7-1-2008 | Aus MONITOR 1/2008 Gedruckt am 21-08-2014 aus www.monitor.co.at/index.cfm/storyid/9356
Strategien

MONITOR-Diskussion

Österreichs KMUs fehlt noch das Security-Bewusstsein

IT-ISO-Zertifizierung: ein "Must have"? Unter diesem Titel lud der MONITOR Branchenvertreter Mitte November zur Gesprächsrunde.

Christine Wahlmüller

Im Uhrzeigersinn: Wahlmüller, Geyer, Schiemer, Stiller-Erdpresser, Mayer, Kotauczek, Fasching, Weber, Sigrid Bachinger, Pressesprecherin TA (als Zuhörerin), Nagy, Klemens, Strobl, Hainschink, Pollirer

Wozu im IT-Bereich zertifizieren? Sinn und Nutzen der ISO-Zertifizierung? Brauchen die Zertifizierung nur große Unternehmen oder macht es für KMU (Klein- und Mittelbetriebe) auch Sinn? Wie sieht die Kosten-Nutzen-Relation aus? Welche Faktoren spielen eine Rolle, um die ISO-Zertifizierung durchzuführen? Mit oder ohne Zertifikat, Security erfordert auf alle Fälle eine genau Durchleuchtung und Absicherung der Prozesse - darüber waren sich alle Teilnehmer einig.

ISO Normen gibt es schon lange. Weniger bekannt ist, dass auch im IT-Bereich ISO Normen vergeben werden. Allerdings sind die Standards noch sehr jung. ISO 27001 für Informationssicherheit gibt es seit Herbst 2005, ISO 20000 für IT-Service-Management folgte Anfang 2006. Die Zahl der nach ISO 27001 zertifizierten Unternehmen ist mit 17 in ganz Österreich noch relativ gering. Spitzenreiter ist Japan mit 2.317 zertifizierten Unternehmen, vor Großbritannien (363) und Indien (347). Aber auch Deutschland, Ungarn, Niederlande oder Tschechien liegen noch vor Österreich (vgl. Grafik 1). Bis dato tendieren vor allem große Unternehmen dazu, sich zertifizieren zu lassen. Für ISO 20000 gibt es noch gar keine weltweiten Statistiken. Hierzulande gibt es erst zwei zertifizierte Unternehmen nach ISO 20000: Siemens IT Solutions and Services sowie Logic4BIZ. Langsam beginnt die IT-ISO Zertifizierung auch in Österreich zu greifen: 23 Unternehmen sind laut CIS derzeit entweder in der Angebots- oder bereits in der Zertifizierungsphase.

Gemäß einer Studie des Frauenhofer Instituts bringt die Normierung generell Vorteile: Überall wo in einer Volkswirtschaft standardisiert und genormt wird, wächst die Wirtschaft ganz wesentlich, betonte Conect-Geschäftsführerin Bettina Hainschink. "Mit den Normen haben wir auch innerhalb des Unternehmens eine einfachere Zusammenarbeit und die Wirtschaft wird einfach auf ein anderes Niveau und eine andere Ebene gehoben", stellte Hainschink fest. Der Nutzen für Unternehmen sei daher nicht nur eine verbesserte Security, sondern auch insgesamt verbesserte Prozesse und eine verbesserte Kommunikation im Unternehmen.

Perspektive der Auditoren

"Es stärkt mit Sicherheit das Verständnis im Unternehmen und die Zusammenarbeit wird erleichtert", hob Markus Schiemer, Auditor für IT-ISO 20000, zur Einleitung den großen Nutzen für Unternehmer hervor. Wenn sich ein Unternehmen für diese Normen öffnen will, muss es aber auch den Management-Teil offen darlegen. "Nicht die fachliche Umsetzung macht Probleme, sondern wie gehe ich mit dem Management-Teil um", erläuterte Schiemer.

Auf die Historie ging Herbert Geyer, Auditor für IT-ISO 27001, ein: "Wir haben bereits 1998 bei Siemens mit der Umsetzung begonnen. Und Siemens war zwei, drei Jahre lang der Erste im deutschsprachigen Raum, der zertifiziert wurde." Am Start stand der technische Part im Mittelpunkt. "Der Nutzen ist nicht, Einzelmaßnahmen in der Informationssicherheit umzusetzen, sondern ein Instrument für Corporate Governance für Informationssicherheit zu haben. Dazu gehört Reporting, Melden und Monitoren von Sicherheitsvorfällen, aber nicht nur auf technischer Ebene, sondern auch wenn es um personelle, physische oder organisatorische Sicherheit geht", führte Geyer den gesamtheitlichen Ansatz aus. Geyer erläuterte, dass die Zertifizierung auch für Klein- und Mittelbetriebe interessant sein könnte. Während in Großbritannien die Normierung schon beinahe state-of-the-art ist, ist in Österreich das Bewusstsein noch nicht da. "Wir bemerken erst jetzt ein zunehmende Awareness in punkto Informationssicherheit auch bei KMUs", so Geyer.

 

KMUs und Eisbergprinzip

Dazu passend ging Thomas Nagy auf das von ihm entwickelte Eisbergprinzip ein. "Als Unternehmen konzentriert man sich auf der Spitze des Eisbergs, d.h. auf etwa 15 bis 20 Prozent, der Rest ist unter Wasser. Und das gilt auch für die Informationssicherheit", erklärte Nagy. "Datenverlust ist nicht spürbar und die Österreicher sind grundsätzlich skeptisch in punkto Normen", nannte Nagy Gründe für das bisher eher magere Interesse der KMUs in punkto IT-Security. "Sicherheit ist ein total emotionales und die ISO-Normierung ein total rationales Thema", sprach Nagy auch eine Diskrepanz an.

"Auch Tischler können Normen brauchen. Allerdings in anderer Art und Weise", brachte Hans-Jürgen Pollirer, einerseits Geschäftsführer von SecurData und andererseits Obmann der Bundessparte Information und Consulting der WKO, ein Beispiel aus dem KMU-Sektor ein. Die Bundessparte hat, um Awareness für das Thema zu wecken, die Aktion ITsafe.at gestartet. Dazu wurden auch IT-Security-Checks mit Experten angeboten, die in ganz Österreich rund 400 mal für Unternehmen mit bis zu zehn Mitarbeiter durchgeführt wurden. "Die Ergebnisse waren erschütternd", sagte Pollirer: Jedes zweite Unternehmen hat offene WLANs. 83 Prozent betreiben keine Trennung von Originaldaten und Backup. Im organisatorischen Bereich haben 64 Prozent keine Vorkehrungen, wenn ein Mitarbeiter das Unternehmen verlässt. "Aber viele angebotene Risk-Management-Systeme sind für KMUs total unbrauchbar", stellte Pollirer fest. Besser wäre auch eine Zertifizierung, angepasst für KMUs, schlug Pollirer vor. Man sollte nicht vergessen, dass Österreich ein Land der KMUs sei. "Am wichtigsten ist es aber jetzt, Awareness bei den KMUs zu schaffen, auch das Wirtschafts- und Unterrichts-Ministerium unterstützt jetzt die Aktion ITsafe.at", betonte Pollirer.

Kritik an Zertifizierung

"Die Awareness für Security ist ein ganz wichtiger Faktor", stimmte Markus Klemen, Geschäftsführer des Forschungszentrums Secur Business Austria, zu. "Viele KMUs haben aber noch ganz andere Probleme, die haben gar keine Zeit, sich mit IT-Normen zu beschäftigten", verwies Klemen auf die Realität im KMU-Alltag. "Objektiv halte ich zu viele Normen im KMU-Sektor fast für hinderlich. Viele Unternehmen können sich das auch nicht leisten", kritisierte Klemen. Andererseits würden sie aufgrund fehlender Zertifizierung dann bei Ausschreibungsverfahren ausgeschlossen. Viele KMUs kommen erst dann zum Thema Security und einer Analyse ihrer IT, wenn etwas passiert. "Wir haben Kunden aller Unternehmensgrößen, siebzig Prozent kommen aus dem KMU-Bereich, die Tischlerei, der Architekt oder der Detektiv", sagte Harald Fasching, Geschäftsführer von KUERT, spezialisiert auf Datenrettung. Wenn es zum Datenverlust kommt, taucht plötzlich die Frage auf: Was tun wir denn jetzt? Vielen wird die Katastrophe erst langsam bewusst. "Die Leute sind dann heillos froh, wenn man ihnen helfen kann", gab Fasching Einblick in die Praxis. "Die ISO-Zertifizierung selbst ist vollkommen egal, sondern es geht darum, dass man sich bewusst ist, was für Werte man in seiner "elektronischen Kiste" drinnen hat", verwies Fasching darauf, das Bewusstsein für die Bedeutung der Daten und deren Schutz zu entwickeln.

Eine Ansicht, der auch Josef Weber, Bereichsleiter Service & Network Operation bei der Telekom Austria, zustimmte: "Das wichtigste Gut des Unternehmens sind seine Daten - egal ob großes oder kleines Unternehmen. Wenn die Sicherheit nicht da ist, zum Beispiel beim Tischlereibetrieb, wenn wirklich etwas passiert, kann der wirtschaftliche Erfolg dieses Unternehmens massiv beeinträchtigt werden." Aber auch der menschliche Faktor darf nicht vernachlässigt werden. "Man muss die Mitarbeiter motivieren, bei Security mitzumachen. Es beginnt beim Risk Management und der Aufdeckung von Schwächen. Deswegen haben wir die Technik bei der Telekom Austria bewusst einmal hintangestellt", berichtete Weber. Als bewusstseinsbildende Maßnahme wurde erst unlängst bei der Telekom Austria ein Security-Tag für die Mitarbeiter abgehalten. "Wir machen die Norm nicht, um zu sagen: Wir sind zertifiziert. Meine Hauptgründe waren die Qualitätssteigerung und nachhaltig besser zu werden. Und dazu ist die Zertifizierung ein schönes Framework", fasste Weber zusammen.

 

 

Sichtweise der Zertifizierten

"Zertifizierung ist nicht irgendetwas, sondern sehr wichtig, um den inneren Schweinehund immer wieder zu überwinden", erklärte Elisebeth Stiller-Erdpresser, Security Expertin bei Siemens IT Solutions and Services. Mit der Normierung werde ein Prozess in Gang gesetzt, und es sei gut, dass die Prozesse Jahr für Jahr geprüft würden. Andernfalls würde sich ein gewisser "Schlendrian" wieder einschleichen. Sie sprach auch den kriminellen Aspekt an. Hackangriffe und Spionage könnten sehr viel Schaden, insbesondere auch bei kleinen Hightech-Unternehmen anrichten. "Viele Unternehmen sind sich dessen nicht bewusst. Erst getrieben von einer Norm müssen sie sich dann mit dem Thema auseinander setzen", beurteilte Stiller-Erdpresser die aktuelle Situation.

"Wir sind der größte Provider des Landes, und da spielt es sich täglich ganz grausig ab in punkto Würmer, Viren, Bedrohungen", bestätigte Josef Weber von der Telekom Austria. "Aber auch die internen Attacken dürfen nicht unterschätzt werden. Stichwort USB-Stick: Wir haben unsere 18.000 PCs für USB-Sticks gesperrt", fügte Weber hinzu.

Eines war allen Teilnehmern klar: Der Zertifizierungsprozess geht nicht von heute auf morgen. "Die Zertifizierung ist der krönende Abschluss eines Prozesses, der sehr lange dauern kann", meinte Karl Heinz Mayer von HP. Es sei wichtig, das Thema gesamtheitlich zu betrachten. "Die große Herausforderung ist es, die Norm auf den jeweiligen Anwendungsfall zu übersetzen", fasste Mayer zusammen. Die Norm müsse so umgesetzt werden, dass sie den Unternehmen helfen kann, die Prozesse zu optimieren und nicht das Unternehmen zu behindern. Er sprach auch die Überschneidung der Normen an. "In Zukunft wird es ein Managementsystem geben, um mehrere Normen parallel zu steuern", prognostizierte Mayer. "Der große Vorteil ist, dass ich den laufenden Prozess immer wieder verbessere und überprüfe", meinte er. "Die Zertifizierung stellt mit Sicherheit auch einen Investitionsschutz dar", stellte CIS-Auditor Schiemer fest. "Im wesentlichen geht es darum: Habe ich mein Geschäft im Griff?", fasste Schiemer zusammen.

Ohne Zertifizierung kein Auftrag

Bei vielen Ausschreibungen ist die Zertifizierung heute schon Vorschrift, wer nicht zertifiziert ist, kann den Auftrag nicht bekommen. "In Tschechien hätten wir sonst gar nicht anbieten brauchen, und jetzt bei der britischen Mautmiete war es eine wichtige Voraussetzung", bestätigte Harald Strobl von Kapsch BusinessCom, der darauf verwies, dass die Materie viel komplexer geworden sei: "Heute müssen wir uns viel mehr mit Risk-Management, physischer Sicherheit sowie Datenschutz beschäftigen."

"Im anglikanischen Raum wird die Zertifizierung nicht als Zwang wie bei uns, sondern als Notwendigkeit betrachtet", brachte Christof Kotauczek, Assistent des Vorstandes bei BEKO, eine Sichtweise über die Landesgrenzen hinweg in die Diskussion ein. Er propagierte eine Art "Baukastensystem" für die Normierung, individuell anwendbar für das jeweilige Unternehmen. Für die Zukunft ist sicher ein kombiniertes Audit empfehlenswert. "Wir haben heuer im Sommer auch das kombinierte Audit ISO 27001 und ISO 20000 gemacht", berichtete Elisabeth Stiller-Erdpresser.

Neue Technologien und Zukunft

"Egal, wie schnell sich die Technologie wandelt oder neue Technologien dazukommen, das Managementsystem muss in der Lage sein damit zeitgerecht fürs Unternehmen umzugehen", sprach CIS-Auditor Geyer den großen Benefit für Unternehmen an. Der falsche Ansatz sei, wenn ein Unternehmen sagt: "Haben wir uns halt auch der Norm unterworfen." "Die Norm und die Auditierung sind an sich toll, aber das Problem liegt davor. Es ist notwendig, neben Fachwissen auch soziale Kompetenz hinein zu bringen", meinte Buchautor Nagy, der zusätzlich die interne Motivation "vom Management bis zur Putzfrau" zur Zertifizierung als wichtige Voraussetzung herausstrich. "Es reicht nicht, einen Kurs abzuhalten, sondern man muss es ständig vermitteln. Es ist ein langer Prozess und das Management muss es vor allem mittragen", stimmte Josef Weber zu. "Wenn neue Technologien kommen, kann gar nicht passieren, dass wir darauf vergessen, Sicherheitsmaßnahmen dafür aufzusetzen, weil es ja vom System (aufgrund der 27001 Zertifizierung) schon gefordert wird, damit ich meinen Rahmen einhalten kann", erklärte Elisabeth Stiller-Erdpresser. Sie wies darauf hin, dass viele, auch kleinere Kunden jetzt mit dem Anliegen kommen würden, die Unternehmens-Prozesse gemäß der 27001 Norm aufzusetzen, "die Zertifizierung ist nach Erledigung der Aufgaben dann die Königsklasse", meinte Stiller-Erdpresser. "Es ist auch ein Druck, dass die IT-Abteilung vom Kostenverursacher zum Service-Provider transformiert werden muss", wies Mayer von HP auf eine Motivation der Unternehmen hin. Die IT werde immer mehr als Business-Enabler betrachtet. Der beste Start dazu sei die Norm.

"Am wichtigsten ist es, die Sicherheit zu gewährleisten, und dazu gehört vor allem dazu, den Mitarbeitern plakativ zu vermitteln, warum man etwas getan hat", ging Strobl nochmals auf den internen Faktor ein. "Wir versuchen gerade mit der OCG (Österr. Computer Gesellschaft) ein Security-Zertifikat zu entwickeln, damit man eine Motivation schafft, warum ein Mitarbeiter da mitmachen sollen", erklärte Markus Klemen, Geschäftsführer von Secur Business Austria, eine Maßnahme in Richtung Security-Awareness. Die Unternehmen sollten den Faktor Mitarbeiter noch viel mehr berücksichtigen, so Klemen. "Das ist insbesondere im Zeitalter von OpenSource und Web 2.0 von Bedeutung", fügte Christof Kotauczek hinzu. Allerdings sei eine 100 prozentige Security sicher nie möglich.

 
ISO 27001 und ISO 20000

ISO 27001

Der Standard für Informationssicherheit ISO 27001 wurde im Herbst 2005 von der International Organization for Standardization aus der Taufe gehoben. Damit fiel der Startschuss für die globale Verbreitung einer zertifizierbaren Security-Norm, die über rein technische IT-Sicherheit auch andere Aspekte wie Mitarbeiter-Awareness, Zutrittskontrolle oder Brandschutz einbezieht. Der dazugehörige Implementierungsleitfaden ISO 27002 (ehemals ISO 17799) ermöglicht, ein Managementsystem mit kontinuierlicher Prozessverbesserung aufzubauen, welches den Anforderungen der Zertifizierungsnorm ISO 27001 entspricht.

Immer mehr Gesetze, EU-Richtlinien und internationale Abkommen von Sarbanes Oxley bis Basel II verlangen Nachweise für Informationssicherheit nach anerkannten Standards. ISO 27001 ist derzeit der einzige zertifizierbare Standard weltweit.

ISO 20000

Der Standard für IT Service Management ISO 20000 wurde Anfang 2006 veröffentlicht und baut direkt auf der anerkannten IT Infrastructure Library (ITIL) auf. Während ITIL auf 1600 Seiten IT-Prozesse von Release- bis Problem Management detailliert beschreibt, fokussiert sich ISO 20000 auf rund 23 Seiten auf die Kernforderungen an ein professionelles IT Service Management. Der Vorteil liegt in der Adaptierung von ITIL-Prozessen auf die tatsächlichen Bedürfnisse von Unternehmen, da ISO 20000 in der Umsetzung Spielraum zulässt. Ziel der ISO 20000 ist die Verbesserung von Qualität und Effizienz von IT-Dienstleistungen. ISO 20000 ist im Gegensatz zu ITIL zertifizierbar, womit Wettbewerbsvorteile durch standardisierter Prozesse mittels Zertifikat für Kunden sichtbar werden. Aufgrund ähnlicher Strukturen lassen sich verschiedene ISO-Standards z.B. gemeinsam mit ISO 9001 zu einem einheitlichen System integrieren.

www.cis-cert.com

 

 

Teilnehmer (alphabetisch):
  • Mag. Harald Fasching, GF KUERT Information Management GmbH, Datenrettung und IT-Sicherheit
  • DI Herfried Geyer, Auditor für ISO 27001/Informationssicherheit, CIS Certification & Information Security Services GmbH
  • Mag. Bettina Hainschink, GF Conect Eventmanagement
  • Mag. Markus D. Klemen, GF Secure Business Austria, Forschungszentrum
  • Ing. Christof Kotauczek, Assistent des Vorstandes, BEKO Holding AG
  • Karl Heinz Mayer, MSc, Practice Principle Infrastucture, HP Österreich
  • Thomas J. Nagy, Buchautor ("Der Informationssicherheitsberater und das Eisbergprinzip") und Gründer der "Eisberg-Group".
  • KommR Hans-Jürgen Pollirer, GF Secur-Data und Obmann der Bundessparte Information und Consulting der WKO
  • Markus Schiemer, Auditor für ISO 20000/IT Service Management, CIS - Certification & Information Security Services GmbH
  • Dr. Elisabeth Stiller-Erdpresser, Sales Expert Security, Siemens IT Solutions and Services
  • Ing. Harald Strobl, Leitung Qualitäts- und Informationssicherheits-Management sowie Lehrlingsausbildung, Kapsch BusinessCom
  • DI Josef Weber, Bereichsleiter Service &Network Operation, Telekom Austria (zertifiziert seit 2005)

Moderation:

  • Dr. Christine Wahlmüller-Schiller

Fotograf:

  • Rudi Handl

Ort der Diskussion:

  • Conect, 1070 Wien, Kaiserstraße 14

(Alle Fotos: Rudi Handl/Timeline)

  • Artikel bookmarken
  • del.icio.us
  • Mister Wong
  • Yahoo MyWeb

Userkommentare

DISQUS ist ein Service von disqus.com und unabhängig von monitor.at - siehe die Hinweise zum Datenschutz der DISQUS-Kommentarfunktion

comments powered by Disqus