Menschenverstand und Augenmaß
Ein Bericht über das Siemens Security Forum 2002.
Viren, Spionageprogramme, Trojaner - alles unschöne Aspekte der Cyberkriminalität. Doch Fachleute sehen darin nicht die Hauptgefahr. Das unumstrittene Sicherheitsrisiko Nummer eins geht von den Unternehmen selbst aus. Sie ignorieren das Risiko oder setzen auf teure Standardlösungen.
Die Haftzeit ist vorbei. Sieben
Jahre lang durfte Kevin Mitnick nicht einmal eine Computermaus
anschauen. Jetzt kann der berühmte Hacker wieder online gehen -
und sich erneut seinem Lieblingssujet widmen. Auch wenn er sich
in Zukunft auf die Seite seiner einstigen Opfer stellen und
Unternehmen in IT-Sicherheitsfragen beraten will.
Mitnick ist einer von vielen, der mit seinen Angriffen auf
die Systeme von Motorola, Novell, Nokia, Sun Microsystems und der
Universität von Südkalifornien gezeigt hat: Das Internet ist
weder selbstreparierend noch atombombensicher. Das Netz der Netze
ist ein fragiles Gebilde - und wird durch sein exponentiell
schnelles Wachstum und seine rapide Kommerzialisierung immer
verletzlicher. Schon heute, so Kritiker, sei es ein Leichtes,
ganze Regionen, Landstriche oder Länder vom Internet abzukoppeln
und damit ein allmähliches "Aufribbeln" des gesamten Netzwerks zu
verursachen.
Sicherheit als Prozess.
Für Unternehmen sind solche
Aussagen nicht ohne Bedeutung. Auch sie sind von einem
reibungslosen Netzverkehr abhängig und müssen sich mit dem Thema
"Security" ernsthaft auseinander setzen.
Schützenhilfe dabei bietet Training and Services. Der
Weiterbildungsbereich von Siemens Business Services veranstaltet
in regelmäßigen Abständen Tagungen, Seminare und Workshops zum
Thema IT-Security, zum Beispiel zu den Themen Sicherheit in
Netzen, Firewalls, Datenschutz oder IT-Security als
Managementaufgabe. Besonders beliebt: das Security Forum - eine
dreitägige Veranstaltung mit Vorträgen und Workshops zu "Digital
Warfare", "E- und M-Payment", "Server Hardening", "Datenschutz
als Management- und Führungsaufgabe" sowie "Rechtliche Aspekte
der System- und Netzwerkadministration". Geladen sind nicht nur
IT-Verantwortliche, Sicherheitsbeauftragte, Systemadministratoren
und Webmaster, sondern auch Manager. Denn Sicherheit ist mehr als
ein Bündel einzelner Maßnahmen. Sicherheit ist ein Prozess, der
von allen im Unternehmen gelebt werden muss.
Darauf hinzuweisen ist auch Gerhard Gayer wichtig.
"Sicherheit", so der Leiter des Security-Forums, "ist ein
wichtiger Bestandteil der Unternehmenskultur. Deswegen wenden wir
uns nicht nur an all diejenigen, die das Sicherheitskonzept
umsetzen. Sondern auch an Manager, Consultants und
Organisatoren." Und Stephan Lechner, Leiter des Fachzentrums
Security bei Siemens: "Ohne Unterstützung des Managements wird
jedes Sicherheitskonzept scheitern. Und werden Unternehmen ein
beliebtes Ziel von Hackern, Crackern und minderjährigen Skript
Kiddies bleiben." Diese zu bestrafen sei sinnvoll, aber nicht die
Lösung. "Die Unternehmen setzen sich unnötigen Gefahren aus.
Unbewusst und bewusst."
Das bestätigt auch Sebastian Schreiber, Geschäftsführer des
auf Sicherheitsfragen spezialisierten Beratungsunternehmens SySS
und Referent auf dem Siemens-Forum. Sein Unternehmen überprüft
IT-Lösungen von Unternehmen auf Sicherheitsmängel. Seine
Erfahrung: "Auch wenn die deutsche Wirtschaft jedes Jahr mehrere
Milliarden Euro für IT-Sicherheit ausgibt: Die meisten
Unternehmen haben ihre Systeme nicht wirksam gegen Angriffe aus
dem Internet geschützt." Die Gefahr werde unterschätzt, das
Risiko klein geredet - vor allem von den kleinen und
mittelständischen Betrieben. "Das Einzige, was sie vielleicht
überzeugen könnte, sind Zahlen. Doch Zahlen über Netz-Angriffe
sind kaum vorhanden. Denn weder die Hacker noch die geschädigten
Unternehmen sind an Öffentlichkeit interessiert. Die Hacker
wollen unerkannt bleiben und der Justiz entgehen. Die Unternehmen
haben Angst, das Vertrauen ihrer Kunden und Partner zu
verlieren."
Angriff mit wenigen Klicks.
Wie schnell Unternehmen zu Opfern
werden, präsentiert Schreiber am Abend des ersten Tages: Mit
Hilfe des Trojanischen Pferdes Cafeini, das sich der
Sicherheitsexperte kostenlos aus dem Netz zieht, attackiert er
diverse Office-Computer, durchstöbert Dateien, fertigt Kopien und
missbraucht die Mikrofone der Rechner als Wanzen.
Die Frage "Wie kann man sich schützen?" ist angesichts
solcher Sicherheitsmängel verständlich, doch von den Experten
nicht abschließend zu beantworten. Schon gar nicht mit einem
Verweis auf eine bestimmte Software. Stephan Lechner vom
Siemens-Fachbereich Security: "Es gibt keine Standardlösung. Und
es gibt keine 100-prozentige Sicherheit - auch wenn
Geschäftemacher das immer wieder behaupten. Die Unternehmen
müssen Profis einstellen oder beauftragen, um nicht das
bestmögliche, sondern das benötigte Sicherheitsniveau zu
schaffen." Doch das setze drei Dinge voraus: Menschenverstand,
Augenmaß sowie eine gleichberechtigte Partnerschaft zwischen
Management und Sicherheitsverantwortlichen. "Security ist viel zu
komplex geworden, um als Nebensache gehandhabt zu werden. Nur wer
das begreift, kann sich schützen - und vertrauensvoll in die
Zukunft blicken."
Kontakt:
Gerhard Gayer
gerhard.gayer@siemens.com
Das nächste Siemens Security Forum findet am 26. Mai 2003
statt.
Informationen und Anmeldung unter
www.siemens.com/learning
© changeX Partnerforum [13.01.2003] Alle Rechte vorbehalten, all rights reserved.
changeX 13.01.2003. Alle Rechte vorbehalten, all rights reserved.
Artikeltags
LS training and services GmbH & Co. KG
Weitere Artikel dieses Partners
Beim E-Day von LS training and services und bit media bekamen Besucher einen Überblick über innovative Lernformen. zum Report
Neue Forschungsergebnisse und Instrumente zur Unterstützung virtueller Zusammenarbeit. zum Report
LS training and services verschenkt Eintrittskarten für die größte Fachmesse im Bereich E-Learning. zum Report
