[datensicherheit.de, 27.10.2021] Vom 15. bis 18. November 2021 liegt der Fokus der hybriden sogenannten SECURITYWEEK auf Sicherheit: „IT Security, um genau zu sein.“ Beleuchtet werden sollen Trends, Konzepte und Lösungen, zudem Unternehmen und Experten zueinander finden und so ein Stück weit mithelfen, „dass wir und unsere Unternehmen zukünftig sicherer unterwegs sind“. Die Präsenz-Veranstaltungen in München sind kostenpflichtig – die Online-Teilnahme an allen Veranstaltungen via „zoom“ ist hingegen nach Angaben des Veranstalters kostenlos möglich, das Kontingent aber begrenzt.

Abbildung: Werner Theiner

SECURITYWEEK 2021 mit Impulsen u.a. von (ohne Gewähr):

• Dr. Frank Laicher, Chief Information Security Officer, Ministerium für Wirtschaft, Innovation, Digitalisierung und Energie des Landes NRW
• Carsten Meywirth, Director Cybercrime @ Bundeskriminalamt (BKA)
• DI Helmut Leopold, PHD, Head of Center for Digital Safety & Security, AIT
• Abdelkader Cornelius, Corporate Engineer DACH bei Cybereason
• Michael Veith, Technology Evangelis, SOPHOS
• Prof. Thomas Koehler, unabhängiger Security Experte

Thementagen der SECURITYWEEK 2021:

• „Hackers“
• „Cyber War“
• „Sentinel“
• „Darknet“ mit anschließender „Afterwork Dark Night“ in München

Programmpunkte der SECURITYWEEK 2021

• Beim „Morning Briefing“ informieren Experten über neueste Trends und Entwicklungen (ds-Herausgeber Carsten Pinnow moderiert an drei Tagen).
• „HIGH NOON“ ist der „pitch vor 12“: Security-Experten stellen sich vor.
• Nachmittags bei „DEEP DIVE Sessions“ stehen Best-Practises im Fokus und in lehrreichen Workshops lässt sich das Know-how vertiefen.
• Abends im Rahmen der „Late Night“ Einladung zum Treffen – virtuell oder real an der Hotelbar – „zum Ratschen, Klönen und Schnacken“.

Weitere Informationen zum Thema:

datensicherheit.de, 27.04.2021
SecurITyWEEK 2021: German Mittelstand macht IT-Sicherheit zur Chefsache

Security Week
Chefsache: SecurITyWEEK | Eine Woche Know-how, Kontakte und Inspiration!

Werner Theiner Networking Experte
Die Anmeldung

[datensicherheit.de, 27.04.2021] Nach Erfahrungen des Vorstands des German Mittelstand e.V. erhält nach eigenen Angaben für dessen Mitglieder, wenn es um die Sicherung von Geschäftserfolgen geht, die IT-Sicherheit eine immer wichtiger werdende Rolle. Diese sei schon lange nicht mehr nur Aufgabe der IT-Abteilung, sondern im wahrsten Sinne des Wortes Chefsache, betont Werner Theiner.

Abbildung: German Mittelstand e.V.

datensicherheit.de unterstützt die „SecurITyWEEK 2021“

SecurITyWEEK – eine Veranstaltungsreihe vom German Mittelstand

„Sich nicht mit IT-Sicherheit zu beschäftigen ist grob fahrlässig, denn am Ende haftet immer der Chef“, warnt daher auch der Vorsitzende des Vorstands, Andreas Keck. Deshalb macht der Verein das Thema „IT-Security“ eine Woche lang in der Veranstaltungsreihe „SecurITyWEEK“ zur Chefsache – „gemeinsam mit namhaften Experten und versierten Lösungsanbietern“.
Damit die Teilnehmer während dieser Woche auch noch zum Arbeiten kommen, sei das Ganze „in gut verdauliche Häppchen aufgeteilt“, berichtet Theiner: „Morgens eine Stunde ,MorningBriefing‘, am frühen Abend ,Brainfood‘ bei der ,SecurityCruise‘ und später lockeres Netzwerken an der virtuellen Bar bei der ,LateNight‘.“

Völlig kostenfreies Angebot des German Mittelstand e.V.

Informationen zum Programm und die Anmeldung „zum in übrigen völlig kostenfreien Angebot“ ist auf der Veranstaltungs-Website zu finden. Dort können auch jetzt schon Fragen an die Experten platziert werden.
Theiner rät: „Am besten gleich anmelden. Denn unter allen, die sich bis 5. Mai 2021 angemeldet haben, verlosen wir 199 ,MorningBriefing MyMüsli‘-Boxen und 99 ,LateNight Gin Tonic‘-Sets von The Duke.“

Weitere Informationen zum Thema:

datensicherheit.de, 08.04.2020
Neues, interaktives Online-Format: „Theiners SecurityTalk“

German Mittelstand e.V.
Chefsache: Security Week | 17. – 21. Mai

[datensicherheit.de, 01.02.2021] Ob Datendiebstähle, Netzwerkausfälle oder Missbrauch diskreter Informationen – Cyber-Angriffe seien nahezu wöchentlich in den Nachrichten. Die Nutzung neuer IT-Systeme und eine zunehmende Vernetzung erhöhten das Risiko vor unbefugten Zugriffen in unterschiedlichen Sektoren. Über IT-Sicherheit in Unternehmen informieren Prof. Dr. Sebastian Schinzel, IT-Sicherheitsexperte der FH Münster, und Leon Braunstein von der nicos cyber defense GmbH in einem Online-Vortrag am 24. Februar 2021. Wer teilnehmen möchte, könne sich online anmelden und bekomme kurz vorher per E-Mail eine Einladung zur Videokonferenz.

Foto: FH Münster (Wilfried Gerharz)

Prof. Dr. Sebastian Schinzel, IT-Sicherheitsexperte der FH Münster

Konkrete Beispiele zum aktuellen Vorgehen von Hackern und Tipps zum Schutz

Anhand konkreter Beispiele stellten Professor Schinzel und Braunstein das aktuelle Vorgehen Cyber-Kriminelle dar. Außerdem möchten sie praktische Tipps geben, wie sich Unternehmen vor Hacker-Angriffen schützen und welche Vorbereitungen sie für den Fall einer Attacke treffen können.
Stefan Adam von der Initiative TRAIN informiere abschließend über das Förderprogramm „go-digital“, welches sich gezielt an kleine und mittlere Unternehmen der gewerblichen Wirtschaft und das Handwerk richte.
Die Informationsveranstaltung sei Teil der Reihe „#Chefsache: Digitalisierung“, welche von der TAFH Münster GmbH, der Initiative TRAIN sowie der Wirtschaftsförderungs- und Entwicklungsgesellschaft Steinfurt (WESt mbH) organisiert werde.

„Wie Hacker hacken“ (Videokonferenz)

Veranstaltungsreihe „#Chefsache: IT-Sicherheit in Unternehmen“
Mittwoch, 24. Februar 2021, 10.30 Uhr
Prof. Dr. Sebastian Schinzel und Leon Braunstein
Teilnahme kostenlos – Online-Anmeldung erforderlich.

Agenda (ohne Gewähr):

• 10.30 Uhr Begrüßung und Moderation, Birgit Neyer, WESt mbH, und Stefan Adam, Initiative TRAIN / TAFH Münster GmbH
• 10.40 Uhr „IT-Sicherheit – Wie Hacker hacken“, Prof. Dr.-Ing. Sebastian Schinzel, FH Münster, und Leon Braunstein, nicos cyber defense GmbH
• 11.30 Uhr Zeit für Fragen und Diskussion mit den Experten
• 11.50 Uhr Förderprogramm „go-digital“, Stefan Adam, Initiative TRAIN / TAFH Münster GmbH
• 12.00 Uhr Ende

Weitere Informationen zum Thema:

datensicherheit.de, 03.07.2020
IT-Sicherheitsbranche: Ermutigung zu mehr Zusammenarbeit

TAFH Münster
#Chefsache: IT-Sicherheit – Wie Hacker hacken / 24. Februar 2021

[datensicherheit.de, 20.01.2020] AGCS (Allianz Global Corporate & Specialty), Tochter des Versicherungskonzerns Allianz, hat ihr neues „Risikobarometer“ vorgestellt – inzwischen zum neunten Mal in Folge. Grundlage sei eine Befragung unter mehr als 2.700 Risikoexperten aus über 100 Ländern bezüglich der wichtigsten Bedrohungen für Unternehmen. Diese Studie zeige, dass Cyber-Vorfälle erstmals das wichtigste Geschäftsrisiko für Unternehmen weltweit darstellten, kommentiert Marc Schieder, „CIO“ von DRACOON. Weitere Gefahren seien Betriebsunterbrechungen und „rechtliche Veränderungen“ – hierzu zählten Zölle, Sanktionen, der sogenannte Brexit und zunehmender Protektionismus als zentrale Anliegen für Betriebe.

Bild: DRACOON

Marc Schieder: Datenschutz und IT-Sicherheit haben oberste Priorität

Datenpannen, Ransomware- und Spoofing-Vorfälle

„Cybercrime“ stelle nicht nur das bedeutendste Risiko weltweit dar, sondern rangiere auch in Deutschland und zahlreichen anderen Ländern unter den ersten drei Plätzen. In einigen Ländern nähmen IT-Sicherheitsvorfälle sogar die erste Position ein – so etwa in Belgien, Frankreich, Indien, Südafrika, Südkorea, Österreich, Schweden, der Schweiz, Spanien, Großbritannien und den USA. Laut AGCS habe sich die Bedrohungslage in diesem Bereich verschärft, denn – neben immer teurer werdenden Datenpannen – sei auch die Zahl der Ransomware- und Spoofing-Vorfälle gestiegen.
Außerdem müssten Unternehmen bei Verstößen gegen Datenschutzgesetze wie der DSGVO mit immer höheren Bußgeldern rechnen. Schieder: „So zitiert der Versicherer eine Studie des Ponemon Institutes, laut der ein schwerer Datendiebstahl Firmen durchschnittlich 42 Millionen Dollar kostet.“ Dies beziehe sich auf einen Verlust von mehreren Millionen Datensätzen und entspreche einem Zuwachs von acht Prozent im Vergleich zum Vorjahr.

Innerhalb des Betriebes eine Sicherheitskultur aufbauen!

„Die Erhebung verdeutlicht, dass Unternehmen die Themen Datenschutz und IT-Sicherheit zu ihrer obersten Priorität machen sollten“, unterstreicht Schieder. Heutzutage könne es sich kein Unternehmen mehr leisten, die Risiken zu ignorieren und diese „nebenher“ zu behandeln. Vielmehr müsse innerhalb des Betriebs eine Sicherheitskultur aufgebaut werden – „diese geht von oberster Stelle, also vom CEO, beziehungsweise Aufsichtsrat aus und alle Mitarbeiter jeglicher Abteilungen ziehen hier an einem Strang“.
Schulungen zum richtigen Umgang mit sensiblen Daten und dem Verhalten bei Vorfällen seien wichtig, könnten allerdings nur unterstützend wirken. Damit auf technischer Ebene schwerwiegende Datenverluste verhindert werden, sollte das Unternehmen auch technisch auf dem neuesten Stand sein. So lohne sich auf jeden Fall eine umfassende Modernisierung der IT-Infrastruktur. Der „aktuelle Stand der Technik“ werde schließlich auch explizit in Artikel 25 („Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen“) der DSGVO erwähnt.

Datenschutz schon bei der Produktentwicklung miteinbeziehen!

Konkret könnten Betriebe File-Server, USB-Sticks, VPN oder FTP durch moderne Lösungen für „File Services“ ersetzen. Insgesamt sei es wichtig, „dass Unternehmen bei der Wahl ihrer Anwendungen darauf achten, dass Datenschutz schon bei der Produktentwicklung miteinbezogen wurde“.
Schieder erläutert: „Ein konkretes Beispiel ist etwa, dass die Verschlüsselung so einfach integriert wurde, dass sich der Anwender bei der Verwendung keine Gedanken mehr machen muss, was er genau beim Speichern oder Bearbeiten der Daten beachten muss. Ebenso muss der Schlüssel zur Entschlüsselung der Dateien immer beim Besitzer bleiben.“ Wenn Unternehmen kontinuierlich an internen Vorgängen zur Gefahrenabwehr arbeiten und auch technisch höchste Ansprüche an die IT-Sicherheit haben, „sind sie in Zeiten der wachsenden Bedrohungslage gut gewappnet“.

Weitere Informationen zum Thema:

Allianz, 14.01.20202
Allianz Risk Barometer 2020: Cyber steigt zum weltweiten Top-Risiko für Unternehmen auf

IBM
How much would a data breach cost your business? / The 2019 Cost of a Data Breach Report explores financial impacts and security measures that can help your organization mitigate costs

datensicherheit.de, 02.12.2019
Ransomware Ryuk hat Sicherheitsdienstleister angegriffen

datensicherheit.de, 20.10.2019
Adobe-Dienste: Venezuela ausgesperrt

[datensicherheit.de, 08.09.2019] Das Infosys Knowledge Institute (IKI), der weltweite Thought Leadership- und Forschungsbereich von Infosys, veröffentlicht die neue Studie „Assuring Digital Trust“. Die Studie zielt darauf ab, die aktuelle Cybersecurity-Landschaft zu verstehen und gibt Einblicke, wie sich Unternehmen gegen kommende Cyberbedrohungen vorbereiten und schützen können. Die wichtigste Erkenntnis: Fast die Hälfte (48 Prozent) der befragten Management Boards sowie 63 Prozent der an der Umfrage teilnehmenden Führungskräfte sind aktiv an der Entwicklung von Cybersecurity-Strategien beteiligt.

Für die Umfrage befragte Infosys 867 Führungskräfte aus 847 Unternehmen aus zwölf Branchen. Die Organisationen generieren einen jährlichen Umsatz von über 500 Millionen US-Dollar und stammen aus Europa, den USA, Australien und Neuseeland. Besonders auffällig: Viele Unternehmen haben Probleme, Security in ihre unternehmensweite IT-Architektur zu integrieren. Darüber hinaus fehlen spezialisierte Mitarbeiter und es fällt ihnen schwer, mit den technologischen Fortschritten mitzuhalten.

Die wichtigsten Erkenntnisse auf einen Blick:

• Cybersecurity steht ganz oben auf der Agenda – und dies unabhängig von der Branche oder dem Standort des Unternehmens. 83 Prozent der Organisationen sehen Cybersecurity als kritisches Thema an
• Mehr als zwei Drittel der Befragten haben eine klar definierte unternehmensweite Strategie und Roadmap umgesetzt
• Die größten Bedenken der Unternehmen sind Hacker/Hacktivisten (84 Prozent), geringes Bewusstsein der Mitarbeiter (76 Prozent), Insider-Bedrohungen (75 Prozent) und Wirtschaftsspionage (75 Prozent).
• Die Herausforderungen beim Aufbau einer sicherheitsbewussten Kultur in Kombination mit der Integration von Security betreffen fast zwei Drittel der Unternehmen
• Um Sicherheitsherausforderungen zu adressieren, konzentriert sich mehr als die Hälfte der Firmen auf die Einführung integrierter Security-Lösungen und kooperiert mit Technologie- und Service Integrator Partnern. Darüber hinaus verfolgen Unternehmen auch zahlreiche sogenannte „weiche“ Ansätze, darunter Schulungen/Zertifizierungen (61 Prozent), Enablement-Sessions (54 Prozent) und die Schaffung von Sicherheitsbewusstsein bei den Mitarbeitern (51 Prozent). Bei deutschen Unternehmen stehen besonders Trainings zur Sensibilisierung der Mitarbeiter hoch im Kurs (50 Prozent)
• Netzwerktrennung (65 Prozent), Threat Intelligence-Plattformen (57 Prozent) und fortschrittlicher Schutz vor Bedrohungen (55 Prozent) sind die am häufigsten implementierten Sicherheitslösungen. Deutsche Unternehmen setzen dabei besonders auf Netzwerktrennung
• Zu den wichtigsten Trends, die die Zukunft der Cybersecurity prägen, zählen künstliche Intelligenz (41 Prozent), Privatsphäre und Schutz personenbezogener Daten (35 Prozent), Blockchain- und Deception-Technologien (33 Prozent)
• Branchenübergreifend wird Cybersecurity auf dem Weg der digitalen Transformation eines Unternehmens immer wieder als kritisch angesehen. Das produzierende Gewerbe liegt dabei an der Spitze (87 Prozent), gefolgt von Energie- und Versorgungsunternehmen (85 Prozent) sowie Banken, Finanzdienstleistern und Versicherungen (83 Prozent)

Vishal Salvi, Chief Information Security Officer & Head Cyber Security Practice, Infosys: „Unternehmen nutzen immer mehr Technologien im laufenden Geschäft – es wird daher wichtiger, sich gegen ein komplexes Bedrohungsumfeld verteidigen zu können. Bei Infosys verfolgen wir den Ansatz, Cybersecurity in jeder Phase des Geschäfts zu verankern, um so Risiken zu minimieren und gleichzeitig die Sichtbarkeit der Sicherheitslandschaft zu maximieren. Unser kontinuierlicher Fokus auf Innovation durch die Erforschung neuer Technologien und Methoden stellt sicher, dass wir das Geschäft eines Unternehmens besser sichern können. Wir sind davon überzeugt, dass ein ganzheitlicher Ansatz zur Cybersecurity das Richtige ist, um digitales Vertrauen in Unternehmen zu schaffen – unsere Forschung ermöglicht wichtige Einblicke in die aktuelle Cybersecurity-Landschaft. Die Erkenntnisse können bei entsprechender Anwendung die Cyberabwehr von Unternehmen beschleunigen.“

Weitere Informationen zum Thema:

Infosys
Assuring Digital-trust

datensicherheit.de, 03.04.2017
Informationsveranstaltung „Chefsache: Daten und Sicherheitspannen vermeiden“

datensicherheit.de, 19.10.2016
Chefsache Datensicherheit: Ein Bewusstseinswandel zeichnet sich ab

datensicherheit.de, 11.10.2016
KMU-Entscheider: IT-Sicherheit ist Chefsache!

[datensicherheit.de, 15.10.2018] In seinem Vortrag am 11. Oktober 2018 im „Technik Forum“ T10 in Halle 10.0 der „it-sa 2018“ erläuterte Dipl.-Wirt.-Inf. Martin Wundram, Leiter Referat „IT-Forensik“ beim Bundesverband für den Schutz Kritischer Infrastruktur e.V. (BSKI), warum eben die Sicherheit sogenannter Kritischer Infrastruktur (KRITIS) uns alle angeht. Anhand einiger Beispiele führte er aus, dass im Grunde alle, d.h. auch kleinere Einrichtungen, welche persönliche Daten verarbeiten, für den jeweils Betroffenen quasi schon eine KRITIS im Kleinen darstellen. Ungeachtet der offiziellen Definition aus volkswirtschaftlicher Sicht ist Zuverlässigkeit, also in jeder Hinsicht sicheres Funktionieren notwendig.

Beispiel Arztpraxen: KRITIS für jeden einzelnen Patienten

Im Rahmen der Vortragsreihe „it-sa insights“ zeigten seine Ausführungen mit dem Titel „Das Thema KRITIS zur Chefsache machen“, dass deren Sicherheit jeden Einzelnen betrifft. Er warf rhetorisch die Frage auf: „Wer hat die volle Kontrolle über seine Daten?“
Sodann zeigte er eine Alltagssituation auf, die gewissermaßen die Antwort „niemand“ anklingen ließ – es kommt ja nicht selten vor, dass ein Patient in einer medizinischen Praxis in ein frei gewordenes Behandlungszimmer geschickt wird, um dort auf den Arzt zu warten, und dann noch allein durchaus längere Zeit mit einem Bildschirm verbringen kann, auf dem lesbar die persönlichen Daten des vorhergehenden Patienten dargestellt werden. Dabei wäre mit einer automatischen Bildschirmsperre und einem Passwortschutz dieses Problem ganz leicht zu lösen.

Bild: Dirk Pinnow

Arztpraxis mit offenem Datenfenster als KRITIS

„Es gibt nichts Gutes, außer man tut es!“

Zu vielen Infrastruktur-Komponenten ließe sich sagen: „Offen wie ein Scheunentor – löchrig wie eine Nudelsieb!“ Wundram machte deutlich, dass selbst solche Infrastruktur, welche eigentlich unter dem offiziellen Schwellwert der KRITIS-Klassifikation liegt, trotzdem der Abhilfe von Schwachstellen und der Abwehr von Angriffen bedarf.
Hierzu müssten geeignete Sollkonzepte erstellt werden. Schließlich gelte es dann auch danach zu handeln, denn „es gibt nichts Gutes, außer man tut es!“ Alle, auch kleineren Unternehmen und Betriebe sollten sich ein Beispiel an der KRITIS gemäß der engeren Definition nehmen und aus dortigen Sicherheitsansätzen lernen.

Bild: Dirk Pinnow

Martin Wundram mit der KRITIS-Definition im engeren Sinne

Respekt für die Daten von Menschen als Motivation

Angst sei bei der Auseinandersetzung mit Sicherheitsfragen indes kein guter Ratgeber, denn es drohe die Gefahr, sich in bloßen Abwehrstrategien zu verlieren, anstatt zielführend zu handeln.
Die Motivation, KRITIS im weitesten Sinne sicher zu gestalten, sollte von dem Respekt für die Daten von Menschen getrieben werden. Die Entscheider in den einzelnen Organisationen wiederum müssten erkennen, dass es schließlich darum geht, ihre eigenen Werte zu schützen, für welche sie die Verantwortung tragen.

Gesamtverantwortung der Entscheider

Das Thema Sicherheit könnte sehr wohl an ausgewiesene Experten delegiert werden, niemals aber die Gesamtverantwortung der Entscheider. Sicherheit gelte es im Prozessverständnis zu gestalten und bedeute harte, permanente Arbeit. Im Ergebnis aber sei sie ein auf Basis eines ganzheitlichen Konzeptes selbst zu erzeugendes „Produkt“.
Sicherheit dürfe nicht zum Hemmnis für den Betrieb werden, so Wundram, sondern sollte dessen Wertschöpfung bzw. Funktionserfüllung unterstützen.

Weitere Informationen zum Thema:

it-sa
Rahmenprogramm 2018 / it-sa insights – Das Thema KRITIS zur Chefsache machen

BSKI auf YouTube, 03.08.2018

Der Bundesverband für den Schutz Kritischer Infrastrukturen e. V. stellt sich vor

datensicherheit.de, 24.09.2018
Digitalisierung in der Medizin: Dilemmata für Ärzte

datensicherheit.de, 03.09.2018
Cybersicherheit in Industrie und Kritischer Infrastruktur muss ganzheitlich gedacht werden

datensicherheit.de, 17.08.2018
Fertigungsindustrie: Cybersicherheit als zentrale Herausforderung

datensicherheit.de, 03.08.2018
IT trifft OT – Cyberangriffe auf industrielle Umgebungen

datensicherheit.de, 30.07.2018
Studie: Unternehmen vernachlässigen IoT-Sicherheit

[datensicherheit.de, 11.10.2016] Im Zuge der Digitalisierung steigen die Risiken für die IT-Sicherheit. Eine Cyber-Attacke ist in jedem Netzwerk denkbar und kann schnell existenzbedrohende Konsequenzen für ein Unternehmen haben. Daher wollen bayme vbm – die bayerischen Metall-und Elektro-Arbeitgeber und der TÜV SÜD mit ihrem gemeinsamen Kongress „IT-Sicherheit ist Chefsache“ zeigen, wie Unternehmen mit dieser Bedrohungssituation umgehen können.

Empfehlungen gerade für KMU

Gerade kleine und mittlere Unternehmen (KMU) brauchen Unterstützung bei der Umsetzung gesetzlicher Vorgaben zum Schutz ihres Unternehmensnetzwerks und beim Aufbau eines individuellen technischen Gesamtkonzepts.
Hierzu sollen Experten aus Wirtschaft, Recht und Technologie über Lösungsansätze und Handlungsempfehlungen sprechen, die den teilnehmenden Führungskräften als Grundlage für fundierte Entscheidungen im Unternehmen dienen können.

Praxisbeispiele und Erfahrungsaustausch

Der Kongress soll neben der Live-Simulation eines Cyber-Angriffs und praxisnahen Fachvorträgen auch eine gute Gelegenheit zum Erfahrungsaustausch mit Geschäftsführern und Verantwortlichen aus der Führungsebene anderer Unternehmen bieten:

„IT-Sicherheit ist Chefsache“
6. Dezember 2016, 10.00 bis 16.00 Uhr
hbw Haus der Bayerischen Wirtschaft, ConferenceArea, „Europasaal“
Max-Joseph-Straße 5 in 80331 München

Weitere Informationen zum Thema:

bayme vbm
IT-Sicherheit ist Chefsache

[datensicherheit.de, 22.09.2016] Anlässlich der Eröffnung der „Internet Security Days 2016“ hat Prof. Michael Rotert, Vorstandsvorsitzender von eco – Verband der Internetwirtschaft e.V., gefordert: „Die Geschäftsführung muss das Thema IT-Sicherheit zur Chefsache machen!“ Insbesondere im Mittelstand herrscht demnach noch Nachholbedarf, damit dieser nicht weiterhin das bevorzugte Ziel von Cyber-Kriminellen bleibt.

KMU-Geschäftsführungen in der Pflicht

„So wie wir jahrelang darum gekämpft haben, dass IT endlich als existenzielles Betriebsmittel ernst genommen wird, ist es dringend an der Zeit, auch der IT-Sicherheit einen solchen Stellenwert einzuräumen“, erklärte Professor Rotert in seiner Eröffnungsrede im „Phantasialand“ in Brühl. Dort beraten an zwei Tagen Experten aus Behörden, Wirtschaft und Wissenschaft über neue Lösungen und Strategien für die Internetsicherheit.
Der eco-Vorstandsvorsitzender adressierte besonders die Geschäftsführung von Unternehmen, die das Thema zur Chefsache machen und via Management und Teamleitern bis in die unterste Ebene tragen sollten. Insbesondere in mittelständischen Unternehmen herrsche Nachholbedarf – so belege eine Studie von PwC, dass nur eine Minderheit der 405 befragten Unternehmen über ein schlüssiges Sicherheitskonzept verfüge. Dabei sei knapp jeder fünfte Mittelständler hierzulande schon einmal Opfer von Cyber-Kriminellen geworden. Leider würden daraus die falschen Schlüsse gezogen, wie Keynote-Sprecher Dr. Matthias Rosche, SVP bei T-Systems, berichtete: „Das Argument, dass man nicht zu investieren brauche, wenn DAX-Konzerne Millionen in die IT-Sicherheit investieren und trotzdem Opfer von Cybercrime werden, ist beispielsweise im Mittelstand weit verbreitet. Hier müssen wir stärker aufklären und beratend zur Seite stehen.“

Forderung nach Vereinfachung der Bedienung

Eine weitere Forderung von Professor Rotert betrifft die oft immer noch zu komplizierte Bedienbarkeit von Sicherheitslösungen und der grundsätzlichen Verschlüsselung von Kommunikation sowie Daten auf mobilen Geräten. „Sicherheit – egal ob von Geräten oder Software – muss schon im Design der grundlegenden Konzeption mitgedacht werden“, pflichtet Dr. Rosche bei. Diese finde in Produktentwicklungsprozessen noch zu wenig Beachtung. Man sollte beim Bedienkomfort mehr Anleihen beim App-Design nehmen und stärker auf Cloudlösungen setzen.

6. ISD-Auflage im „Phantasialand“

Die „Internet Security Days“ (ISD), Plattform für internationale Security-Experten, finden am 22. und 23. September 2016 zum inzwischen sechsten Mal statt.
Auch in diesem Jahr werden im „Phantasialand“ bei Köln laut eco wieder mehr als 600 Besucher aus mehr als 20 Ländern erwartet, die an Vorträgen und Workshops teilnehmen oder sich bei der „Security Fairs“ über die neuen Sicherheitslösungen informieren können. Erstmalig werde diese Sicherheitskonferenz gemeinsam von eco – Verband der Internetwirtschaft e. V. und Heise Medien organisiert.

[datensicherheit.de, 26.11.2014] Die Studie „Konzernsicherheit in den TOP100 Unternehmen“ der Hochschule für Öffentliche Verwaltung Bremen und der FH Campus Wien stellt deutschen Konzernen ein insgesamt positives Zeugnis für ihre Sicherheitsabteilungen aus, zeigt aber auch, dass weiterer Handlungsbedarf besteht.

Sicherheit als Chefsache

Als positives Ergebnis sieht der ASW Bundesverband, dass deutsche Großkonzerne das Thema Sicherheit fest in der Organisationsstruktur verankert hätten und über eigene Abteilungen für die Unternehmenssicherheit verfügten. Kritisch sieht der Verband jedoch, dass die Sicherheitsverantwortlichen meist erst auf dritter Hierarchieebene angesiedelt seien.
Sicherheit müsse Chefsache und damit auch auf Vorstandsebene verankert sein, betont ASW-Geschäftsführer Jan Wolter. Nach Auffassung des ASW Bundesverbandes befassten sich die Vorstände in der Regel zu selten mit Sicherheitsthemen. So habe fast die Hälfte der Befragten angegeben, dass der Vorstand zum Thema Sicherheit seltener als einmal im Monat schriftlich unterrichtet werde.

Beteiligung der Sicherheitsexperten an strategischen Entscheidungen

Die Einbindung der Sicherheitsexperten in strategische Entscheidungen finde noch bei Weitem nicht in allen Unternehmen statt. Mehr als jedes dritte Unternehmen beziehe die Konzernsicherheit nicht in strategische Entscheidungen ein – dies sehe man sehr kritisch, sagt Wolter.
Nach Auffassung des ASW Bundesverbands zeigt die Studie auch, dass Sicherheit weiterhin häufig „in Silos“ gedacht werde, so Wolter. Der Studie zufolge liegt die IT-Sicherheit sehr häufig noch komplett oder teilweise außerhalb der Zuständigkeiten der Sicherheitsabteilungen. In mehr als der Hälfte der befragten Unternehmen habe die Konzernsicherheit hierzu keine Zuständigkeit gehabt.
Der ASW Bundesverband ruft die Unternehmen auf, Sicherheit, mithin IT-Sicherheit und Konzernsicherheit, mehr ganzheitlich zu denken.

Die Studie „Konzernsicherheit in den TOP100-Unternehmen“ wurde anlässlich des „ASW/ASIS Global Security Forums“ in Berlin veröffentlicht und zeigt Ergebnisse einer Umfrage zu Konzernsicherheit in TOP-100 Unternehmen in Deutschland, Österreich und der Schweiz.

Weitere Informationen zum Thema:

ASW
Bundesverband