KLARTEXT - Sparkassenzeitung
KLARTEXT - Sparkassenzeitung
KLARTEXT - Sparkassenzeitung
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
20<br />
FORUM<br />
Wikileaks: Sind Geschäftsdaten<br />
Auch Banken geraten ins Visier der Enthüllungsplattform. Wie steht es um die Informationssicherheit<br />
1. Grundsätzlich bin ich davon<br />
überzeugt, dass der technische<br />
Schutz bei Finanzdienstleistern<br />
ausreichend<br />
ist. Allerdings gilt auch für<br />
Finanzdienstleister, dass es<br />
häufig an der sauberen Umsetzung<br />
hapert. Wikileaks<br />
hat gezeigt, dass Dokumente<br />
relativ problemlos aus Behörden<br />
und Unternehmen<br />
herausgeschmuggelt werden<br />
können, weil zu viele<br />
Personen regulären Zugriff<br />
auf sie haben. Das Need-toknow-Prinzip<br />
und die restriktive<br />
Vergabe und der<br />
Entzug der Zugriffsrechte<br />
werden nicht immer konsequent<br />
umgesetzt. Auf die<br />
in Wikileaks kürzlich veröffentlichten<br />
Diplomaten-Depeschen<br />
hatten offenbar Millionen<br />
Menschen regulären<br />
Zugriff.<br />
2. Die Skandale um Wikileaks<br />
haben den Finger auf<br />
eine sensible Wunde gelegt.<br />
An dieser Stelle sind nicht<br />
Berater gefragt, sondern<br />
die Unternehmensleitung:<br />
Sie muss konsequent dafür<br />
sorgen, dass der Zugriff auf<br />
Daten beschränkt bleibt und<br />
nur derjenige Zugriff hat,<br />
der ihn qua Aufgabenstellung<br />
haben muss. Wenn dem<br />
nicht so ist, wäre das eine<br />
Sorgfaltspflichtverletzung<br />
des Managements. Zwar<br />
ist gerade in Finanzinstituten<br />
das Problembewusstsein<br />
vorhanden, dennoch<br />
herrscht auch in dieser Branche<br />
eine gewisse Nachlässigkeit.<br />
Führungskräfte verlassen<br />
sich zu oft auf ihre IT und<br />
kontrollieren nicht hinreichend selbst.<br />
Und weil Führungskräfte in Finanzunternehmen<br />
in der Regel keine Techniker<br />
sind, wissen sie nicht immer, was zu prüfen<br />
ist und welche Fragen sie ihrem IT-<br />
Leiter stellen müssten. Das IT-Problem ist<br />
also kein rein technisches, sondern immer<br />
auch ein organisatorisches.<br />
3. Wer ein sicheres Unternehmen haben<br />
will, braucht die Sensibilität auf der obersten<br />
Führungsebene – als Vorbild und<br />
Forderung. Es geht um die Sorgfalt bei<br />
der Umsetzung von Schutzmechanismen<br />
PRO<br />
„Grundsätzlich<br />
bin ich davon<br />
überzeugt,<br />
dass der<br />
technische<br />
Schutz bei<br />
Finanzdienstleistern<br />
ausreichend<br />
ist.“<br />
Dirk Fox,<br />
Geschäftsführer<br />
Secorvo Security<br />
Consulting<br />
und bei der Organisation<br />
von Sicherheit im Unternehmen<br />
nach grundsätzlichen<br />
Prinzipien wie dem Need-toknow-Prinzip,<br />
um klare Verantwortungszuweisungen<br />
und um gegenseitige Kontrolle.<br />
Wird das konsequent<br />
umgesetzt, entstehen die<br />
meisten Probleme gar nicht.<br />
Dazu muss man keine einzige<br />
neue Technik einführen<br />
und keine zusätzlichen<br />
Überwachungssysteme<br />
installieren, weil einer Vielzahl<br />
von Bedrohungen die<br />
Grundlage entzogen wird.<br />
Natürlich ist es nicht auszuschließen,<br />
dass eine Person<br />
sich mit böser Absicht oder<br />
unter Überschreitung ihrer<br />
Befugnisse widerrechtlich<br />
Dokumente verschaffen will.<br />
Dieses Risiko bleibt – es lässt<br />
sich aber durch die Überwachungssysteme,<br />
die derzeit<br />
diskutiert werden, nicht<br />
wirksam reduzieren.<br />
4. Bei Verstößen gegen die<br />
Verschwiegenheitspflicht<br />
versuchen Unternehmen<br />
üblicherweise, den Informationsabfluss<br />
unter Nutzung<br />
technischer Logfiles zu belegen.<br />
Dabei muss extrem<br />
vorsichtig vorgegangen werden,<br />
um dem Ganzen nicht<br />
den Beweiswert zu nehmen.<br />
Unabdingbar ist dabei, dass<br />
die Vorgehensweise sauber<br />
dokumentiert wird. In<br />
jedem Einzelfall ist vorher<br />
zu prüfen, ob die Aufklärer<br />
auf bestimmte Dokumente<br />
überhaupt zugreifen dürfen,<br />
vor allem dann, wenn in<br />
Unternehmen die Privatnutzung<br />
von Telekommunikations- oder IT-<br />
Systemen erlaubt ist. Viele Unternehmen<br />
neigen dazu, – oft ein Auswuchs der Technikbegeisterung<br />
mancher Führungskräfte<br />
– sich auf technische Beweismittel zu<br />
fokussieren und das Einfachste unter den<br />
Tisch fallen zu lassen: das persönliche<br />
Gespräch. Welche Konsequenzen ein Unternehmen<br />
arbeitsrechtlich daraus zieht,<br />
hängt letztlich vom Einzelfall ab.<br />
5. Wenn sensible Daten zum Schaden des<br />
Unternehmens nach draußen gelangen,<br />
gehören immer zwei dazu: der Datendieb<br />
Fragen an die Kontrahenten<br />
1. Sind Daten, Hard- und Software,<br />
von Finanzdienstleistern ausreichend<br />
abgesichert?<br />
2. Sind die Reaktionen auf Wikileaks<br />
hysterisch und andere Sicherheitsprobleme<br />
viel entscheidender?<br />
3. Sollte der Schwerpunkt auf Achtsamkeit<br />
gelegt werden – oder auf<br />
Hard- und Software?<br />
Herausforderung für Datensicherheit und Kultur des<br />
agieren im Namen der Wahrheit und können mit viel<br />
und die Unternehmenskultur. Mitarbeiter,<br />
die stolz auf ihr Unternehmen sind,<br />
wollen diesem nicht schaden. Wenn, wie<br />
im Fall Wikileaks, Daten nach außen gegeben<br />
wurden, schien das den Handelnden<br />
offenbar der einzig gangbare Weg,<br />
um auf Missstände hinzuweisen. Eine<br />
Vertrauenskultur, die Kritik zulässt, hohe<br />
Loyalität und Identifikation mit dem<br />
Unternehmen sind ein extrem starker<br />
Schutzschild gegen Verrat. Deshalb waren<br />
die Security-Awareness-Kampagnen,<br />
die wir auch in vielen Unternehmen der<br />
Finanzbranche durchführten, im Kern<br />
Loyalitätskampagnen.<br />
6. Es sind die einfachen Dinge und eine<br />
positive Sicherheitskultur, mit denen<br />
man vorbeugen kann. Die meisten unerwünschten<br />
Informationsabflüsse basieren<br />
nicht auf aufwendiger Spionagetechnik,<br />
sondern jemand greift häufig ganz<br />
regulär auf Dokumente zu, die er im Rahmen<br />
seiner Arbeit nicht benötigt. Zwar<br />
schafft auch die beste Unternehmenskultur<br />
keine perfekte Sicherheit, aber sie ist<br />
ein starker Schutzschild. <br />
n<br />
S P A R K A S S E F E B R U A R 2 0 1 1