Mehr als Virenscanner und Firewalls: IT-Security in Unternehmen
IT-Sicherheit ist schon lange kein Freak- oder Luxusthema mehr, sondern hoffentlich als Pflichtthema bei jedem Unternehmer auf der Agenda fest verankert – alleine schon aus Eigeninteresse.
ielleicht wussten Sie schon, dass im Internet jeden einzelnen Tag bis zu 800.000 neue Bedrohungen diagnostiziert werden, dass es durchschnittlich nur einige wenige Minuten dauert, bis ein „nacktes“ Windows-XP-System im Netz von einer ersten Malware befallen wird, oder dass knapp die Hälfte aller Unternehmensspionagefälle nicht von extern kommt, sondern von (Ex-)Mitarbeitern ihren Ausgang findet.
Spätestens seit den letzten öffentlich gewordenen Skandalen rund um NSA, Daten-Klau und Betriebsspionage dürften alle Unternehmsteile, nicht nur die IT-Abteilung, wachgerüttelt und motiviert genug sein, eine Risikoanalyse der eigenen IT zu veranlassen. Unbewusst und schneller als geglaubt kann aus „grober Fahrlässigkeit“ eine persönliche Haftung der Verantwortungsträger resultieren. Mit dem GmbH-Gesetz, dem Datenschutz-Gesetz, der IT-Prüfung als Teil der Jahresabschlussprüfung und anderen legistischen Rahmenbedingungen ist IT-Sicherheit längst kein Freak- oder Luxusthema mehr, sondern, so hoffe ich, als Pflichtthema bei jedem Unternehmer auf der Agenda fest verankert – alleine schon aus Eigeninteresse. Datensicherung, Firewalls, Virenscanner und regelmäßige Updates sind zwar nach wie vor notwendige und probate Mittel zum Schutz, aber für sich genommen leider längst nicht mehr ausreichend.
Ohne das große „IT Security Big Picture“ im Hintergrund wird im „Fall des Falles“ weder vom Gesetz noch von den Eigentümern die Absolution erteilt werden – von etwaigen Image-Schäden für das Unternehmen ganz zu schweigen.
Security-Awareness.
Diese Schilderung sollte aber keinesfalls zum Verzagen oder Jammern einladen, ganz im Gegenteil. Einzig die angesprochene Sensibilität, neudeutsch „Awareness“, für IT-Risiken darf nicht ignoriert werden. Wir alle sind schließlich in der Lage, den großen, unübersehbaren und stetig wachsenden Nutzen der Datenvernetzung und der IT im Allgemeinen abzuschätzen. Neue Geschäftsbereiche, digitale Vertriebskanäle und interregionale Zielgruppen beflügeln die Kreativität und den Geschäftssinn der Entrepreneure – zu Recht, denn die Möglichkeiten sind enorm!
Unterstützung in IT-Fragen erhält die Geschäftsleitung oft von expliziten Expertenrollen im Unternehmen. Neben dem CIO, dem Chief Information Officer, wird in Unternehmen auch die Rolle des CISO, des Chief Information Security Officers, laut IBM-Studie zunehmend besetzt.
Kümmert sich der CIO um die allgemeine IT-Strategie und deren Ausrichtung an den Unternehmenszielen, ist der CISO für die operative Umsetzung zuständig. Er oder sie bewertet und steuert die Risiken und erstellt daraus abgeleitete geeignete Maßnahmen, um das digitale Potenzial mit gewohnt unternehmerischer Vorsicht zu paaren.
Aktuelle Herausforderungen.
„Mobility“ und „Data Leakage“ sind Themen und Herausforderungen, die in diesem Kontext derzeit häufig diskutiert werden und zu lösen sind. Unter dem Schlagwort Mobility versteht man, dass bei Usern häufig die Erwartungshaltung besteht, dass Anwendungen und Daten ortsunabhängig mittels Notebook, Tablet oder auch Smartphone online verfügbar sind. Technische Lösungen, um dies zumindest aus funktionaler Sicht zu ermöglichen, gibt es zahlreiche. Viel schwieriger hingegen ist die organisatorische Frage, bei welchen
Spätestens seit den letzten öffentlich gewordenen Skandalen rund um NSA, Daten-Klau und Betriebs-spionage dürften alle Unternehmsteile, nicht nur die IT-Abteilung, wachgerüttelt und motiviert genug sein, eine Risikoanalyse der eigenen IT zu veranlassen.
Unternehmensdaten und -anwendungen es überhaupt aus Risiko-/Nutzen-Sicht zugelassen werden sollte, dass diese neudeutsch „ubiquitär“, also überall, zur Verfügung stehen. Aus Sicht des Unternehmens muss schließlich Sorge getragen werden, dass CRM- und ERP-Daten, Produktions- und Baupläne und auch sonstige interne Informationen grundsätzlich vertraulich behandelt werden und ausschließlich von befugten Personen eingesehen werden können. Bei Verlust oder Diebstahl von Hardware muss weiters sichergestellt werden können, dass Daten auch in diesen Ausnahmesituationen „sicher“ sind. Der Themenkreis rund um „Data Leakage Prevention“ kümmert sich u. a. um diese technischen und organisatorischen Aspekte, sodass Unternehmensdaten möglichst auf Dauer „vertraulich“ bleiben können.
Sichere Bankgeschäfte.
Dem entgegen klingen Sicherheitsthemen und Vorsichtsmaßnahmen beim Online Banking schier trivial und abgedroschen. Dass PINs und sonstige Passwörter niemandem verraten werden dürfen, auf gesicherte Verbindungen und auf die Echtheit von Zertifikaten geachtet werden muss, Phishing-Emails ignoriert und gelöscht werden sollten und die Hinweisseiten der Bank regelmäßig gelesen werden sollten, sind seit Jahren die häufigsten und nach wie vor wirksamen Schutzmaßnahmen, um sichere digitale Bankgeschäfte erledigen zu können. Die Awareness hierfür muss auch dringend aufrecht gehalten werden! Aber nicht nur ELBA-internet-Kunden, sondern auch ELBA-business-Anwender sind auf der sicheren Seite, da diese Online Banking-Lösung von Raiffeisen per se schon höchste Sicherheit gewährleistet.
Das System ist von Grund auf wenig anfällig für Phishing-Attacken und auch das eingesetzte Übertragungsprotokoll MBS/IP verspricht höchste technische Sicherheitsstandards.
Mag. Arthur Greiderer, Geschäftsführung GRZ IT Center GmbH
