MAGAZIN
zurück
  TECHNOLOGIE
     
   

Bedrohlicher Mangel an professionellen Lösungen für Informationssicherheit
   

Während in den USA die Angst vor Cyber-Terroristen wächst, wartet die deutsche Wirtschaft ab. Deutsche Unternehmen reagieren auf diese neue Bedrohung zurückhaltend. Deshalb werden gerade hier attraktive Projektfelder entstehen - wird für Investitionen erst grünes Licht gegeben.

Investitionsschub bei IT-Sicherheit: Vorbild USA

Für Sicherheitsrichtlinien oder bessere Notfallpläne haben in den USA fast 60 Prozent neue Sicherheits-richtlinien aufgestellt, knapp zwei Drittel sorgen verstärkt dafür, dass Mitarbeiter diese Vorschriften auch einhalten. Laut einer Studie im Auftrag der US-Zeitschrift "Computerworld" und J.P. Morgan Securities werden die US-Investitionen in IT-Sicherheit um 43 Prozent steigen. Der größte Teil soll dabei auf Virtual Private Networks (VPNs) sowie Antiviren- und Intrusion-Detection-Systeme entfallen. Smartcards und Public Key Infrastructure (PKI) rangieren auf Platz sechs sowie acht. Die Analysten von J.P. Morgan führen dies auf die hohen Kosten für diese Technologie zurück. Dieser Investitionsschub bei IT-Sicherheit hat seinen Grund: Terroristen könnten Unternehmen auch auf elektronischem Weg schaden, fürchten die US-amerikanischen Manager.

 

Mangelndes Sicherheitsverständnis für Gefahrenpotenzial

Als Verursacher von Sicherheitsproblemen vermuten zwei Drittel der US-Firmen Hacker oder Terroristen. In Deutschland glaubte bis vor kurzem nicht einmal die Hälfte der Unternehmen an böswillige Netzwerk-Eindringlinge. Acht von zehn Managern meinten in einer Erhebung kürzlich, mit einer durchgehenden Sicherheitsstrategie bereits viel für die Sicherheit der Unternehmensdaten und -systeme getan zu haben. Tatsächlich kann nur ein Viertel auf eine umfassende Sicherheitspolitik, die zudem ständig überwacht und aktualisiert wird, der befragten westeuropäischen Unternehmen verweisen.

Dabei gibt es bei der vermuteten Einbruchstelle der Angreifer einen klaren Spitzenreiter. Am häufigsten werden Schwachstellen des Betriebssystems als Angriffspunkt genannt.
Auch die Bedrohung aus den eigenen Reihen wird nicht ernst genug genommen. Sie ist um ein Vielfaches größer als externe Attacken. Wie das Computer Security Institute (CSI) ermittelte, bringen es externe Angreifer im Schnitt gerade mal auf 57.000 US-Dollar Schadenssumme, während Schädigungen durch die eigenen Mitarbeiter durchschnittlich 2,7 Millionen US-Dollar kosten. Riskant sind dabei vor allem die Installation unautorisierter Hard- oder Software, importierte Infektionen oder die Nutzung des Firmen-Equipments für illegale Aktivitäten durch die Angestellten. Folgen können Fälschung, Verlust oder Diebstahl von Informationen sowie der zeitweise Ausfall der Systeme, der Web-Site oder des Internet-Zugangs sein.

 

Schaden bei Unternehmen führt bis zum Exitus

Hierzulande investieren nur 27 Prozent der Unter-nehmen in diesem Bereich zusätzlich. Ein Drittel hat in den vergangenen zwölf Monaten keine Schritte unternommen, die Informationssicherheit zu ver-bessern. Bei 60 Prozent der Unternehmen stagnieren die Budgets für die IT-Sicherheit oder sind sogar rückläufig. Die Konsequenzen für deutsche Firmen lassen aufhorchen. Nach einer Katastrophe, verursacht durch Feuer, Erdbeben oder anderer Einwirkungen, öffnen 30 Prozent der Unternehmen nie wieder ihre Türen. Weitere 29 Prozent stellen die Geschäftstätigkeit innerhalb der folgenden zwei Jahre ein, weil sie sich nicht von den finanziellen Verlusten erholen können. So schädigt bereits ein 10-tägiger Ausfall von Schlüssel-Systemen der IT ein Unter-nehmen so nachhaltig, dass es mit 50 Prozent Wahrscheinlichkeit innerhalb von fünf Jahren vom Markt verschwindet.
Im vergangenen Jahr sind 1,2 Millionen Tage lang die Computersysteme in deutschen Unternehmen auf-grund von Attacken auf die IT-Infrastruktur ausgefallen. Branchenexperten bescheinigen vor allem deutschen E-Business-Unternehmen schwerwiegende Sicher-heitslücken und mangelndes Problem-bewusstsein. Sie beziffern den zu erwartenden Umsatzausfall auf zehn Milliarden Mark im B2B und weitere fünf Milliarden Mark im B2C Bereich. Hinzu kommen, so die Erkenntnisse von Insidern, finanzielle und Image-Schäden in beträchtlicher Höhe, die durch interne und externe Angreifer entstehen.

 

Vorbereitung von Security-Spezialisten für künftige Projektfelder

Hier eröffnen sich für Security-Spezialisten breite Projektfelder. Sobald sie Know-how über den zerklüfteten Anbietermarkt in Deutschland mitbringen, können sie Unternehmen dabei unterstützen, aus unvollständigen Einzel- und Teillösungen rudne Systeme zu gestalten. Besonders in mittleren Unternehmen fehlt hierzu oftmals Marktkenntnis und Produktwissen. In Umfragen zeigt sich nämlich, dass nur zehn Prozent der Hersteller IT-Security Produkte aus allen IT-Security-Bereichen anbieten können. Die meisten haben sich hingegen auf zwei bis drei Kernprodukte konzentriert. Auch bei einem erforder-lichen Branchenfokus können Security-Experten einhaken. Meist werden industriespezifische Anforderungen an IT-Sicherheit gestellt und spezifische Kompetenzen von den Kunden gewünscht. Wie dringend Skills gerade bei den Security Services gesucht werden, lassen weitere Ergebnisse erkennen. Nur weniger als fünf Prozent der Dienstleister bezeichnen sich danach als Full-Service-Anbieter.

Wie Erhebungen ergaben, könnten neue An-wendungen weitere Gefahren für die IT-Sicherheit bringen. So planen 43 Prozent der befragten Unter-nehmen, ein drahtloses Firmennetz zu installieren oder haben dies bereits getan. Doch mehr als ein Drittel dieser Unternehmen schützt seine neuen Netze nicht vor Angriffen von außen. Ähnlich bei Persönlichen Digitalen Assistenten (PDAs): 43 Prozent der Befragten gestatten ihren Mitarbeitern, diese zu benutzen, doch nur jedes fünfte von ihnen hat eine entsprechende Sicherheitssoftware implementiert.

 

IT-Bereiche mit erwartetem Projektvolumen

Wo Unternehmen bei Sicherheitslücken nachbessern sollten, zeigen weitere Befragungen. In diesen IT-Bereichen kann das Projektvolumen erheblich wachsen, sobald Investitionen freigegeben werden. Dabei ist es ratsam, bei Software nicht allein das Know-how über federführende Hersteller zu erwerben und vorzuhalten.

- Virtuelle Private Netzwerke (VPN): Darüber werden interne Daten mit Hilfe des Internets verbreitet. Die Auswirkungen der Angriffe sind Ausfall von DV-Programmen, des E-Mail-Systems, Netzwerkausfälle oder Diebstahl vertraulicher Informationen.

- Zugangsschutz durch Basis-Passwörter oder Mehrfach-Passwörter: als Schutzmaßnahme sind sie nur bedingt geeignet. Alternative Sicherheitssysteme sollten geprüft werden.

- Verschlüsselungssoftware sind besonders geeignet gegen Datenspione. Die SSL-Verschlüsselung (Secure Sockets Layer), die etwa beim Online-Banking eingesetzt wird, nutzt erst jedes dritte Unternehmen.

- Antiviren-Software: dieser Systemschutz sollte um aufwändigere Werkzeuge wie "Intrusion-Detection-Systeme" erweitert werden, um die Angreifer automatisch aufzuspüren.
Derzeit verfügen immerhin zwölf Prozent der Unternehmen über keinen Virenschutz.

- Neben der Abwehr von Viren wollen die Unternehmen in den kommenden zwölf Monaten ihre Betriebs-systeme und Netzwerke besser schützen.

- Erarbeitung und Aktualisierung von Notfallplänen und Richtlinien für Disaster Recovery / Business Continuity-Maßnahmen

 

Aufgaben und Anforderungen

Aufgabenfelder im Security-Sektor sind vielfältig. Sie können an der Schnittstelle zwischen Organisation und Entwicklungsbereich liegen und das Aufzeigen von Vorgehensweisen und Lösungsmöglichkeiten um-fassen. Konkret wird beispielsweise die Implementierung von Internet-Lösungen oder Weiter-entwicklung von Firewallkonzepten erwartet. Sensibilisierungsmaßnahmen und Schulungen im Thema IT-Sicherheit können ebenfalls inbegriffen sein. Als Anforderungen werden oft fundierte Kenntnisse der IT-Sicherheit, IT-Architekturen, Betriebssysteme und Projekterfahrung sowie ein kommunikatives und teamfähiges Verhalten genannt.