Categories: FirewallSicherheit

Sicherheitsexperten brauchen mehr als technischen Sachverstand

Nach den Terroranschlägen in New York und Washington am 11. September 2001 stand eines fest: das Thema IT-Security hat einen gewaltigen Schub nach vorne bekommen. Mittlerweile indes hat sich die Euphorie gelegt. Wirtschaftsflaute und die berühmte „Vogel-Strauß-Politik“ vieler IT-Chefs gelten als Grund für die Zurückhaltung. In Deutschland verfügen laut einer Untersuchung der Meta Group zu Beginn dieses Jahres lediglich 25 Prozent der deutschen Anwenderunternehmen über ein spezielles Security-Team. Nicht nur der Mittelstand, auch bei Unternehmen mit mindestens 500 Mitarbeitern (40 Prozent) besteht spürbarer Nachholbedarf. Zum Vergleich: Nach Einschätzung der Meta-Group-Analysten hatten bereits Ende 2001 rund 75 Prozent der großen Global-2000-Unternehmen (der weltweit 2000 größten Anwender) unabhängige IT-Security-Teams aufgebaut.

Hans-Christian Boos, Geschäftsführer des Frankfurter Sicherheitsdienstleisters Arago, erlebt die Zurückhaltung deutscher Unternehmen in seiner täglichen Praxis: „Fast alle IT-Chefs glauben, Cyberattacken treffen immer nur die anderen, nie aber sie selbst.“ Der Sicherheitsprofi hält diese Einstellung für gefährlich, da die Zahl der Hacker-Angriffe seit New York nicht nur stark zugenommen habe – die Attacken seien auch wesentlich gefährlicher geworden. Der hesssische Berater ist sich sicher, dass heutzutage hinter der Cyber-Kriminalität zunehmend hochkarätige, sogar organisierte, Info-Banditen stecken: „Je intelligenter und komplexer die Angriffe, desto professioneller müssen die Sicherheitsexperten sein. Nur dann kann den elektronischen Kriminellen überhaupt Paroli geboten werden.“ Die steigende Internet-Gefahr belegen auch die aktuellen Studien des Notfallzentrums Cert/CC. Danach sind die Angriffs-Tools der Hacker in letzter Zeit viel automatisierter und ausgefeilter geworden.

Kurzum – die Notwendigkeit qualifizierter Sicherheitsexperten wird immer offensichtlicher. Otto Ulrich vom Bundesamt für Sicherheit in der Informationstechnik (BSI): „Und genau diese Profis sind in vielen Unternehmen kaum zu finden.“ Bereits bei der Frage, wer denn für die Sicherheitsproblematik zuständig sei, stoße man allzu oft auf Verunsicherung. Den IT-Verantwortlichen müsse aber nicht nur klar gemacht werden, wie wichtig die Installierung eines Security-Teams ist, sie müssten zudem erkennen, dass Technik-Know-how allein für diese Profis nicht ausreicht. Zusätzlich seien soziale, pädagogische und betriebswirtschaftliche Kompetenzen gefragt. Ulrich: „Die Anforderungen sind in der Tat hoch. Schließlich muss der IT-Experte der Geschäftsleitung die Sicherheitslösung mit wirtschaftlichen Argumenten plausibel machen, mit Technikern über Internet-Protokolle und physikalische Sicherheitsfragen diskutieren und die Mitarbeiter für das Thema sensibilisieren.“

Der Mangel an geschultem Personal und fehlendem Know-how treibt viele Unternehmen dazu, sich in IT-Sicherheitsfragen einem Dienstleister anzuvertrauen. Fast schon zu den Klassikern in diesem Bereich zählt der Firewall-Betrieb per Fernwartung. Auch ihre Virtual-Private-Network-(VPN)-Infrastrukturen lassen Unternehmen vermehrt von externen Beratern verwalten. Über solche abgesicherten Netze wählen sich Mitarbeiter in Filialen oder Kollegen aus dem Außendienst in ein zentrales Firmennetz ein. Großes Interesse erwecken auch die Intrusion-Detection-Systeme, die Hacker-Angriffe aufdecken können. Die wenigsten Unternehmen überlassen jedoch sämtliche sicherheitsrelevante Belange einem Dienstleister. Allgemeiner Tenor: Bei aller Outsourcing-Euphorie – die übergeordnete Verantwortung für den sensiblen Security-Bereich muss im eigenen Haus bleiben. Carsten Caspers, Analyst bei der Meta Group empfiehlt, bei der Wahl des Partners vorsichtig vorzugehen: „Die verantwortlichen Manager sollten sich auf keinen Fall von irgendwelchen Lösungen blenden lassen.“ Nach den Erfahrungen von Meta Group begehen viele Unternehmen nach wie vor den Fehler, die Sicherheitsproblematik vorrangig technisch zu sehen. Casper: „Auch wenn es wie eine Platitüde klingt. Der Erfolg aller Sicherheitsmaßnahmen hängt vorrangig von sensibilisierten Mitarbeitern und weniger von der Technik ab.“

Gefällt Ihnen dieser Artikel? Dann abonnieren Sie gleich den kostenlosen ZDNet Tech Update Newsletter zu den Themen Betriebssysteme, Security, E-Business und mehr: Der wöchentliche Newsletter für IT- und Business-Entscheider.

ZDNet.de Redaktion

Recent Posts

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

7 Stunden ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

1 Tag ago

Bedrohungen in Europa: Schwachstellen in der Lieferkette dominieren

Hinter 84 Prozent der Zwischenfälle bei Herstellern stecken Schwachstellen in der Lieferkette. Auf dem Vormarsch…

2 Tagen ago

Bericht: Apple arbeitet an faltbarem iPad

Es kommt angeblich 2028 auf den Markt. Das aufgeklappte Gerät soll die Displayfläche von zwei…

2 Tagen ago

HPE baut Supercomputer am Leibniz-Rechenzentrum

Das System basiert auf Hardware von HPE-Cray und Nvidia. Die Inbetriebnahme erfolgt 2027.

3 Tagen ago

Bund meldet Fortschritte in der Netzversorgung

Die Bundesnetzagentur hat ihr Gigabit-Grundbuch aktualisiert. Drei von vier Haushalten sollen jetzt Zugang zu Breitbandanschlüssen…

3 Tagen ago