Probleme tot schweigen

Nahezu alle großen Unternehmen in Österreich tun zu wenig, um ihr Know-how und ihre Daten zu schützen. Statt ganzheitliche Strategien zur Informationssicherheit umzusetzen, ignorieren sie das Thema. Umfassende Sicherheitskonzepte werden gegenüber der Öffentlichkeit nicht dokumentiert. [...]

Zu diesem Ergebnis kommt A.T. Kearney bei der Auswertung der Risikoberichte von 40 Unternehmen aus dem ATX Prime.
»Das Problem wird totgeschwiegen«, sagt dazu Michael Römer, Partner bei A.T. Kearney. Ein Blick in die Jahresberichte der 40 Unternehmen im ATX Prime belegt, dass bei diesem Thema dramatisch großer Nachholbedarf besteht. Die Berichte sollten eigentlich durch die Darstellung der Schutzmaßnahmen Vertrauen schaffen. Dies gelingt aber nur den wenigsten Unternehmen. »Nicht einmal jeder zehnte Bericht ist dazu geeignet, Vertrauen aufzubauen«, so Boris Piwinger, Experte für Informationssicherheit bei A.T. Kearney.

VERALTETES SICHERHEITSVERSTÄNDNIS

Fast alle Unternehmen beschreiben im Geschäftsbericht ihr Risikomanagementsystem. Eine hohe Sensibilisierung gegenüber der Tatsache, dass Kunden- und Entwicklungsdaten einen bedeutsamen Teil des Unternehmensvermögens darstellen, lässt sich hieraus allerdings nicht ableiten. Nur 21 der 40 ATX-Prime-Unternehmen widmen sich in ihren Jahresberichten überhaupt dem Thema Informationssicherheit. Die genannten Schutzmaßnahmen deuten zudem auf ein veraltetes Sicherheitsverständnis hin: Es werden allein technische Einzelmaßnahmen wie der Einsatz von Antiviren-Software oder der Aufbau redundanter Systeme dokumentiert und keine durchgängigen Sicherheitskonzepte.
»Weil sich Unternehmen aber nach wie vor scheuen, Fälle von Wirtschaftsspionage und Hackerangriffen publik zu machen, wirkt die Bedrohung kleiner als sie tatsächlich ist. Dadurch fehlt vielen Entscheidern insgesamt eine Sensibilität für die Größe des Problems«, erklärt Piwinger.
Schon eine kleine Auswahl der bekannt gewordenen Fälle zeigt, wie ernst das Problem ist: Im Juli 2011 dringen Hacker in die Kundendatenbank des Gebühreninformationsservice des ORF (GIS) ein und kopieren 214.000 Datensätze mit 96.000 Kontodaten. Es wurden Daten publik gemacht, die von Mitarbeitern aus Polizei und Innenministerium stammen.
Ein ehemaliger Angestellter des Windradentwicklers Windtec in Kärnten liefert 2011 und 2012 dem chinesischen Unternehmen Sinovel Betriebsgeheimnisse, darunter auch eine Software zur Steuerung von Windkraftanlagen. Windtec Österreich muss wegen der Spionage und des Ausfalls von Sinovel als Kunden 96 Millionen Euro abschreiben und 40 Mitarbeiter kündigen. Der Windtec-Mutterkonzern AMSC verklagt Sinovel in Peking auf 1,2 Milliarden US-Dollar, da der ehemals wichtigste Wintec- und AMSC-Kunde vertraglich vereinbarte Leistungen nicht mehr annahm und bezahlte.
Im Jänner 2012 hackt ein Unbekannter den Onlineshop von T-Mobile Austria und Telering. Der Hacker könnte Einblick in die Daten von mehr als 100.000 Kunden gehabt und kopiert haben.
Doch nicht nur auf der Technologieebene agieren die Unternehmen zu wenig. Auch organisatorisch schaffen sie nicht die Vorrausetzungen dafür, Bedrohungen im Digitalzeitalter entgegenzutreten. »Die meisten Sicherheitsverantwortlichen sind heute noch Teil der IT-Abteilung und oft auch nur auf der Sachbearbeiter-Ebene angesiedelt«, so Römer. Vielmehr raten die Experten, die für die Sicherheit Zuständigen ähnlich wie die Compliance-Verantwortlichen außerhalb der IT-Abteilung – beispielsweise parallel zum Revisionswesen – anzusiedeln. »Derjenige, der sich um das Thema IT-Sicherheit kümmert, muss dem CIO auf Augenhöhe begegnen und kritische Fragen stellen können«, sagt Piwinger. Er rät außerdem dazu, in einem Assessment die wertvollen Daten im Unternehmen zu identifizieren und die Frage, wie sie abgesichert werden können, als strategisch und geschäftskritisch einzustufen. »Die Problematik, dass die exakten Kosten nicht vollständig zu erfassen sind, ist beim Thema Qualität eine ähnliche«, so Piwinger. »Andererseits werden die Kosten unterlassener Maßnahmen erst voll sichtbar, wenn auf Fehler Produktrückrufe und Klagen folgen. In einer Sichtweise, die nur die Kosten wahrnimmt, nicht aber die geschäftserhaltende Schutzfunktion, wird Informationssicherheit als Hemmnis gesehen.
Hier sei ein Umdenken erforderlich. »Mitarbeiter und Führungskräfte müssen laufend sensibilisiert werden. Die allerbeste Technik nutzt nichts, wenn Führungskräfte Hardware mit wichtigen Unternehmensdaten am Flughafen verlieren«, so Piwinger abschließend. (el)

Mehr Artikel

Rüdiger Linhart, Vorsitzender der Berufsgruppe IT der Fachgruppe UBIT Wien. (c) WeinwurmFotografie
Interview

IT-Berufe im Fokus: Innovative Lösungen gegen den Fachkräftemangel

Angesichts des anhaltenden IT-Fachkräftemangels ist schnelles Handeln gefordert. Die Fachgruppe IT der UBIT Wien setzt in einer Kampagne genau hier an: Mit einem breiten Ansatz soll das vielfältige Berufsbild attraktiver gemacht und innovative Ausbildungswege aufgezeigt werden. IT WELT.at hat dazu mit Rüdiger Linhart, Vorsitzender der Berufsgruppe IT der Fachgruppe UBIT Wien, ein Interview geführt. […]

News

ISO/IEC 27001 erhöht Informationssicherheit bei 81 Prozent der zertifizierten Unternehmen

Eine Umfrage unter 200 Personen verschiedener Branchen und Unternehmensgrößen in Österreich hat erstmals abgefragt, inwiefern der internationale Standard für Informationssicherheits-Managementsysteme (ISO/IEC 27001) bei der Bewältigung von Security-Problemen in der Praxis unterstützt. Ergebnis: Rund 81 Prozent der zertifizierten Unternehmen gaben an, dass sich durch die ISO/IEC 27001 die Informationssicherheit in ihrem Unternehmen erhöht hat. […]

News

Public Key Infrastructure: Best Practices für einen erfolgreichen Zertifikats-Widerruf

Um die Sicherheit ihrer Public Key Infrastructure (PKI) aufrecht zu erhalten, müssen PKI-Teams, sobald bei einer Zertifizierungsstelle eine Sicherheitslücke entdeckt worden ist, sämtliche betroffenen Zertifikate widerrufen. Ein wichtiger Vorgang, der zwar nicht regelmäßig, aber doch so häufig auftritt, dass es sich lohnt, PKI-Teams einige Best Practices für einen effektiven und effizienten Zertifikatswiderruf an die Hand zu geben. […]

News

UBIT Security-Talk: Cyberkriminalität wächst unaufhaltsam

Jedes Unternehmen, das IT-Systeme nutzt, ist potenziell gefährdet Opfer von Cyberkriminalität zu werden, denn die Bedrohung und die Anzahl der Hackerangriffe in Österreich nimmt stetig zu. Die Experts Group IT-Security der Wirtschaftskammer Salzburg lädt am 11. November 2024 zum „UBIT Security-Talk Cyber Defense“ ein, um Unternehmen in Salzburg zu unterstützen, sich besser gegen diese Bedrohungen zu wappnen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*