IT-Sicherheit: großer Aufholbedarf

Während Großbetriebe die IT-Sicherheit inzwischen recht gut im Griff haben, besteht bei den vielen Klein- und Mittelbetrieben (KMUs) Österreichs weiter erheblicher Aufholbedarf. Daher versammelten sich Mitte Oktober auf Einladung des MONITOR zehn Brancheninsider beim TÜV in der Wiener Innenstadt und diskutierten die aktuellen IT-Sicherheitsfragen.

Während Brand- und Umweltschutz nach vielen Jahren Aufbauarbeit heute auch für KMUs selbstverständlich und verpflichtend sind, fehlt bei der IT-Sicherheit weiterhin das Bewusstsein und der Leidensdruck. Co-Moderator Manfred Wöhrl (seine MONITOR-Kolumne finden Sie diesmal ab S. 30): "Wir machen derzeit mit dem WIFI ein Projekt, wo wir KMUs checken und es ist fürchterlich, was wir da antreffen. Weit über 90% sind mit einem Schlag außer Gefecht zu setzen!" Oft werden nur in den Unternehmen nämlich nur die Kosten von Sicherheit gesehen und nicht ihr Nutzen: "Wir stellen immer wieder fest, dass IT als Kostenfaktor gesehen wird, und dass der Nutzen von Security nicht erkannt wird", so Gabriele Bolek-Fügl vom Wirtschaftsprüfer Deloitte. Wichtig sei, mit den drei Säulen Technik, Organisation und Mitarbeiter den Bereich Sicherheit abzudecken, so ihr Tipp an alle Unternehmen. Lesen Sie die ganze Diskussion ab S. 14.

Umfassende Sicht

Dominik Troger bat zum "Thema" Gerhard Krennmair, Direktor HP Services, zum Gespräch (S. 21). Er stellt etwa fest, dass sich die meisten Unternehmen bereits gegen die vielfältigen Bedrohungen von außen wie Viren oder Hacker-Angriffe durch technische Maßnahmen abgesichert haben, aber die internen Gefahrenquellen wie Prozesse und Verhaltensweisen von Menschen sowie das Management der installierten Lösungen übersehen. Dabei sei aber nur über eine umfassende Sicht umfassende Sicherheit zu erreichen. Ganzheitliches, zentral gesteuertes "Information Security Management" werde deshalb in Zukunft stark an Bedeutung gewinnen.

Unsere US-Korrespondentin Alexandra Riegler wiederum gibt in ihrem Beitrag ab S. 22 einen Überblick über sogenannte "Intrusion Prevention Systeme" (IPS), die Datenströme nach Auffälligkeiten absuchen und im Fall des Falles "zum Angriff blasen". Innovative Lösungen kommen dabei nicht nur von den Großen im Business: Ein Blick auf spezialisierte Anbieter in den USA liefert eine kleine, aber feine Palette richtungsweisender Software und Appliances. Diese Lösungen versperren nicht nur Ein- und Ausgänge von Netzwerken und analysieren oberflächliche Protokollschichten, sondern lassen tief blicken: IPS geben den Blick bis auf die Anwendungsebene frei und versuchen mittels Analyse des Datenverkehrs Gefahren zuvorzukommen. Wichtig ist dabei jedoch, den regulären Datenverkehr nicht zu blockieren.

Datenverschlüsselung und Online-Sicherheit

Der auf dem Taxi-Rücksitz vergessene Laptop lädt immer wieder zum Datenklau ein. Deshalb boomt der Markt für Verschlüsselungslösungen von der Festplatte bis hin zum mobilen Endgerät. Dabei fällt allerdings die richte Auswahl nicht leicht, fand MONITOR-Autor Lothar Lochmaier, denn jeder Hersteller verfolge seine eigene Marktstrategie. Jährlich werden weltweit über 1 Mio. Notebooks und PDAs gestohlen. Auch eine aktuelle Microsoft-Sicherheitsstudie bestätigt den Trend, dass mobile Systeme sich zum wachsenden Sicherheitsrisiko für die Unternehmen entwickelt haben. Deshalb verwundert es kaum, dass der Markt für Verschlüsselungslösungen prosperiert. So verstärkt etwa SafeBoot, ein Spezialist für Verschlüsselungslösungen, derzeit seine Präsenz auf dem europäischen Markt. Am Markt tummelt sich aber schon eine Riege etablierter Anbieter wie Checkpoint, RSA Security, Symantec, Cisco oder Juniper. Und von diesen klingenden Namen propagiert mittlerweile jeder Hersteller sein eigenes Konzept. Bringen Sie sich also ab S. 28 auf den neuesten Stand bei der Datenverschlüsselung.

Ab S. 40 hat sich unser Autor auch noch die Situation im Onlinebereich angesehen: Rund 80% der Webshops, E-Business-Portale oder Homepages von Unternehmen sind laut Expertenschätzungen löchrig. Schon relativ simple Attacken wie Cross Site Scripting oder SQL-Injection bringen so manchen Shop in Bedrängnis. Kein Wunder also, dass sich bei rund 80% der getesteten Internetseiten binnen 30 Minuten mindestens ein Schlupfloch finden lässt. Und die wachsende Anzahl an Cracking Tools mit automatisierten Angriffsmöglichkeiten bieten die Chance, kleine Schwächen in Webanwendungen auszunutzen. Daher hat Lochmaier zwei Forscher der Technischen Universität Wien zum Interview gebeten und zehn Tipps zum Schutz von Web-Applikationen zusammengestellt.

Ein interessantes und informatives Lese-Vergnügen, auch in unseren Rubriken abseits der aktuellen Sicherheitsthematik, wünscht Ihnen Ihr