Menschenverstand und Augenmaß

Ein Bericht über das Siemens Security Forum 2002.

Viren, Spionageprogramme, Trojaner - alles unschöne Aspekte der Cyberkriminalität. Doch Fachleute sehen darin nicht die Hauptgefahr. Das unumstrittene Sicherheitsrisiko Nummer eins geht von den Unternehmen selbst aus. Sie ignorieren das Risiko oder setzen auf teure Standardlösungen.

Die Haftzeit ist vorbei. Sieben Jahre lang durfte Kevin Mitnick nicht einmal eine Computermaus anschauen. Jetzt kann der berühmte Hacker wieder online gehen - und sich erneut seinem Lieblingssujet widmen. Auch wenn er sich in Zukunft auf die Seite seiner einstigen Opfer stellen und Unternehmen in IT-Sicherheitsfragen beraten will.
Mitnick ist einer von vielen, der mit seinen Angriffen auf die Systeme von Motorola, Novell, Nokia, Sun Microsystems und der Universität von Südkalifornien gezeigt hat: Das Internet ist weder selbstreparierend noch atombombensicher. Das Netz der Netze ist ein fragiles Gebilde - und wird durch sein exponentiell schnelles Wachstum und seine rapide Kommerzialisierung immer verletzlicher. Schon heute, so Kritiker, sei es ein Leichtes, ganze Regionen, Landstriche oder Länder vom Internet abzukoppeln und damit ein allmähliches "Aufribbeln" des gesamten Netzwerks zu verursachen.

Sicherheit als Prozess.


Für Unternehmen sind solche Aussagen nicht ohne Bedeutung. Auch sie sind von einem reibungslosen Netzverkehr abhängig und müssen sich mit dem Thema "Security" ernsthaft auseinander setzen.
Schützenhilfe dabei bietet Training and Services. Der Weiterbildungsbereich von Siemens Business Services veranstaltet in regelmäßigen Abständen Tagungen, Seminare und Workshops zum Thema IT-Security, zum Beispiel zu den Themen Sicherheit in Netzen, Firewalls, Datenschutz oder IT-Security als Managementaufgabe. Besonders beliebt: das Security Forum - eine dreitägige Veranstaltung mit Vorträgen und Workshops zu "Digital Warfare", "E- und M-Payment", "Server Hardening", "Datenschutz als Management- und Führungsaufgabe" sowie "Rechtliche Aspekte der System- und Netzwerkadministration". Geladen sind nicht nur IT-Verantwortliche, Sicherheitsbeauftragte, Systemadministratoren und Webmaster, sondern auch Manager. Denn Sicherheit ist mehr als ein Bündel einzelner Maßnahmen. Sicherheit ist ein Prozess, der von allen im Unternehmen gelebt werden muss.
Darauf hinzuweisen ist auch Gerhard Gayer wichtig. "Sicherheit", so der Leiter des Security-Forums, "ist ein wichtiger Bestandteil der Unternehmenskultur. Deswegen wenden wir uns nicht nur an all diejenigen, die das Sicherheitskonzept umsetzen. Sondern auch an Manager, Consultants und Organisatoren." Und Stephan Lechner, Leiter des Fachzentrums Security bei Siemens: "Ohne Unterstützung des Managements wird jedes Sicherheitskonzept scheitern. Und werden Unternehmen ein beliebtes Ziel von Hackern, Crackern und minderjährigen Skript Kiddies bleiben." Diese zu bestrafen sei sinnvoll, aber nicht die Lösung. "Die Unternehmen setzen sich unnötigen Gefahren aus. Unbewusst und bewusst."
Das bestätigt auch Sebastian Schreiber, Geschäftsführer des auf Sicherheitsfragen spezialisierten Beratungsunternehmens SySS und Referent auf dem Siemens-Forum. Sein Unternehmen überprüft IT-Lösungen von Unternehmen auf Sicherheitsmängel. Seine Erfahrung: "Auch wenn die deutsche Wirtschaft jedes Jahr mehrere Milliarden Euro für IT-Sicherheit ausgibt: Die meisten Unternehmen haben ihre Systeme nicht wirksam gegen Angriffe aus dem Internet geschützt." Die Gefahr werde unterschätzt, das Risiko klein geredet - vor allem von den kleinen und mittelständischen Betrieben. "Das Einzige, was sie vielleicht überzeugen könnte, sind Zahlen. Doch Zahlen über Netz-Angriffe sind kaum vorhanden. Denn weder die Hacker noch die geschädigten Unternehmen sind an Öffentlichkeit interessiert. Die Hacker wollen unerkannt bleiben und der Justiz entgehen. Die Unternehmen haben Angst, das Vertrauen ihrer Kunden und Partner zu verlieren."

Angriff mit wenigen Klicks.


Wie schnell Unternehmen zu Opfern werden, präsentiert Schreiber am Abend des ersten Tages: Mit Hilfe des Trojanischen Pferdes Cafeini, das sich der Sicherheitsexperte kostenlos aus dem Netz zieht, attackiert er diverse Office-Computer, durchstöbert Dateien, fertigt Kopien und missbraucht die Mikrofone der Rechner als Wanzen.
Die Frage "Wie kann man sich schützen?" ist angesichts solcher Sicherheitsmängel verständlich, doch von den Experten nicht abschließend zu beantworten. Schon gar nicht mit einem Verweis auf eine bestimmte Software. Stephan Lechner vom Siemens-Fachbereich Security: "Es gibt keine Standardlösung. Und es gibt keine 100-prozentige Sicherheit - auch wenn Geschäftemacher das immer wieder behaupten. Die Unternehmen müssen Profis einstellen oder beauftragen, um nicht das bestmögliche, sondern das benötigte Sicherheitsniveau zu schaffen." Doch das setze drei Dinge voraus: Menschenverstand, Augenmaß sowie eine gleichberechtigte Partnerschaft zwischen Management und Sicherheitsverantwortlichen. "Security ist viel zu komplex geworden, um als Nebensache gehandhabt zu werden. Nur wer das begreift, kann sich schützen - und vertrauensvoll in die Zukunft blicken."

Kontakt:
Gerhard Gayer
gerhard.gayer@siemens.com
Das nächste Siemens Security Forum findet am 26. Mai 2003 statt.
Informationen und Anmeldung unter www.siemens.com/learning

© changeX Partnerforum [13.01.2003] Alle Rechte vorbehalten, all rights reserved.

changeX 13.01.2003. Alle Rechte vorbehalten, all rights reserved.

LS training and services GmbH & Co. KG

Weitere Artikel dieses Partners

Willkommen im virtuellen Klassenraum

Beim E-Day von LS training and services und bit media bekamen Besucher einen Überblick über innovative Lernformen. zum Report

Was brauchen Virtuelle Unternehmen?

Neue Forschungsergebnisse und Instrumente zur Unterstützung virtueller Zusammenarbeit. zum Report

Auf zur Learntec!

LS training and services verschenkt Eintrittskarten für die größte Fachmesse im Bereich E-Learning. zum Report

nach oben