Immer häufiger landen Hacker und Cyberkriminelle in den Schlagzeilen: 2011 legten sie das weltweite Playstation-Netzwerk für mehrere Wochen lahm, 2015 stahlen sie 38 Millionen Kundendaten von Adobe Systems und infizierten Apps im Apple Store mit Malware. Beim Thema IT-Sicherheit befinden wir uns noch in der Steinzeit, warnte Professor Dr. Norbert Pohlmann. Der geschäftsführende Direktor des Instituts für Internet-Sicherheit an der Westfälischen Hochschule Gelsenkirchen diskutierte beim Cologne IT Summit mit anderen Experten über das Thema Sicherheit. Mehr dazu erfahren Sie im zweiten Teil unserer Serie zum IT-Kongress.
Die meisten Unternehmen entdecken Sicherheitslücken erst dann, wenn es bereits zu spät ist – nach einem Angriff. Doch woran liegt das? Häufig sind Mitarbeiter und auch Vorgesetzte nicht ausreichend für das Thema sensibilisiert. Diesen Eindruck bestätigte Peter Batt, Unterabteilungsleiter für Digitale Gesellschaft, IT-Steuerung und IT-Strategie im Bundesinnenministerium, in seinem Kurzvortrag. Er plädierte dafür, sich kontinuierlich mit dem Thema zu beschäftigen, es in den Arbeitsalltag zu integrieren und vor allem ins Bewusstsein der Mitarbeiter zu bringen. Hier sieht er Führungskräfte in der Vorbildfunktion. In der BWI beispielsweise gibt es daher regelmäßige Awareness-Schulungen, die Mitarbeitern das Thema IT-Sicherheit näherbringen.
Schnelle Lösungen sind gefragt
Laut Batt müsse man bei den Basics anfangen: Software immer auf dem neuesten Stand halten und Updates installieren. Nur denjenigen Mitarbeitern den Zugriff auf bestimmte Dienste und Netzwerke gestatten, die über die nötigen Fachkenntnisse verfügen. Dabei müssten wir jedoch Freiheit und Sicherheit in eine Balance bringen. Der Experte verglich die Situation mit den Sicherheitsgesetzen im Straßenverkehr. Deren Entwicklung habe insgesamt 100 Jahre gedauert, doch diese Zeit hätten wir im IT-Bereich nicht. Schließlich arbeiteten in China Hackerteams von der Größe der deutschen Bundeswehr daran, Systeme zu knacken und Daten zu stehlen oder zu manipulieren. Batt forderte Unternehmen auf, nur Administratoren mit Fachqualifikationen im Gebiet Datensicherheit einzusetzen. Themen, mit denen sich auch die BWI für die Bundeswehr intensiv beschäftigt. Der IT-Dienstleister der Bundeswehr hat deshalb konsequent standardisiert und zentralisiert: Das Unternehmen hat eine einheitliche Hard- und Software sowie ein zentrales Software- und Patch-Management aufgebaut und ein zentrales Monitoring der Netze und Server etabliert.
Fehlende Sicherheitsstandards gefährden Digitalisierung
Patrick Quellmalz, Leiter von VOICE Services, dem Bundesverband der IT-Anwender e.V., sieht die Digitalisierung in erster Linie von den fehlenden rechtlichen Rahmenbedingungen bedroht. Es sei für Unternehmen sehr teuer und schwierig, Systeme richtig gut abzusichern, weil noch nicht alle Soft- und Hardwareprodukte perfekt zusammenarbeiteten. Eigentlich sollte hier das IT-Sicherheitsgesetz Abhilfe schaffen. Doch bislang verpflichtet es lediglich die Käufer, Sicherheitsstandards zu erfüllen, nicht jedoch die Produzenten. Eine paradoxe Situation, müssen etwa in der Automobilbranche doch die Hersteller dafür sorgen, dass ihre Fahrzeuge sicher sind.
Wenn sich Öl in Asbest verwandelt
Während für viele weiterhin gilt, dass Daten das Öl der Zukunft sind, bringt Prof. Dr. Norbert Pohlmann das Zitat eines Data Scientists ins Spiel. Demnach seien Daten „das Asbest der Zukunft“. Niemand kann vorhersehen, was künftig mit Daten passiert oder in welche Richtung sich Datenschutz und -sicherheit entwickeln. Klar ist aber, dass die IT-Sicherheit mit zunehmender Digitalisierung an Bedeutung gewinnen und uns auch in Zukunft weiter beschäftigen wird.