DeepSec: IT-Sicherheit steckt in vielen Unternehmen noch in den Kinderschuhen
Unternehmen verlassen sich zu stark auf Software, mehr proaktive Kontrolle nötig
Wien (pts006/15.12.2010/08:25) Gerade beim Aspekt der IT-Sicherheit setzen vielen deutsche Unternehmen nur auf Softwarelösungen, so ein Ergebnis der vierten internationalen Sicherheitskonferenz DeepSec (https://deepsec.net/), die vom 23. bis 26. November 2010 in Wien stattfand. Über 160 Teilnehmer aus den Bereichen Network-Security und Hacking diskutierten mit 43 hochkarätigen Referenten über neue Spionagegefahren und geeignete Abwehrstrategien und tauschten sich in 33 Vorträgen und 4 mehrtägigen Workshops aus. "Die Veranstaltung war erneut ein voller Erfolg, viele spannende Erkenntnisse konnten vermittelt und erarbeitet werden", freut sich René Pfeiffer, Organisator der DeepSec. "Basierend auf dem guten Feedback von Teilnehmern und Referenten beginnen wir bereits die Planung der nächsten DeepSec-Sicherheitskonferenz 2011", kündigt Pfeiffer an. Das Ziel der jährlichen internationalen Sicherheitskonferenz DeepSec ist es, als neutrale Plattform den Gedanken- und Erfahrungsaustausch zwischen IT-/Security-Unternehmen, Hacker-Community, Behördenvertreter sowie Forschern zu fördern.
DeepSec-Experten fordern proaktive statt reaktive IT-Sicherheit
Ein gravierendes Problem machten die Teilnehmer der DeepSec in der mangelhaften IT-Sicherheit auf Unternehmensebene aus. "Oftmals wird nur einmalig eine Lösung für die Sicherheit der Daten festgelegt und in der Folge stetig durch Updates geflickt", so der Sicherheitsexperte Pfeiffer. Dadurch lassen sich Angriffe jedoch nur zu einem Teil verhindern: "Es ist viel wichtiger, eine Aufmerksamkeit im Unternehmen für das Thema zu schaffen und eine proaktive Kontrolle der Sicherheit auf die Agenda zu bringen und nicht erst zu reagieren, wenn das sprichwörtliche Kind in den Brunnen gefallen ist", rät er.
Controlling für die Sicherheit im Unternehmen
Egal ob im Finanzbereich jedes Unternehmens, der Personalabteilung, der Produktion oder beim Service: Kontrolle findet in vielen Bereichen der Unternehmen statt. In vielen IT-Abteilungen fehlt dieser Kontrollmechanismus jedoch gänzlich. Das Thema gerät in der Regel erst durch konkrete Probleme auf den Schirm - und dann ist es oft zu spät. Viel sinnvoller sind hier die proaktive Überwachung sowie ein professionelles Risikomanagement.
Mitarbeiter aktiv in die Sicherheitskonzepte einbeziehen
Ein Teil dieser Überwachung muss durch die selbst Mitarbeiter geschehen. "Nur 25 Prozent aller Unternehmen schulen jedoch ihre Mitarbeiter obligatorisch in IT-Sicherheit. Dadurch herrscht in vielen Büros kein Problembewusstsein für potenzielle Risiken", meint Pfeiffer und bezieht sich dabei auf im Dezember veröffentlichte Zahlen des Statistischen Bundesamt in Wiesbaden. [1] Nur wenige Mitarbeiter wissen, dass Telefonate keineswegs sicher sind und eine Virensoftware kein sicherer Schutz vor Angriffen und Schadsoftware ist. Ohne, dass Mitarbeiter verstehen und aufgezeigt bekommen, wie sie potenzielle Angriffe und Lücken erkennen können, kann kein Sicherheitskonzept effektiv funktionieren.
Zur "IT-Unsicherheit" tragen verschiedene Faktoren bei: Nur 32 Prozent der deutschen Unternehmen haben ein formell festgelegtes Konzept für die IT-Sicherheit. IT-Sicherheitsregelungen, die bereits bei Unterzeichnung eines Arbeitsvertrages gelten, bestehen momentan nur bei rund 36 Prozent der deutschen Unternehmen. [2] Lediglich 37 Prozent der Unternehmen informieren ihre Beschäftigten in freiwilligen Schulungen oder stellen die Sicherheitsrichtlinien im Intranet oder per Rundschreiben bereit. [3] Hier sieht Pfeiffer in allen Punkten großen Nachholbedarf: "Die Zahlen und die Erkenntnisse der diesjährigen DeepSec belegen in beunruhigender Weise, das es bis zu einer proaktiven IT-Sicherheit noch ein weiter Weg ist, nicht nur in Deutschland, sondern auch auf internationalen Unternehmensebenen."
Ängste abbauen ist wichtig für die Sicherheit
Ein gutes Sicherheitskonzept kann selbst auch bei aufgeklärten Mitarbeitern nur dann funktionieren, wenn Sicherheitsbedenken ohne negative Konsequenzen für den Betroffenen gemeldet werden können. "Mitarbeiter sind nicht nur gerne Angriffspunkte von Social Engineering-Spionageattacken, sie helfen möglichen Angreifern auch oft indirekt dadurch, dass sie potentielle Sicherheitsbedenken oder nicht melden", analysiert Pfeiffer. Der Grund: Aus Angst vor Schuldzuweisungen melden Mitarbeiter ein Problem nicht und nehmen auch Abstand davon, dies das nächste Mal zu tun. "Hier kommt erneut der menschliche Faktor hinzu", meint Pfeiffer. "Die Folgen können dann durch reine Angst erneut katastrophal sein. Unternehmen müssen daher längerfristig denken und Mitarbeiter ermutigen, ein Teil der Sicherheitsstrategie des Unternehmens zu werden und sich als solchen zu begreifen."
Weitere Informationen und das Programm 2010 der DeepSec finden Sie hier: https://deepsec.net/
Besuchen Sie auch den DeepSec Blog: http://blog.deepsec.net/
1, 2, 3 Quelle: Statistisches Bundesamt in Wiesbaden, PM vom 6. Dezember 2010, Link: http://www.destatis.de/jetspeed/portal/cms/Sites/destatis/Internet/DE/Presse/pm/2010/12/PD10__448__52911,templateId=renderPrint.psml
(Ende)Aussender: | DeepSec GmbH |
Ansprechpartner: | Carsten Otte |
Tel.: | +49 - (0) 2151 - 65 35 444 |
E-Mail: | deepsec@deepsec.net |