Thought Leadership
Dr. Volker Scheidemann, Applied Security GmbH, über Sicherheitslücken und Datenpannen aus dem Bereich der IT und Netzwerke.
Eines ist gewiss: Auch in diesem Jahr wird es sie wieder geben, die Meldungen von Sicherheitslücken und Datenpannen aus dem Bereich der IT und Computernetzwerke. Wie kann man sich zuverlässig schützen und mit welchen Trends ist für das neue Jahr zu rechnen?
Auch 2009 gab es wieder eine ganze Reihe von Fällen, in denen Unternehmen besonders kritische Daten abhanden gekommen sind. Überrascht hat uns keiner der Fälle, da unserer Erfahrung nach IT-Sicherheit noch immer von der Mehrzahl der Unternehmen nicht ernst genug genommen wird. Positiv überrascht hätte mich, wenn sich die Einstellung der Unternehmen grundsätzlich geändert hätte.
Vor allem die Wirtschaftskrise hat im abgelaufenen Jahr zu einer deutlichen Kostenzurückhaltung bei Unternehmen geführt. Dadurch sind vielerorts auch lange geplante Investitionen verschoben und Sicherheitslücken nicht geschlossen worden. Etliche Unternehmen haben das sorgsam geplante IT-Sicherheitskonzept dann eben doch nicht implementiert, sondern sich entschieden, ihre Ausgaben zu kürzen. Selbst große Firmen bilden da keine Ausnahme. Ich hoffe allerdings im Interesse der Unternehmen stark darauf, dass dieser Trend mit dem Abflauen der Wirtschaftskrise ebenfalls zu Ende geht. Damit es nicht irgendwann zum Datenklau-GAU kommt.
Welche Maßnahmen sind für einen proaktiven Schutz notwendig und sinnvoll?
Wir raten: Wer sein Netzwerk wirklich sicher schützen will, der setzt am besten auf umfassende Verschlüsselungsmaßnahmen, nicht nur für Laptops oder E-Mails. Vor allem die Millionen von Dokumenten, die täglich in den Firmen produziert und auf Dateiservern gespeichert werden, müssen besser geschützt werden. Sie enthalten das geistige Kapital eines Unternehmens. Hier sehen wir noch großen Nachholbedarf.
Aber am wichtigsten überhaupt scheint uns ein Umdenken zu sein. Wir Deutschen neigen dazu, immer eine vollkommene Lösung zu suchen, die hundertprozentige Sicherheit verspricht. Wenn die nicht zu haben ist, verzichten wir gleich ganz. Experten wissen, dass es vollständige IT-Sicherheit gar nicht geben kann. Deshalb plädiere ich für einen Ansatz nach dem Pareto-Prinzip. 80 Prozent der Maßnahmen für mehr Sicherheit lassen sich schon mit 20 Prozent des Gesamtaufwands erreichen. Das ist kosteneffektiv und ergibt eine gute Absicherung.
Die größte Sicherheitslücke
Die größte Lücke schafft jedoch der Mensch selbst. Erstens, weil die meisten Sicherheitsprobleme aus alltäglichen menschlichen Fehlern resultieren. Und zweitens, weil viele Verantwortliche denken, dass ihnen schon nichts passieren wird. Deshalb verzichten sie auf ausreichende Sicherheitsmaßnahmen. Hier liegt das größte Problem. Aus technischer Sicht ist vor allem die umfassende Verschlüsselung sensibler Dokumente nötig, gepaart mit einem intelligenten Zugriffsmanagement. Die wenigsten Unternehmen haben so etwas, dabei gibt es gute Lösungen am Markt.
Viele Verantwortliche erkennen den Nutzen der IT-Sicherheit zu wenig, weil er sich nicht mit einem konkreten „Return on Investment“ belegen lässt. Erst wenn das Kind in den Brunnen gefallen ist und Daten abhanden gekommen sind, setzt umso lauteres Wehklagen ein. Laut Studien des Ponemon Institutes liegt der durchschnittliche Schaden eines Datenverlustes bei über 2 Millionen Euro. Eine Investition von sagen wir 10.000 Euro in die IT-Sicherheit gilt den meisten Unternehmen aber schon als viel zu hoch. Diese Diskrepanz verstehe, wer will.
Das Bemühen um IT-Sicherheit wird als störend empfunden und steht im Verdacht, die Arbeitseffizienz zu behindern. Deshalb erleben wir es oft, dass andere IT-Projekte der Sicherheit vorgezogen werden. Moderne Sicherheitsprodukte wie etwa unsere eigene Lösung fideAS file enterprise sind gerade daraufhin ausgerichtet, die regelmäßigen Arbeitsabläufe nicht zu stören. Sie laufen unsichtbar als Hintergrundprozess. Aber das wissen viele Entscheider einfach nicht.
Trends für 2010
Und welche neuen Trends erwarten wir für 2010? Durch neue gesetzliche Regelungen in Deutschland und der EU dürfte die Nachfrage nach wirksamen Schutzmechanismen deutlich zunehmen. Denn das Bundesdatenschutzgesetz hat Datenschutzverletzungen, die durch mangelnde Absicherung entstanden sind, nicht nur mit höheren Bußgeldern versehen, sondern verlangt erstmals von den Unternehmen, zu veröffentlichen, wenn Daten ihrer Kunden oder Mitarbeiter in die falschen Hände gelangt sind. Die Angst vor dem daraus resultierenden Imageschaden wird dabei ein entscheidender Faktor sein. Leider ist es immer noch so, dass die Angst am besten dazu motiviert, wirksame Sicherheitsmaßnahmen zu ergreifen. Das liegt in der menschlichen Natur. IT-Sicherheitsberater werden deshalb auch das Image der Kassandra kaum los. Wir wünschen uns mehr Einsicht und die Bereitschaft zu aktiver Vorsorge bei den Anwendern.
Ein Trend, der sich fortsetzen dürfte, wird für viele Unternehmen Compliance sein, also die Einhaltung gesetzlicher und anderer regulatorischer Vorschriften. Das wirkt sich auch zunehmend auf IT-Sicherheitsfragen aus. Wie häufig bei solchen Trends finden wir das Vorbild in den USA vor, wo Compliance „ein ganz heißes Ding" ist. Das wird auch in Europa so kommen. Letztlich hoffe ich darauf, dass speziell in Deutschland mehr Unternehmen erkennen, dass Wissen und Innovationskraft ihr größtes Kapital sind – und dass sie deshalb alle Daten, in denen das steckt, besonders gut schützen müssen.
Dr. Volker Scheidemann, Leiter Produktmanagement, Applied Security GmbH
