Erscheckend: "Über 90 Prozent der KMUs sind mit einem Schlag außer Gefecht zu setzen"

Brandschutz und Umweltschutz seien heute schon selbstverständlich, mit der Security sei das aber nicht so. KMUs fehlt einfach das Security-Bewusstsein, der Leidensdruck ist (noch) nicht so groß. Aber lesen Sie selbst, was die zehn Brancheninsider über Security 2006 und 2007 denken.

Klein- und Mittelbetriebe tragen die österreichische Wirtschaft. Und wie die aktuelle Entwicklung zeigt: Sie nutzen auch immer mehr das Internet, auch zur Abbildung von Geschäftsprozessen. Damit verbunden erhöht sich natürlich das potentielle Sicherheitsrisiko. Allein, den KMUs fehle es an der nötigen Security, stellte Co-Moderator Manfred Wöhrl zu Beginn der MONITOR Security-Gesprächsrunde in den Raum. "Wir machen derzeit mit dem WIFI ein Projekt, wo wir KMUs checken und es ist fürchterlich, was wir da antreffen. Weit über 90 % der KMUs sind mit einem Schlag außer Gefecht zu setzen", berichtete Wöhrl über seine Erfahrungen. Es bestehe daher zwar ein großer Security-Bedarf, allein das Bedürfnis fehle noch. Und noch einen Spruch hatte Wöhrl auf Lager: "Security wird verkauft, ein Handy wird gekauft."

Fast alle Teilnehmer gestanden ein, bis dato vor allem Großkunden im Visier gehabt zu haben. Da gibt es natürlich IT-Security-Maßnahmen. "Aber ich war heute bei einem Großkunden und selbst dort sind die Controller und das Management der Meinung: Was gibt es denn bei uns schon zu stehlen?", schilderte Michael Gruber, Geschäftsführer von schoeller networks, seine Erfahrungen.

"Vor allem die Kosten-Nutzenfrage wird von den Unternehmen gestellt", bemerkte Andreas Schuster, Verkaufsleiter des IT-Distributors Cetus-IT. "Wir stellen immer wieder fest, dass IT als Kostenfaktor gesehen wird, und dass der Nutzen von Security nicht erkannt wird", so Gabriele Bolek-Fügl vom Wirtschaftsprüfer Deloitte und verantwortlich für IT-Risiko-Abschätzung im Zuge der Jahresabschlussprüfung. Wichtig sei, mit den drei Säulen Technik, Organisation und Mitarbeiter den Bereich Security abzudecken, so ihr Tipp an alle Unternehmen.

Schwierig, Security zu verkaufen

Bei der Telekom Austria ist Security naturgemäß schon lange ein Thema, ob physische Sicherheit, d.h. Housing, Hosting, generell die sichere Verwahrung von Daten, oder aber die Sicherheit, was Datennetze und Internet betrifft. "Wir setzen seit zwei Jahren einen KMU-Schwerpunkt. Um es positiv zu formulieren: Es sind noch Riesen-Potenziale vorhanden", betonte Edmund Haberbusch, PM-Leiter für Klein- und Mittelbetriebe bei der Telekom Austria (TA). Auch bei der TA setzt man daher vor allem auf Bewusstseinsbildung mit Audits und Möglichkeiten, das Risiko bewertbar zu machen. Allerdings verdeutlichte Haberbusch auch die Schwierigkeit, Security an den Mann zu bringen. "In letzter Konsequenz steht man einem Kaufmann gegenüber und der IT-Leiter ist der Verbündete, der sagt: Hilf mir", so seine Erfahrung. Security sei außerdem keine einmaliges Event, sondern etwas, wo ein gewisser Wartungsbedarf vorhanden sei und laufend investiert werden müsse.

Eine Möglichkeit, den Unternehmen Security näher zu bringen, sei die Zertifizierung. "Wir haben seit einem Jahr die ISO27001 Norm", gab Christoph Seidel, beim TÜV Österreich verantwortlich für die IT-Zertifizierung, Einblick in eine mögliche Belebung des Security-Markts. Demgegenüber äußerste sich Martin Eiszner, CTO des IT-Dienstleisters Sec-Consult, skeptisch: "In Österreich werden sehr wenig Infos gestohlen, im Vergleich zu anderen Ländern, wir sprechen von einem nicht vorhandenen Leidensdruck." Große Unternehmen würden sehr wohl auf Security setzen. Sec-Consult bietet einerseits die Organisations-Prozesschiene bis hin zu ISO270001 Zertifizierungen, andererseits auch die technische Schiene inklusive Überprüfungen.

"Sicherheit muss in Projekte hinein verkauft werden, und die Schulung des IT-Personal ist vordringlich", meinte wiederum Rainer Hörbe, verantwortlich für Identity Management und Projektleiter Portalbereich bei BEKO. Nicht der Leidensdruck, sondern gesetzliche Vorgaben würden KMUs oder Gemeinden dazu bringen, Security umzusetzen. Wie z.B. beim Projekt Zentrales Melderegister, wo Security eine große Rolle spielt.