Aktuelles, Branche, Veranstaltungen - geschrieben von am Mittwoch, Oktober 17, 2012 23:19 - 2 Kommentare

it-sa 2012: Engagierte Stellungnahmen und Diskussionen zu volkswirtschaftliche Aspekten der Datensicherheit

Noch vor der Entscheidung für konkrete technische Schutz- und Sicherungsmaßnahmen müssen Fehlermanagement und Unternehmenskultur behandelt werden

[datensicherheit.de, 17.10.2012] Die Herausgeber von datensicherheit.de nehmen als Medienpartner der „it-sa 2012“ anerkennend zur Kenntnis, dass sich die Veranstalter und die Träger der Messe um eine konsequente Auffächerung des Themas bemühen – längst geht es nicht mehr allein um IT-Schutz und -Sicherung im engeren technischen Sinne. Daten als Träger von Informationen stellen schließlich schon einen Vermögenswert dar, denn es zu bewahren gilt. Nimmt dieser Schaden, so ist dies auf privater bzw. betrieblicher und in der Summe auf volkswirtschaftlicher Ebene fatal.

Die wiederholten Mahnungen des BITKOM an den deutschen Mittelstand

Aus diesem Grund hat der BITKOM die „it-sa 2012“ zum Anlass genommen, wiederholt auf die besondere Rolle des Mittelstands hinzuweisen. Seinen Erfahrungen nach, machten viele kleine und mittlere Unternehmen (KMU) keine Vorgaben zur sicheren PC-Nutzung im Betrieb – die Mitarbeiter lasse man in Datensicherheitsfragen allein. Vier von zehn Beschäftigten bekämen in Sachen IT-Sicherheit nicht die notwendige Unterstützung von ihrem Arbeitgeber, so BITKOM-Präsident Prof. Dieter Kempf – die KMU unterschätzten die Risiken.

Foto: Dirk Pinnow

Foto: Dirk Pinnow

Prof. Dieter Kempf warnt KMU vor Unterschätzung der Risiken beim Umgang mit betrieblichen Daten

Der richtige Umgang der Mitarbeiter mit Computern, mobilen IuK-Geräten und dem Internet sei zentrale Voraussetzung zur Eindämmung der Gefahren für die Unternehmen. Auch diese banal anmutende Erkenntnis hat eine signifikante volkswirtschaftliche Dimension. Dies zeigt auch die BITKOM-Publikation „Vertrauen und Sicherheit im Netz“ von 2012. Demnach habe außerhalb der IuK- bzw. IKT-Unternehmen nur jeder zweite Mittelstandsbetrieb Notfallpläne für IT-Schadensfälle. Gleichwohl sei Vertrauen für den Geschäftserfolg mittels Webanwendungen erfolgsentscheidend – so hätten 69 Prozent der Anwender online Schwierigkeiten, die Vertrauenswürdigkeit von Unternehmen bzw. Personen einzuschätzen. Daher forderten die Verbraucher zu 76 Prozent für Online-Angebote „nachvollziehbare Datensicherheit“ bzw. zu 75 Prozent „nachvollziehbaren Datenschutz“. In gleicher Größenordnung liege die Forderung nach verständlichen und fairen Geschäftsbedingungen. Diese Erwartungen würden laut BITKOM sogar höher bewertet als die Produktqualität (67 Prozent) oder der Firmenname des Anbieters (49 Prozent). Vertrauen sei nicht einzukaufen, etwa in Form von Audits und Zertifizierungen, sondern nur durch hartes Erarbeiten des bestmöglichen Datenschutzes bzw. eines Höchstmaßes an Datensicherheit zu erzielen, betont der Verband.
Der BITKOM-Präsident hob nun die Rolle der „it-sa“ als Plattform für den Austausch zwischen Wirtschaft und Öffentlicher Hand hervor. Deren Kooperation sei nötig, um die private wie die staatliche IuK-Infrastruktur gegen Cyber-Angriffe zu schützen. Der deutsche Mittelstand gehöre in vielen Bereichen zu den innovativsten weltweit, so im Maschinenbau, in der Medizintechnik oder in der Elektroindustrie. Daraus resultierten Begehrlichkeiten. Es hätten bereits 39 Prozent aller deutschen Unternehmen Angriffe auf ihre IuK-Systeme verzeichnet, teilweise sogar mehrfach. Ein Drittel habe Erfahrungen mit Datenverlusten machen müssen.
Aus der Verunsicherung der KMU erwachse zudem eine weitere, bisher kaum beachtete Problematik – viele Unternehmen verzichteten lieber auf Web-Transaktionen; 17 Prozent unterließen Online-Bestellungen und elf Prozent das Online-Banking. Bei immerhin rund 3,5 Millionen Unternehmen in Deutschland sei dies eine Größenordnung von Hunderttausenden Betrieben. Der BITKOM weist in diesem Zusammenhang auf die volkswirtschaftlich relevante Einbuße an Produktivität hin.

Deutschland ist längst im Cyber-Zeitalter angekommen!

Die Beauftragte für Informationstechnik, Staatssekretärin im Bundesinnenministerium Cornelia Rogall-Grothe, hatte in ihrer Eröffnungsrede „Cyber-Sicherheit – Gemeinsam zum Erfolg“ betont, dass schon heute 40 Prozent der weltweiten Wertschöpfung IuK-basiert erfolge. In Deutschland hänge bereits die Hälfte der Unternehmen aller Branchen vom Internet ab. Große Teile der nationalen Infrastrukturen seien IT-gesteuert. „Deutschland ist längst im Cyber-Zeitalter angekommen!“, führte die Staatssekretärin aus.

Foto: Dirk Pinnow

Foto: Dirk Pinnow

Staatssekretärin Cornelia Rogall-Grothe fordert starke Kooperation zwischen Staat, Wirtschaft und Privatanwendern

Zentrale Frage der Daseinsvorsorge seien Verfügbarkeit und Integrität der IuK, unterstrich Rogall-Grothe. Das FBI aber melde einen Anstieg der Cyber-Attacken um 84 Prozent in den vergangenen zehn Jahren; in Deutschland habe sich zwischen 2006 und 2011 die IuK-Kriminalität von rund 30.000 auf 60.000 Fälle verdoppelt. Sie plädiert daher für eine starke Kooperation zwischen Staat, Wirtschaft und Privatanwender.

Besser gleich ohne Schaden klug werden!

Am zweiten Tag moderierte der „spiritus rector“ der Messe, Peter Hohl, Vorsitzender des it-sa Benefiz e.V. und Geschäftsführer der SecuMedia-Verlags-GmbH, die Veranstaltung „IT – aber sicher! Neue Wege den Mittelstand fit zu machen. Die Projekte der Task Force ,IT-Sicherheit in der Wirtschaft'“. Für die „Awareness“ wäre es wohl am besten, wenn ein Schadensfall auftritt; und ein Sprichwort sage, dass man aus Schaden klug werde. Aber Hohl richtete die Frage in das Auditorium, ob man den Schaden denn nicht besser auslassen könne und gleich klug werde…

Foto: Dirk Pinnow

Foto: Dirk Pinnow

Peter Hohl wünscht sich, dass Unternehmer ohne Schaden klug werden

Sodann stellte Bärbel Vogel-Middeldorf, Leiterin der Unterabteilung „Telekommunikations- und Postpolitik, internationale Angelegenheiten“ im Bundesministerium für Wirtschaft und Technologie die Aufgaben und Ziele der „Task Force IT-Sicherheit- in der Wirtschaft“ vor.

Foto: Dirk Pinnow

Foto: Dirk Pinnow

Bärbel Vogel-Middeldorf setzt sich für die Unterstützung der KMU in Fragen der IuK-Sicherheit ein

Sie unterstrich, dass die KMU der Unterstützung bedürften und diese auch erhalten sollten. Es bestehe dort insbesondere Handlungsbedarf im organisatorischen Bereich. So fehlten – wie vom BITKOM beschrieben – Notfallpläne für IT-Schadensfälle, aber auch Schulungen für Mitarbeiter. Die sichere Wirtschaft sei ein bedeutendes Ziel des Staates, und darum wolle sich diese Task-Force kümmern.

Industrielle IT-Sicherheit bisher eher noch ein Stiefkind der betrieblichen Datensicherheit

Ebenfalls am zweiten Messetag fand die Podiumsdiskussion „Roundtable zum Thema Industrielle IT-Sicherheit“ statt. Moderator Dr. Thomas Störtkuhl von der TÜV SÜD AG stellte das Thema Industriespionage an den Anfang. Marco Di Filippo von der Compass Security AG führte aus, dass man kritische Strukturen im Rahmen einer Studie entdeckt habe; erschreckend sei das einfache Auffinden gewesen.

Foto: Dirk Pinnow

Foto: Dirk Pinnow

Marco Di Filippo zeigt sich erschreckt über aufgedeckte kritische Strukturen in der Industrie

Es sei daher eine gewisse Geheimhaltung geboten, erläuterte Di Filippo. 200 Firmen seien aber wegen der erkannten Schwachstellen kontaktiert worden. Es sei leider nicht immer klar, wer dort zu adressieren sei. Im Umfeld der Schnittstelle von IT, Telefonie und Haustechnik diskutierten leider oft die „falschen Leute“.

Foto: Dirk Pinnow

Foto: Dirk Pinnow

Dr. Gerd Wartmann wünscht sich, dass Schadensvorfälle bekannt gemacht werden, um daraus zu lernen

Dr. Gerd Wartmann von der Endress und Hauser Consult AG erklärte zu Dr. Störtkuhls Frage, warum so wenig darüber bekannt sei, dass niemand gerne mit einem solchen Thema an die Öffentlichkeit gehe. Indes wäre es fair, andere zu warnen. Dr. Störtkuhl betonte, dass Schadensvorfälle bekannt gemacht werden müssten, um daraus zu lernen. „Stuxnet“ habe immerhin zu einer gewissen Sensibilisierung geführt – fast müsse man den Verursachern in diesem Sinne dankbar sein.

Foto: Dirk Pinnow

Foto: Dirk Pinnow

Michael Krammel: Anwender müssten nach Implementation von Schutztechnologie gut geschult werden

Michael Krammel von der KORAMIS GmbH führte aus, dass die Erkennung eines Angriffs auch schwierig sein könne – ggf. sei eine Fehlerinterpretation als zufälliger regulärer Störfall möglich. Er äußerte sich kritisch zur Fernwartung; dennoch sei eher die mangelnde „Awareness“ problematisch. In diesem Zusammenhang führte er beispielhaft die Umgehung von Schutzmaßnahmen, etwa durch Nutzung eines USB-Sticks, an. Anwender müssten nach Implementation von Schutztechnologie gut geschult werden. Kritisch sei, dass man zuweilen die „Security Policy“ für den industriellen Bereich eines Betriebes einfach aus dem Office-Bereich übernehme. In den Betrieben sei es schwierig, hierfür einen Ansprechpartner zu finden, denn oft fehle eine explizite Stelle in der Organisation.

Foto: Dirk Pinnow

Foto: Dirk Pinnow

Torsten Rössel weist auf Verschwiegenheit nach dem Eintritt von Schadensfällen hin

Torsten Rössel von der Innominate Security Technologies AG beruhigte etwas mit dem empirischen Hinweis, dass bisher zum Glück kaum gezielte Attacken aufgetreten seien, sondern eher ein zufälliger Malware-Befall als eine Art „Kollateralschaden“. Es sei aber eben zumeist mit Verschwiegenheit zu rechnen.

Foto: Dirk Pinnow

Foto: Dirk Pinnow

Markus Bartsch erklärt, dass Sicherheitsmaßnahmen zuweilen aus Angst vor Störung der Funktionalität vermieden würden

Markus Bartsch von der TÜV Informationstechnik GmbH erklärte auf Dr. Störtkuhls Nachfrage nach Bedrohungsanalysen, dass es diese in Hinblick auf funktionale Sicherheit ja schon seit Jahrzehnten gebe, aber heute seien Industrieanlagen nicht mehr isoliert, sondern häufig an öffentliche Netze angebunden. Langsam beginne auch für diese Problematik eine gewisse Sensibilisierung. Warum in der Praxis gerne auf das Einbinden eines Sicherheits-Patch‘ verzichtet werde, erklärte er damit, dass man dadurch die Beeinträchtigung der Funktionalität befürchte.

Die Herausgeber von datensicherheit.de sehen die „it-sa“ auf einem guten Wege zu einer Leitmesse für Datensicherheit mit Weltgeltung. Im Zuge der wachsenden Vernetzung müssten alle Anwender erkennen, dass es nicht nur um ihre eigene Sicherheit geht, sondern ungeahnte Auswirkungen mit gewaltigem Schadenspotenzial drohen. Aber anstatt immer nur von der Bedrohung für Verbraucher, Behörden und ganzen Volkswirtschaften zu reden, sollte man ebenso die Chancen einer höchstmöglichen Datensicherheit betonen – den Standortvorteil für Deutschland und die konkrete Vision einer Technikführerschaft auch im IuK-Bereich.


2 Kommentare

Sie können Kommentare zu diesem Eintrag über den RSS-2.0-Feed verfolgen. Sie können einen Kommentar hinterlassen oder einen Trackback von Ihrer Website hierher setzen.

Torsten Rössel
Okt 18, 2012 17:34

Hallo,
Sie haben in diesem Beitrag die Fotos von Michael Krammel und mir vertauscht den Textblöcken zugeordnet.
MfG
Torsten Rössel

Carsten Pinnow
Okt 19, 2012 0:01

Lieber Herr Rössel,

vielen Dank für Ihren Hinweis! Wir haben den Fehler korrigiert!

Carsten Pinnow

Kommentieren

Kommentar

Kooperation

TeleTrusT

Mitgliedschaft

German Mittelstand e.V.

Mitgliedschaft

BISG e.V.

Multiplikator

Allianz für Cybersicherheit

Datenschutzerklärung