DIE NUMMER MIT DER SICHERHEIT
DIE NUMMER MIT DER SICHERHEIT
DIE NUMMER MIT DER SICHERHEIT
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
Für Unternehmen, Organisationen, Behörden und<br />
viele Privatleute in Hamburg und seiner Region ist<br />
die Nutzung zeitgenössischer Informatiktechniken ein wichtiges<br />
Element des wirtschaftlichen, gesellschaftlichen und politischen<br />
Handelns. Neuere Methoden etwa des elektronischen Handels (e-<br />
Commerce) und der Unterstützung von Bürgern durch digitale<br />
Information bis hin zu Verfahren der „e-Democracy“ werden ansatzweise<br />
eingesetzt oder erprobt. Angesichts der noch zunehmenden<br />
Ausbreitung neuartiger Einsatzformen und Anwendungen geht man<br />
selbstverständlich davon aus, dass zumindest wesentliche<br />
Grundsysteme wie Bürosysteme, Datenbanken und Netzverbindungen<br />
ordnungsgemäß funktionieren.<br />
Leider funktionieren viele reale Informationstechniken nicht wie<br />
erwartet. Nicht bloß ist deren Verfügbarkeit oft nicht gewährleistet.<br />
So sind viele Systeme und Anwendungen voller „Wanzen“, die sich –<br />
nach den Gesetzen des berühmtberüchtigten Organisationstheoretikers<br />
Murphy – zur unpassenden Zeit mit maximaler Schadenslast<br />
bemerkbar machen („Prinzip der größten Gemeinheit“). Auch gelingt<br />
es allzu leicht pubertierenden – zumeist männlichen – Jugendlichen,<br />
sich in vermeintlich sicher abgeschottete Netze und Anwendungen –<br />
von Banken bis zu Behörden – einzuschleusen und dort manchen<br />
Schaden anzurichten. Auch die häufigen Berichte über Computer-<br />
Viren und -Würmer tragen nicht zu dem Gefühl bei, man habe es hier<br />
und heute mit einer beherrschbaren Technik zu tun.<br />
Um die tatsächlich bestehenden Risiken zunächst einzudämmen und<br />
künftig beherrschbare Methoden und Anwendungen zu gestalten, ist<br />
eine gemeinsame Anstrengung von Hochschulen, Wirtschaft und<br />
Die Ergebnisse der InformationWeek-IT-Security-<br />
Studie 2002 zeigen, dass Unternehmen hierzulande<br />
schleunigst ihre Sicherheitsvorkehrungen<br />
verbessern müssen. Bei der weltweiten<br />
Befragung von mehr als 8000 IT-Managern und -Sicherheitsverantwortlichen<br />
in fast 50 Ländern kam heraus, dass ausgerechnet die als<br />
übergenau geltenden Deutschen beim Thema Security häufig fünfe<br />
gerade sein lassen. Dabei sind mehr als die Hälfte der deutschen<br />
Unternehmen von Sicherheitsverletzungen betroffen. Die laxe Handhabung<br />
hängt mit dem finanziellen Druck zusammen, unter dem<br />
heutzutage immer mehr IT-Abteilungen stehen. So hat nur ein Viertel<br />
der befragten Firmen in den vergangenen zwölf Monaten das Sicherheitsbudget<br />
aufgestockt – trotz zunehmender Bedrohung durch<br />
Viren, Würmer und anderes gefährliches Getier.<br />
Doch blinder Aktionismus hilft wenig. Sicher ist, dass IT-Security-<br />
Projekte in erster Linie den Anbietern von Intrusion-Detection-<br />
Systemen, Application-Firewalls oder Public-Key-Infrastrukturen Geld<br />
in die Kassen spülen. Den gewünschten erhöhten Schutzfaktor bringen<br />
diese Projekte damit aber noch lange nicht. Im Gegenteil, sie<br />
scheitern häufig – an der hierzulande so verbreiteten Technikverliebtheit.<br />
Eigentlich eine Binsenweisheit: Ohne Security Policy und<br />
Mitarbeiterschulungen kann man sich das Geld für ausgefeilte<br />
ALWAYS ON I AUSGABE 02 I NOVEMBER 2002<br />
VON PROF. DR. KLAUS BRUNNSTEIN, FACHBEREICH INFORMATIK, UNIVERSITÄT HAMBURG<br />
ZUR NOTWENDIGKEIT EINES „HAMBURGER<br />
ZENTRUMS FÜR IT-<strong>SICHERHEIT</strong>“<br />
KONTAKT: PROF. DR. KLAUS BRUNNSTEIN, E-MAIL: brunnstein@informatik.uni-hamburg.de<br />
VON KERSTIN KLOSS, INFORMATIONWEEK<br />
REICHT IHR SCHUTZFAKTOR AUS?<br />
IT-SECURITY<br />
Anwendern, darunter auch Behörden und Organisationen erforderlich.<br />
Daher liegt es nahe, für die Hamburger Region ein „Hamburger<br />
Zentrum für IT-Sicherheit“ aufzubauen, in dem die interessierten<br />
Kreise zusammenarbeiten. Dieses Zentrum sollte bereits bestehende<br />
Fachkunde bündeln und in Zusammenarbeit mit einschlägig kompetenten<br />
Unternehmen zu konkreten Problemlösungen beitragen. Folgende<br />
Aspekte könnten zur ersten Arbeitsphase eines solchen<br />
Zentrums gehören:<br />
• Unterstützung bei der Bewältigung von Computer- und Netzunfällen,<br />
etwa im Bereich der Hackerangriffe sowie der<br />
Erkennung und Bereinigung von bösartiger Software<br />
(Computer and Network Incident Response)<br />
• Aufklärung von Ursachen von Computerunfällen und<br />
Zusammenbrüchen und die Vorbereitung von Rechtsverfahren<br />
(forensische Informatik)<br />
• Entwicklung zuverlässiger Verfahren zur Identifizierung<br />
von Nutzern (Biometrik, Signaturverfahren), wobei der Schutz<br />
der Privatsphäre schon im Entwurf zu berücksichtigen ist<br />
(Authentikationstechniken)<br />
• Entwicklung von Verfahren und Systemen zum Management<br />
von Systemen der IT-Sicherheit.<br />
Ein solches Zentrum, welches eng mit Hamburger Unternehmen zusammenarbeiten<br />
sollte, kann auf bestehender Fachkunde in<br />
Universität, Technischer Universität und Fachhochschule aufbauen,<br />
die durch neue Bereiche abzurunden sind.<br />
Sicherheitstools sparen. Deshalb sind die technischen Maßnahmen<br />
das, womit Sie sich bei dem Thema als letztes beschäftigen sollten.<br />
Überlegen Sie zunächst, welche Daten überhaupt in welchem<br />
Maße schützenswert sind und stellen Sie Richtlinien für die<br />
Informationssicherheit in Ihrem Unternehmen auf. Erst dann sollten<br />
Sie prüfen, welche technischen Hilfsmittel Sie dabei unterstützen<br />
können. Besonders wichtig: Beauftragen Sie spezielles Sicherheitspersonal,<br />
die Security Policy tatsächlich umzusetzen. Ohne einen gewissen<br />
Druck und Kontrolle werden Mitarbeiter ihre Arbeitsweisen<br />
und Gewohnheiten kaum ändern. Und da wir gerade beim Stichwort<br />
sind: Eine schlagkräftige IT-Sicherheitspolitik sollte auch rechtlich zulässige<br />
Mitarbeiterüberwachungen nicht ausklammern. In wirtschaftlich<br />
schwierigen Zeiten dürfte nämlich das Lopez-Syndrom zunehmen:<br />
Wer Angst um seinen Job hat, sammelt Insiderwissen, um damit<br />
bei der Konkurrenz unterzukommen, wenn es eng wird.<br />
WWW.INFORMATIONWEEK.DE<br />
Kerstin Kloss ist Chefkorrespondentin Norddeutschland von<br />
InformationWeek, dem zweiwöchentlichen IT-Magazin für das<br />
Management. InformationWeek hat dieses Jahr zum 5. Mal zusammen<br />
mit PriceWaterhouseCoopers eine Studie zur IT-Sicherheit 2002<br />
veröffentlicht, die für 990 Euro bei fsautner@cmp-weka.de angefordert<br />
werden kann.<br />
13