Eines ist gewiss: Auch in diesem Jahr wird es sie wieder geben, die Meldungen von Sicherheitslücken und Datenpannen aus dem Bereich der IT und Computernetzwerke. Dr. Volker Scheidemann, Autor zahlreicher Fachbeiträge und seit 10 Jahren Referent bei Veranstaltungen des BSI und BITKOM sowie auf der weltgrößten Computermesse CeBit, nimmt im Interview Stellung zu aktuellen Entwicklungen. Er erklärt, wie Unternehmen sich zuverlässig schützen können und mit welchen Trends er für das neue Jahr rechnet.
Herr Dr. Scheidemann, 2009 gab es wieder eine ganze Reihe von Fällen, in denen Unternehmen besonders kritische Daten abhanden gekommen sind. Welche davon haben Sie als Experten besonders unangenehm überrascht und warum?
Überrascht hat mich keiner der Fälle, da meiner Erfahrung nach IT-Sicherheit noch immer von der Mehrzahl der Unternehmen nicht ernst genug genommen wird. Positiv überrascht hätte mich, wenn sich die Einstellung der Unternehmen grundsätzlich geändert hätte.
Welche Trends haben die Entwicklung der IT-Sicherheit 2009 geprägt?
Vor allem die Wirtschaftskrise hat zu einer deutlichen Kostenzurückhaltung bei Unternehmen geführt. Dadurch sind vielerorts auch lange geplante Investitionen verschoben und Sicherheitslücken nicht geschlossen worden. Etliche Unternehmen haben das sorgsam geplante IT-Sicherheitskonzept dann eben doch nicht implementiert, sondern sich entschieden, ihre Ausgaben zu kürzen. Selbst große Firmen bilden da keine Ausnahme. Ich hoffe allerdings im Interesse der Unternehmen stark darauf, dass dieser Trend mit dem Abflauen der Wirtschaftskrise ebenfalls zu Ende geht. Damit es nicht irgendwann zum Datenklau-GAU kommt.
Wo sehen Sie 2010 die größten Risiken für die Datensicherheit in Unternehmensnetzwerken? In Ihren Vorträgen fordern Sie zur Vorsorge auf. Welche Maßnahmen sind dabei nötig und sinnvoll?
Wer sein Netzwerk wirklich sicher schützen will, der setzt auf umfassende Verschlüsselungsmaßnahmen, nicht nur für Laptops oder E-Mails. Vor allem die Millionen von Dokumenten, die täglich in den Firmen produziert und auf Dateiservern gespeichert werden, müssen besser geschützt werden. Sie enthalten das geistige Kapital eines Unternehmens. Hier sehe ich noch großen Nachholbedarf.
Aber am wichtigsten überhaupt scheint mir ein Umdenken zu sein. Wir Deutschen neigen dazu, immer eine vollkommene Lösung zu suchen, die hundertprozentige Sicherheit verspricht. Wenn die nicht zu haben ist, verzichten wir gleich ganz. Experten wissen, dass es vollständige IT-Sicherheit gar nicht geben kann. Deshalb plädiere ich für einen Ansatz nach dem Pareto-Prinzip. 80 Prozent der Maßnahmen für mehr Sicherheit lassen sich schon mit 20 Prozent des Gesamtaufwands erreichen. Das ist kosteneffektiv und ergibt eine gute Absicherung.
An welcher Stelle sehen Sie bei den deutschen Unternehmen die größten Lücken in Bezug auf IT-Sicherheit?
Die größte Lücke schafft der Mensch selbst. Erstens, weil die meisten Sicherheitsprobleme aus alltäglichen menschlichen Fehlern resultieren. Und zweitens, weil viele Verantwortliche denken, dass ihnen schon nichts passieren wird. Deshalb verzichten sie auf ausreichende Sicherheitsmaßnahmen. Hier liegt das größte Problem.
Aus technischer Sicht ist vor allem die umfassende Verschlüsselung sensibler Dokumente nötig, gepaart mit einem intelligenten Zugriffsmanagement. Die wenigsten Unternehmen haben so etwas, dabei gibt es gute Lösungen am Markt.
Aus Ihrer Erfahrung betrachtet: Welche Einstellungen und Umstände bei den Entscheidern verhindern die Einführung wirksamer Schutzmechanismen?
Viele Verantwortliche erkennen den Nutzen der IT-Sicherheit zu wenig, weil er sich nicht mit einem konkreten „Return on Investment“ belegen lässt. Erst wenn das Kind in den Brunnen gefallen ist und Daten abhanden gekommen sind, setzt umso lauteres Wehklagen ein. Laut Studien des Ponemon Institutes liegt der durchschnittliche Schaden eines Datenverlustes bei über 2 Millionen Euro. Eine Investition von sagen wir 10.000 Euro in die IT-Sicherheit gilt den meisten Unternehmen aber schon als viel zu hoch. Diese Diskrepanz verstehe, wer will.
Das Bemühen um IT-Sicherheit wird als störend empfunden und steht im Verdacht, die Arbeitseffizienz zu behindern. Deshalb erleben wir es oft, dass andere IT-Projekte der Sicherheit vorgezogen werden. Moderne Sicherheitsprodukte wie etwa unsere eigene Lösung fideAS file enterprise sind gerade daraufhin ausgerichtet, die regelmäßigen Arbeitsabläufe nicht zu stören. Sie laufen unsichtbar als Hintergrundprozess. Aber das wissen viele Entscheider einfach nicht.
Welche neuen Trends erwarten Sie für 2010? Welche aktuellen Trends setzen sich weiter fort?
Durch neue gesetzliche Regelungen in Deutschland und der EU dürfte die Nachfrage nach wirksamen Schutzmechanismen deutlich zunehmen. Denn das Bundesdatenschutzgesetz hat Datenschutzverletzungen, die durch mangelnde Absicherung entstanden sind, nicht nur mit höheren Bußgeldern versehen, sondern verlangt erstmals von den Unternehmen, zu veröffentlichen, wenn Daten ihrer Kunden oder Mitarbeiter in die falschen Hände gelangt sind. Die Angst vor dem daraus resultierenden Imageschaden wird dabei ein entscheidender Faktor sein. Leider ist es immer noch so, dass die Angst am besten dazu motiviert, wirksame Sicherheitsmaßnahmen zu ergreifen. Das liegt in der menschlichen Natur. Wir IT-Sicherheitsberater werden deshalb auch das Image der Kassandra kaum los. Hier wünsche ich mir mehr Einsicht und die Bereitschaft zu aktiver Vorsorge. Ein Trend, der sich fortsetzen dürfte, wird für viele Unternehmen Compliance sein, also die Einhaltung gesetzlicher und anderer regulatorischer Vorschriften. Das wirkt sich auch zunehmend auf IT-Sicherheitsfragen aus. Wie häufig bei solchen Trends finden wir das Vorbild in den USA vor, wo Compliance „ein ganz heißes Ding“ ist. Das wird auch in Europa so kommen. Letztlich hoffe ich darauf, dass speziell in Deutschland mehr Unternehmen erkennen, dass Wissen und Innovationskraft ihr größtes Kapital sind - und dass sie deshalb alle Daten, in denen das steckt, besonders gut schützen müssen.
Weitere Informationen: www.apsec.de.
Herr Dr. Scheidemann, 2009 gab es wieder eine ganze Reihe von Fällen, in denen Unternehmen besonders kritische Daten abhanden gekommen sind. Welche davon haben Sie als Experten besonders unangenehm überrascht und warum?
Überrascht hat mich keiner der Fälle, da meiner Erfahrung nach IT-Sicherheit noch immer von der Mehrzahl der Unternehmen nicht ernst genug genommen wird. Positiv überrascht hätte mich, wenn sich die Einstellung der Unternehmen grundsätzlich geändert hätte.
Welche Trends haben die Entwicklung der IT-Sicherheit 2009 geprägt?
Vor allem die Wirtschaftskrise hat zu einer deutlichen Kostenzurückhaltung bei Unternehmen geführt. Dadurch sind vielerorts auch lange geplante Investitionen verschoben und Sicherheitslücken nicht geschlossen worden. Etliche Unternehmen haben das sorgsam geplante IT-Sicherheitskonzept dann eben doch nicht implementiert, sondern sich entschieden, ihre Ausgaben zu kürzen. Selbst große Firmen bilden da keine Ausnahme. Ich hoffe allerdings im Interesse der Unternehmen stark darauf, dass dieser Trend mit dem Abflauen der Wirtschaftskrise ebenfalls zu Ende geht. Damit es nicht irgendwann zum Datenklau-GAU kommt.
Wo sehen Sie 2010 die größten Risiken für die Datensicherheit in Unternehmensnetzwerken? In Ihren Vorträgen fordern Sie zur Vorsorge auf. Welche Maßnahmen sind dabei nötig und sinnvoll?
Wer sein Netzwerk wirklich sicher schützen will, der setzt auf umfassende Verschlüsselungsmaßnahmen, nicht nur für Laptops oder E-Mails. Vor allem die Millionen von Dokumenten, die täglich in den Firmen produziert und auf Dateiservern gespeichert werden, müssen besser geschützt werden. Sie enthalten das geistige Kapital eines Unternehmens. Hier sehe ich noch großen Nachholbedarf.
Aber am wichtigsten überhaupt scheint mir ein Umdenken zu sein. Wir Deutschen neigen dazu, immer eine vollkommene Lösung zu suchen, die hundertprozentige Sicherheit verspricht. Wenn die nicht zu haben ist, verzichten wir gleich ganz. Experten wissen, dass es vollständige IT-Sicherheit gar nicht geben kann. Deshalb plädiere ich für einen Ansatz nach dem Pareto-Prinzip. 80 Prozent der Maßnahmen für mehr Sicherheit lassen sich schon mit 20 Prozent des Gesamtaufwands erreichen. Das ist kosteneffektiv und ergibt eine gute Absicherung.
An welcher Stelle sehen Sie bei den deutschen Unternehmen die größten Lücken in Bezug auf IT-Sicherheit?
Die größte Lücke schafft der Mensch selbst. Erstens, weil die meisten Sicherheitsprobleme aus alltäglichen menschlichen Fehlern resultieren. Und zweitens, weil viele Verantwortliche denken, dass ihnen schon nichts passieren wird. Deshalb verzichten sie auf ausreichende Sicherheitsmaßnahmen. Hier liegt das größte Problem.
Aus technischer Sicht ist vor allem die umfassende Verschlüsselung sensibler Dokumente nötig, gepaart mit einem intelligenten Zugriffsmanagement. Die wenigsten Unternehmen haben so etwas, dabei gibt es gute Lösungen am Markt.
Aus Ihrer Erfahrung betrachtet: Welche Einstellungen und Umstände bei den Entscheidern verhindern die Einführung wirksamer Schutzmechanismen?
Viele Verantwortliche erkennen den Nutzen der IT-Sicherheit zu wenig, weil er sich nicht mit einem konkreten „Return on Investment“ belegen lässt. Erst wenn das Kind in den Brunnen gefallen ist und Daten abhanden gekommen sind, setzt umso lauteres Wehklagen ein. Laut Studien des Ponemon Institutes liegt der durchschnittliche Schaden eines Datenverlustes bei über 2 Millionen Euro. Eine Investition von sagen wir 10.000 Euro in die IT-Sicherheit gilt den meisten Unternehmen aber schon als viel zu hoch. Diese Diskrepanz verstehe, wer will.
Das Bemühen um IT-Sicherheit wird als störend empfunden und steht im Verdacht, die Arbeitseffizienz zu behindern. Deshalb erleben wir es oft, dass andere IT-Projekte der Sicherheit vorgezogen werden. Moderne Sicherheitsprodukte wie etwa unsere eigene Lösung fideAS file enterprise sind gerade daraufhin ausgerichtet, die regelmäßigen Arbeitsabläufe nicht zu stören. Sie laufen unsichtbar als Hintergrundprozess. Aber das wissen viele Entscheider einfach nicht.
Welche neuen Trends erwarten Sie für 2010? Welche aktuellen Trends setzen sich weiter fort?
Durch neue gesetzliche Regelungen in Deutschland und der EU dürfte die Nachfrage nach wirksamen Schutzmechanismen deutlich zunehmen. Denn das Bundesdatenschutzgesetz hat Datenschutzverletzungen, die durch mangelnde Absicherung entstanden sind, nicht nur mit höheren Bußgeldern versehen, sondern verlangt erstmals von den Unternehmen, zu veröffentlichen, wenn Daten ihrer Kunden oder Mitarbeiter in die falschen Hände gelangt sind. Die Angst vor dem daraus resultierenden Imageschaden wird dabei ein entscheidender Faktor sein. Leider ist es immer noch so, dass die Angst am besten dazu motiviert, wirksame Sicherheitsmaßnahmen zu ergreifen. Das liegt in der menschlichen Natur. Wir IT-Sicherheitsberater werden deshalb auch das Image der Kassandra kaum los. Hier wünsche ich mir mehr Einsicht und die Bereitschaft zu aktiver Vorsorge. Ein Trend, der sich fortsetzen dürfte, wird für viele Unternehmen Compliance sein, also die Einhaltung gesetzlicher und anderer regulatorischer Vorschriften. Das wirkt sich auch zunehmend auf IT-Sicherheitsfragen aus. Wie häufig bei solchen Trends finden wir das Vorbild in den USA vor, wo Compliance „ein ganz heißes Ding“ ist. Das wird auch in Europa so kommen. Letztlich hoffe ich darauf, dass speziell in Deutschland mehr Unternehmen erkennen, dass Wissen und Innovationskraft ihr größtes Kapital sind - und dass sie deshalb alle Daten, in denen das steckt, besonders gut schützen müssen.
Weitere Informationen: www.apsec.de.
