DIE NUMMER MIT DER SICHERHEIT

Weitere Magazine

Empfehlungen

Info

IT-SECURITY Daten bilden die Grundlage für Optimierungsmaßnahmen und weitere Netzwerkplanung. Das größte Wachstum erwartet DeTeLine neben der Beratung im Segment der Virtual Private Networks (VPN). Die Marktforscher der Meta Group bescheinigten dem deutschen VPN-Markt 2001 bereits ein Volumen von über einer Milliarde Euro. Schon 2005 soll der Umsatz über 2,3 Milliarden Euro liegen. IT-Security betrifft auf keinen Fall nur die Großunternehmen Es wäre fatal anzunehmen, dass IT-Security nur für Großunternehmen von Bedeutung ist. Gerade kleine und mittlere Unternehmen sowie Freiberufler riskieren nicht zuletzt ihre Existenz, wenn sie ihre Daten schutzlos der Öffentlichkeit ausliefern. Risikobereich hier: die Verbindung ins Internet. Angriffe von außen treten hier in Form von Denial-of-Service (DoS)-Attacken sowie des IP-Spoofing auf. DoS-Attacken sollen Zielsysteme durch permanente automatisierte „Anfragen“ überlasten und zum Ausfall bringen. Hierfür sind keine Hacker-Kenntnisse notwendig – AUS DEM AK RECHT von Rechtsanwalt Dr. Olaf Schulz-Gardyan LL.M. Schulz Noack Bärwinkel, Hamburg o.schulz-gardyan @snb-law.de IT-Sicherheit ist nicht nur ein technisches Problem, sondern auch rechtlich relevant. Für die Sicherheit der IT ist neben dem IT-Leiter auch die Geschäftsleitung verantwortlich. Vorstände und Geschäftsführer sind gesetzlich verpflichtet, ihr Unternehmen so zu organisieren, dass sie Risiken für den Fortbestand des Unternehmens frühzeitig erkennen und beseitigen können. Kommen sie diesen Pflichten nicht nach, so haften sie der Gesellschaft auf Ersatz des entstandenen Schadens. Dieser zunächst der Gesellschaft zustehende Ersatzanspruch kann in bestimmten Fällen auch von Gläubigern der Gesellschaft oder etwa im Falle der Insolvenz vom Insolvenzverwalter geltend gemacht werden. Eine sinnvolle, in größeren Unternehmen unabdingbare organisatorische Maßnahme ist das Einsetzen eines IT-Leiters. Hierdurch wird die Geschäftsleitung jedoch nicht von ihrer Verantwortung entbunden. Es bleibt immer die Pflicht, die Arbeit des IT- Leiters zu überwachen und für das Unternehmen wesentliche Entscheidungen selbst zu treffen. Wegen der Gesamtverantwortung jedes Mitglieds der Geschäftsleitung für das Unternehmen trifft die Haftung dabei nicht nur den für die IT zuständigen Vorstand oder Geschäftsführer. Um die Risiken einer eigenen Haftung zu minimieren, sollte die Geschäftsleitung insbesondere auf Vorsorgemaßnahmen zur Aufrechterhaltung des Betriebs bei IT-Ausfällen achten. Es sind Notfall-Szenarien zu entwickeln, die den Geschäftsbetrieb auch bei technischen Störungen ermöglichen. Auch sollten Abhängigkeiten von IT- Dienstleistern und Mitarbeitern, die allein über das erforderliche Fachwissen verfügen und daher nicht oder kaum ersetzbar sind, vermieden werden. Zu beachten sind zudem die Vorgaben des Bundesdatenschutzgesetzes zur Datensicherheit, die sicherstellen sollen, dass personenbezogene Daten nicht in die falschen Hände geraten. jedermann kann auf unzählige Tools im Internet zurückgreifen, die den Angriff übernehmen. Laut InformationWeek-Studie 2002 sind 10% der befragten Unternehmen Opfer von DoS-Attacken geworden – die Dunkelziffer dürfte allerdings viel höher sein, da oftmals nicht der Angreifer, sondern das System als Urheber einer Störung betrachtet wird. Beim IP-Spoofing täuscht der Angreifer eine falsche Netzwerkidentität vor und versucht so Zugriff auf das System zu erlangen. Ist er erfolgreich, kann er auf die vorhanden Daten zugreifen, sie stehlen, löschen oder verändern. Der Kölner DSL-Anbieter QSC bietet mit seinem Produkt Q- Security für seine DSL-Kunden eine angemessene Lösung für Freiberufler sowie kleine und mittlere Unternehmen an. Das Produkt beinhaltet fünf vorkonfigurierte Firewall-Lösungen, die das Kundennetzwerk vor DoS-Attacken und IP-Spoofing schützen und die vom User per Web selbst eingestellt werden können. Mit einem eigenen Vertriebsbüro an der Elbe hat QSC die lukrative Hamburger Freiberufler-Szene im Visier – ein Wachstumsmarkt für den DSL-Provider. Drahtlose Funknetzwerke sind auf dem Vormarsch, und auch hier lauern Gefahren. Immer mehr Unternehmen setzen auf den bequemen drahtlosen Netzwerkzugang und leisten sich einen Firmen-Hotspot. In der Euphorie um den Nutzen eines WLANs ist die Sicherheitsfrage jedoch ins Hintertreffen geraten. Zwar sieht der WiFi-Standard eine Reihe an Sicherheitsmechanismen vor. Allerdings reichen diese Tools zum einen nicht aus, um sensible Firmendaten zu schützen und zum anderen sind sie oft gar nicht implementiert. Der unabhängige Netzwerkintegrator Telindus, der vor kurzem seine Deutschland-Zentrale nach Hamburg verlegt hat, machte die Probe aufs Exempel: Ein „War-Driving“-Test in einer europäischen Großstadt zeigt, dass in weniger als 10% aller sichtbaren Netze WEP eingeschaltet war. In über 80% der Netze wäre sofortiger Zugang möglich gewesen, da auf jegliche Sicherheitsmechanismen verzichtet wurde. Für diesen Boomsektor erwartet Telindus daher einen Investitionsschub seitens der Unternehmen, die alle Vorteile von WLANs sicher und zuverlässig nutzen möchten. Ein wichtiger Grund, weshalb sich Telindus schon früh auch in diesem Segment als Dienstleister spezialisiert. In Hamburg wird das Thema IT-Security übergreifend diskutiert. An der Elbe sitzen nicht nur führende Spezialisten aller Branchen – vor allem der starke Binnenmarkt mit zahlreichen IT-Security made in Hamburg – eine Branche im Aufwind Lösungsanforderungen für Unternehmen der Old und New Economy machen den Standort zu einem der wichtigsten Kompetenzzentren für IT-Sicherheit in Deutschland. Das sehen auch die entsprechenden Forschungsbereiche der Universitäten so und engagieren sich für ein Hamburger Zentrum für IT-Security – sie ziehen mit Unternehmen und Behörden an einem Strang. Die Initiative Hamburg@work hat den Arbeitskreis Security ins Leben gerufen, wo sich branchenübergreifend Experten aus den Unternehmen regelmässig zum Thema treffen. Der Leiter des Arbeitskreises Frank Schetzke hierzu: „Die Hamburger Security- Szene ist außerordentlich kompetent und leistungsfähig. Im Arbeitskreis Security arbeiten die unterschiedlichsten Fachleute – auch im Wettbewerb stehende – sehr offen zusammen. So arbeiten wir beispielsweise an einer Sammlung einzuhaltender Security-Standards. Unsere Arbeit macht bereits heute deutlich, dass die Erstellung und regelmäßige Überwachung einer Security- Policy für alle Anwender dieser vernetzten Internet und eBusiness-Welt unverzichtbar ist.“ 12 ALWAYS ON I AUSGABE 02 I NOVEMBER 2002
Für Unternehmen, Organisationen, Behörden und viele Privatleute in Hamburg und seiner Region ist die Nutzung zeitgenössischer Informatiktechniken ein wichtiges Element des wirtschaftlichen, gesellschaftlichen und politischen Handelns. Neuere Methoden etwa des elektronischen Handels (e- Commerce) und der Unterstützung von Bürgern durch digitale Information bis hin zu Verfahren der „e-Democracy“ werden ansatzweise eingesetzt oder erprobt. Angesichts der noch zunehmenden Ausbreitung neuartiger Einsatzformen und Anwendungen geht man selbstverständlich davon aus, dass zumindest wesentliche Grundsysteme wie Bürosysteme, Datenbanken und Netzverbindungen ordnungsgemäß funktionieren. Leider funktionieren viele reale Informationstechniken nicht wie erwartet. Nicht bloß ist deren Verfügbarkeit oft nicht gewährleistet. So sind viele Systeme und Anwendungen voller „Wanzen“, die sich – nach den Gesetzen des berühmtberüchtigten Organisationstheoretikers Murphy – zur unpassenden Zeit mit maximaler Schadenslast bemerkbar machen („Prinzip der größten Gemeinheit“). Auch gelingt es allzu leicht pubertierenden – zumeist männlichen – Jugendlichen, sich in vermeintlich sicher abgeschottete Netze und Anwendungen – von Banken bis zu Behörden – einzuschleusen und dort manchen Schaden anzurichten. Auch die häufigen Berichte über Computer- Viren und -Würmer tragen nicht zu dem Gefühl bei, man habe es hier und heute mit einer beherrschbaren Technik zu tun. Um die tatsächlich bestehenden Risiken zunächst einzudämmen und künftig beherrschbare Methoden und Anwendungen zu gestalten, ist eine gemeinsame Anstrengung von Hochschulen, Wirtschaft und Die Ergebnisse der InformationWeek-IT-Security- Studie 2002 zeigen, dass Unternehmen hierzulande schleunigst ihre Sicherheitsvorkehrungen verbessern müssen. Bei der weltweiten Befragung von mehr als 8000 IT-Managern und -Sicherheitsverantwortlichen in fast 50 Ländern kam heraus, dass ausgerechnet die als übergenau geltenden Deutschen beim Thema Security häufig fünfe gerade sein lassen. Dabei sind mehr als die Hälfte der deutschen Unternehmen von Sicherheitsverletzungen betroffen. Die laxe Handhabung hängt mit dem finanziellen Druck zusammen, unter dem heutzutage immer mehr IT-Abteilungen stehen. So hat nur ein Viertel der befragten Firmen in den vergangenen zwölf Monaten das Sicherheitsbudget aufgestockt – trotz zunehmender Bedrohung durch Viren, Würmer und anderes gefährliches Getier. Doch blinder Aktionismus hilft wenig. Sicher ist, dass IT-Security- Projekte in erster Linie den Anbietern von Intrusion-Detection- Systemen, Application-Firewalls oder Public-Key-Infrastrukturen Geld in die Kassen spülen. Den gewünschten erhöhten Schutzfaktor bringen diese Projekte damit aber noch lange nicht. Im Gegenteil, sie scheitern häufig – an der hierzulande so verbreiteten Technikverliebtheit. Eigentlich eine Binsenweisheit: Ohne Security Policy und Mitarbeiterschulungen kann man sich das Geld für ausgefeilte ALWAYS ON I AUSGABE 02 I NOVEMBER 2002 VON PROF. DR. KLAUS BRUNNSTEIN, FACHBEREICH INFORMATIK, UNIVERSITÄT HAMBURG ZUR NOTWENDIGKEIT EINES „HAMBURGER ZENTRUMS FÜR IT-<strong>SICHERHEIT</strong>“ KONTAKT: PROF. DR. KLAUS BRUNNSTEIN, E-MAIL: brunnstein@informatik.uni-hamburg.de VON KERSTIN KLOSS, INFORMATIONWEEK REICHT IHR SCHUTZFAKTOR AUS? IT-SECURITY Anwendern, darunter auch Behörden und Organisationen erforderlich. Daher liegt es nahe, für die Hamburger Region ein „Hamburger Zentrum für IT-Sicherheit“ aufzubauen, in dem die interessierten Kreise zusammenarbeiten. Dieses Zentrum sollte bereits bestehende Fachkunde bündeln und in Zusammenarbeit mit einschlägig kompetenten Unternehmen zu konkreten Problemlösungen beitragen. Folgende Aspekte könnten zur ersten Arbeitsphase eines solchen Zentrums gehören: • Unterstützung bei der Bewältigung von Computer- und Netzunfällen, etwa im Bereich der Hackerangriffe sowie der Erkennung und Bereinigung von bösartiger Software (Computer and Network Incident Response) • Aufklärung von Ursachen von Computerunfällen und Zusammenbrüchen und die Vorbereitung von Rechtsverfahren (forensische Informatik) • Entwicklung zuverlässiger Verfahren zur Identifizierung von Nutzern (Biometrik, Signaturverfahren), wobei der Schutz der Privatsphäre schon im Entwurf zu berücksichtigen ist (Authentikationstechniken) • Entwicklung von Verfahren und Systemen zum Management von Systemen der IT-Sicherheit. Ein solches Zentrum, welches eng mit Hamburger Unternehmen zusammenarbeiten sollte, kann auf bestehender Fachkunde in Universität, Technischer Universität und Fachhochschule aufbauen, die durch neue Bereiche abzurunden sind. Sicherheitstools sparen. Deshalb sind die technischen Maßnahmen das, womit Sie sich bei dem Thema als letztes beschäftigen sollten. Überlegen Sie zunächst, welche Daten überhaupt in welchem Maße schützenswert sind und stellen Sie Richtlinien für die Informationssicherheit in Ihrem Unternehmen auf. Erst dann sollten Sie prüfen, welche technischen Hilfsmittel Sie dabei unterstützen können. Besonders wichtig: Beauftragen Sie spezielles Sicherheitspersonal, die Security Policy tatsächlich umzusetzen. Ohne einen gewissen Druck und Kontrolle werden Mitarbeiter ihre Arbeitsweisen und Gewohnheiten kaum ändern. Und da wir gerade beim Stichwort sind: Eine schlagkräftige IT-Sicherheitspolitik sollte auch rechtlich zulässige Mitarbeiterüberwachungen nicht ausklammern. In wirtschaftlich schwierigen Zeiten dürfte nämlich das Lopez-Syndrom zunehmen: Wer Angst um seinen Job hat, sammelt Insiderwissen, um damit bei der Konkurrenz unterzukommen, wenn es eng wird. WWW.INFORMATIONWEEK.DE Kerstin Kloss ist Chefkorrespondentin Norddeutschland von InformationWeek, dem zweiwöchentlichen IT-Magazin für das Management. InformationWeek hat dieses Jahr zum 5. Mal zusammen mit PriceWaterhouseCoopers eine Studie zur IT-Sicherheit 2002 veröffentlicht, die für 990 Euro bei fsautner@cmp-weka.de angefordert werden kann. 13
Seite 1 und 2: ALWAYS ON I AUSGABE 02 I NOVEMBER 2
Seite 3 und 4: TELTIX ist ein neues, zum Patent an
Seite 5 und 6: heißt das Zauberwort, das die Krea
Seite 7 und 8: PROJEKTKOMMUNIKATION PROJEKTKOMMUNI
Seite 9 und 10: NETZWERK-SOLUTIONS TELINDUS VERLEGT
Seite 11: Verzeichnis muss der Aufsichtsbehö
Seite 15 und 16: Achtung! Sie vermissen einen wichti
Seite 17 und 18: ALWAYS ON I AUSGABE 02 I NOVEMBER 2
Seite 20 und 21: TELEKOMMUNIKATION ALWAYS ON AUCH UN
Seite 22: PORTRAIT Mit P.INK Software Enginee
Seite 25 und 26: Stefan Klein, Leiter Info-Office AL
Seite 27 und 28: IMPRESSUM Herausgeber Hamburg@work

DIE NUMMER MIT DER SICHERHEIT

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?