Bildergalerie zum Event

Die Technik im Griff zu haben, ist eine Sache. Mindestens ebenso bedeutend für die IT-Sicherheit scheint aber die Motivation der Arbeitnehmer. „100 Prozent des Know-hows geht am Abend nach Hause. Das heißt, dass der Faktor Mensch der Schlüssel ist", erklärte Maximilian Burger-Scheidlin, Geschäftsführer der Internationalen Handelskammer (ICC Austria) gestern, Donnerstagabend, bei einer Podiumsdiskussion der APA-E-Business-Community in Wien.

Sicherheit beginne bei der Personalauswahl, der Einbindung in Entscheidungsprozesse und dem Führungsstil. Denn: Frust, Mobbing und unmoralisch handelnde Vorgesetzte würden firmeninternem Betrug, Sabotage und Spionage den Boden bereiten. Auf diese Aspekte habe der Sicherheits-Zuständige keinen Einfluss, hier würden aber die Probleme beginnen.

Wer unzufrieden sei, stelle eine Schwachstelle dar - „und das ist die Basis für böse Attacken". „Ein Großteil der Spionage fällt den Unternehmen gar nicht auf. Wenn man später draufkommt, wird alles unter den Teppich gekehrt", sagte Burger-Scheidlin. Aber nicht nur Großunternehmen stünden im Visier von Angriffen. Auch kleine Unternehmen, die in ihrer Nische am Weltmarkt mitmischen, seien beliebte Ziele.

Krisenszenarien durchspielen

„Das Thema Industriespionage ist stark im Vormarsch und nutzt für den ‘Erstkontakt‘ unter anderem Social Engineering-Methoden und natürlich Social Media", betonte auch Thomas F. Blaschka von Kapsch. Er empfiehlt den Unternehmen durchzuspielen, was im Ernstfall passieren kann, um Routinen zu entwickeln und eine schnelle Reaktion sicherzustellen.

„Sicherheit soll aber ermöglichen, nicht verhindern. Wenn ich Mitarbeitern, die frisch von der Uni kommen, die Social Media-Nutzung einfach verbiete, sind sie nach zwei Monaten wieder weg", so Blaschka. Entsprechende Konzepte dürften außerdem nicht zu kompliziert sein: „Unser Sicherheitshandbuch hat beispielsweise zwölf Seiten." Einzigartig an Österreich sei, dass hierzulande beim Thema IT-Sicherheit sogar der Austausch mit Mitbewerbern funktioniere.

Sicherheitsvorfälle offenlegen

„Die Kommunikation entsprechender Informationen ist wichtig, nur so kommen wir voran", gab sich auch Tanja Zseby von der Technischen Universität (TU) Wien überzeugt. Sie bemängelte ebenfalls, dass Sicherheitsvorfälle zu oft unter den Teppich gekehrt werden. Neben der eigentlichen Gefahrenabwehr müssten zusätzlich die Netze überwacht werden, um ungewöhnliche Aktivitäten im Netz erkennen zu können.

„Angriffsszenarien sind heute dank Web 2.0 und mobiler Endgeräte auch bei vermeintlich gut geschützten Unternehmen wesentlich einfacher", meint Mario Rys von NextiraOne. Wichtig sei ein Sensorium, damit Unregelmäßigkeiten überhaupt auffallen. Oft mangle es auch an Awareness: „Was kann man mir schon stehlen?", werde oft gefragt. Wichtig sei eine „gleichmäßige" Sicherheit. „Das heißt, dass auch kleine Dienstleister, die man engagiert, ein ähnliches Sicherheitsniveau wie man selbst aufweisen müssen", so Rys.

Neue Herausforderung durch private Geräte

Dass IT-Sicherheit nicht funktioniert, egal wie ausgereift die Technik ist, wenn man den Faktor Mensch nicht im Griff hat, zeige auch der Trend zu „Bring Your Own Device" (BYOD), so Bernd Kolinowitz von der A1 Telekom Austria. Jahrelang seien die Unternehmensnetze abgesichert worden, „und dann stürmen die Mitarbeiter mit ihren privaten Geräten rein", erklärte Kolinowitz. „Es ist ja gut, wenn mobil gearbeitet werden kann. Andererseits muss man sich überlegen, ob nicht teilweise Einschränkungen beim Zugriff auf bestimmte Daten notwendig sind."

Bei BYOD seien zwei Aufgaben zu erfüllen, so Gerald Kortschak von der Wirtschaftskammer Österreich (WKO): Einerseits müssten Verhaltensrichtlinien eingeführt werden und andererseits die IT-Verantwortlichen das Know-how haben, sich bei den verwendeten Geräten auch auszukennen. Er bestreitet außerdem, dass es in Klein- und Mittelunternehmen (KMU) schlechter um die IT-Sicherheit bestellt ist. „Das ist nicht so einfach vergleichbar", sagte Kortschak.