IT-Sicherheit bleibt Stiefkind im Unternehmen

Dunkelziffer im Bereich Wirtschaftskriminalität sehr hoch - Schulungen und Verhaltensregeln für Mitarbeiter gefordert

Wien (OTS) - Noch immer sind viele Unternehmen im IT-Bereich
relativ ungeschützt vor Viren, Würmern - aber auch (Ex-)Mitarbeitern und gezielten Attacken. Tatsächlich gibt es kein Patentrezept, mit einer Kombination aus vorhandener Technik und regelmäßigen Mitarbeiter-Schulungen lassen sich allerdings gute Erfolge erzielen. Und: IT-Sicherheit muss endlich zur Chefsache werden, waren sich Experten gestern, Donnerstag, Abend bei einem Event der APA-E-Business-Community im Wiener Haus der Musik einig.

Im Bereich der Wirtschaftskriminalität - beispielsweise Manager, die unternehmenskritische Informationen zur Konkurrenz mitnehmen -sei die Dunkelziffer sehr hoch, erklärte Robert Maierhofer, Referatsleiter Computerkriminalität im Bundeskriminalamt, das neben zahlreichen anderen Bereichen auch für die Auswertung von Datenträgern zuständig ist. Zwar gebe es kaum Anzeigen, die Schäden seien aber nicht zu unterschätzen. "Uns gelangen hochkriminelle Handlungen zur Kenntnis, offiziell ist uns davon aber nichts bekannt", so der Experte. Privatpersonen hätten hingegen weniger Scheu, sich an die Behörden zu wenden. Eine Initiative des Europarates - die Convention on Cybercrime - soll künftig zu einem abgestimmteren Vorgehen und einer besseren internationalen Zusammenarbeit führen. Österreich ist bisher noch nicht beigetreten, "das könnte sich aber noch heuer ändern", so Maierhofer.

"Ohne IT Sicherheitsmaßnahmen ist alles einfacher, schneller, kostengünstiger. Allerdings nur bis zum Schadensfall", ist Georg Schmidt, Geschäftsleitung IT-Solution, überzeugt. Die technischen Möglichkeiten zur Herstellung eines hohen Ausmaßes an Sicherheit seien heute erheblich umfangreicher vorhanden als das Bedürfnis, sie zu verwenden. "IT-Sicherheit hat man also in dem Ausmaß, in dem man sie haben will", so Schmidt, der sich vor allem von der weiteren Verbreitung der elektronischen Signatur Änderungen im digitalen Alltag erwartet.

Laut Alexander Holy, Sicherheitssprecher und Mitglied der Geschäftsleitung bei Microsoft Österreich, liegen die Lösungsansätze aber nicht allein im technischen Bereich. "Natürlich ist der technische Faktor wesentlich: Produktqualität, Selbstschutzmechanismen und das Zusammenspiel von Produkten sind hier Erfolgsfaktoren. Aber mindestens genauso relevant sind die menschlichen Faktoren." Und die sieht Holy vor allem in der geeigneten Ausbildung der Benutzer und abgestimmten Verhaltensregeln (Policies). "Genau wie die Nutzung eines Dienstwagens und anderer Ressourcen heute meist klar festgelegt ist, werden wir dies in Zukunft auch für IT-Systeme festschreiben müssen", fordert Holy konkrete Verhaltensregeln. Ziel von Microsoft sei, dass IT-Sicherheit in fünf Jahren kein Thema mehr darstelle, das den User beschäftigen müsse. "Darin investieren wir viel Zeit und Geld."

Geld fehlt aber anscheinend an anderer Stelle. "Das Budget für IT-Sicherheit ist meist zu niedrig. Wenn 50 Prozent der Unternehmen nur zwischen null und 2,5 Prozent des IT-Budgets dafür ausgeben, obwohl es zumindest zehn Prozent sein sollten, beweist dies, dass der Return on Investment nicht gesehen wird", so Alexander Kun, Security Experte bei Capgemini Consulting Österreich. Häufig entstehe der Eindruck, dass die Sicherheit durch höhere Investitionen nicht verbessert wird, sondern sogar sinkt. Dieses Paradoxon sei darauf zurückführen, dass die meisten sicherheitsrelevanten Vorfälle erst nach der Installation entsprechender Monitoring-Systeme entdeckt würden. Dennoch gibt sich Kun optimistisch: "Inzwischen werden Budgetmittel locker gemacht, da die Awareness steigt und Security endlich an erster Stelle steht".

Die Etablierung von IT-Sicherheit als Top-Management Aufgabe sei eine logische Folge der Vorkommnisse der vergangenen Jahren und finde nun - endlich - Einzug in diese Unternehmensbereiche, befindet auch Michael C. Fritz, IT-Security Consultant bei NextiraOne. Allerdings müsste das Bewusstsein der Mitarbeiter gestärkt werden, da sie einen wichtigen Faktor bei der Umsetzung einer Sicherheitspolicy darstellen würden. "Jährliche verpflichtende Informationsveranstaltungen bilden dafür die Basis", so Fritz. Generell seien große Unternehmen bereits relativ gut abgesichert, bei Klein- und Mittelunternehmen habe die Entwicklung in diese Richtung aber erst eingesetzt.

"Alle Betriebe, ob klein oder groß, müssen sich mit der Problematik des richtigen Einsatzes von Technologie auseinandersetzen", sieht Martin Prager (EDV & Technologie, WKÖ) die Sicherheitsüberlegungen der Unternehmen gegenüber der bisherigen Entwicklung hinterher hinken. Neben den "üblichen Begleiterscheinungen", wie Viren, Würmer, Trojaner oder Dialer sei praktisch wöchentlich in den Medien über neue Gefahren zu lesen. "Oft werden diese Gefahren überzeichnet, manchmal aber auch der Wert von Information und Daten unterschätzt", so Prager.

Nicht überzeugt von Mitarbeiter-Schulungen gibt sich hingegen Wolfgang Wimmer, Product Specialist bei Surfcontrol. "Nur wenige Monate nach einer entsprechenden Weiterbildung klickten erneut rund 80 Prozent auf dubiose Mail-Anhänge. Unser Ansatz ist, die Mitarbeiter zu sichern, indem die Inhalte schon vorher selektiert werden", so Wimmer.

Die Partner-Unternehmen der E-Business-Community sind:

Bild(er) zu dieser Meldung finden Sie im AOM/Original Bild Service, sowie im OTS Bildarchiv unter http://bild.ots.at

Rückfragen & Kontakt:

E-Business-Community
Barbara Rauchwarter
Tel.: 01/36060/5700
ebc@apa.at

OTS-ORIGINALTEXT UNTER AUSSCHLIESSLICHER INHALTLICHER VERANTWORTUNG DES AUSSENDERS | MMM0001