung eines wirksamen Sicherheitsmanagements", erläutert Hofrat Mag. Werner Thaller, Leiter der EDV-Abteilung des Amtes der Steiermärkischen Landesregierung.