(IT-) Sicherheit ist Chefsache

Sicherheit, egal ob für IT oder die Firma selbst, ist Chefsache! Diese Aussage stammt aus einem interessanten Artikel von Herrn Friedrich P. Kötter, dem Geschäftsführer von Kötter Security, der uns heute auf sicherheit.info aufgefallen ist. Darin macht er ein paar ganz interessante Aussagen. Da Kötter Security als eines der grössten Sicherheitsfirmen in Deutschland durchaus ein gewichtiges Wort in Person des Chefs hat, haben wir uns den Artikel mal genauer angeschaut und die Zitate aus unserer IT-Brille unter die Lupe genommen.

Die Sicherheitsdiskussionen haben durch die Diskussionen über NSA-Spionale, Prism und die Enthüllungen von Eduard Swowden. Spionageangriffe auf Netzwerke und Mobiltelefone, politische Angriffe und Wirtschaftsspionage sind seit Jahren ein bekanntes Phänomen. Das Bedürfnis nach Sicherheit und Schutz für Daten, Objekt und Infrastruktur wird dabei immer größer. Die Diskussion hintendran ist wichtig, man darf aber nicht den Fehler machen, das Sicherheitsbedürfnis nur isoliert zu sehen. Herr Kötter hat dies ganz passend formuliert:

Friedrich P. Kötter, Geschäftsführer von Kötter Security, Düsseldorf, warnt, dass zur Abwehr von Wirtschaftsspionage vielmehr ein abgestimmtes Gesamtkonzept erforderlich sei, das alle Sektoren umfasse: von physikalischer und personeller Sicherheit über die Geheimhaltung durch Mitarbeiter bis zum Schutz von Netzwerken. Entscheidend zudem: Die Verantwortung hierfür muss in einer Hand beim Vorstand oder bei der Geschäftsführung gebündelt werden. Sicherheit muss Chefsache sein.

Zitat: Fachartikel sicherheit.info 25.11.2013

Die Verantwortung hierfür muss in einer Hand liegen, dabei entscheidet aber das Gesamtkonzept. Herr Kötter hat vollkommen recht. Die IT Sicherheit alleine schützt kein Unternehmen, der Sicherheitsdienst und die Einbruchmeldeanlage kümmern sich dagegen nicht um Datenklau, Industriespionage und Cyberattacken auf die Infrastruktur. Der USB Stick des Mitarbeiters in der Tasche kann genauso Schaden anrichten wie die offene Fluchttüre zum Hinterhof, welche weder von einer Kamera noch anderweitig gesichert ist.

Der jährliche Schaden durch Spionage, insbesondere Wirtschafts- und Wettbewerbsspionage verursacht einen jährlichen Schaden in Milliardenhöhe. Trotz dieser Zahlen werden insbesondere im Mittelstand nur geringfügig in Sicherheitsprävention investiert. Leider fehlt hier trotz der Diskussion das Umdenken und die Bereitschaft, mehr zu investieren.

Der Grund:
Viele Unternehmen hoffen auf das „Glück“, dass schlichtweg nichts passiert und es zu keinem „sicherheitsrelevanten Schadensfall“ kommt. Solange in der Tat nichts passiert, scheint sich diese Strategie zu rechnen. Der Erfolg und Nutzen von präventiven Investitonen  lassen sich leider nicht messen oder bewerten, die deutsche Wirtschaft und der typische Betriebswirt verwendet als Indikator für Sinn, Unsinn, Erfolg und Misserfolg nun mal Zahlen. Diese lassen sich so nicht ermitteln. Einen solchen Messwert erhalten sie erst, nachdem ein Schaden entstanden ist und dieser kann erhebliche finanzielle Konsequenzen haben. Sich also „blind“ auf das Glück zu verlassen, kann nicht nur finanziell gefährlich werden. Oftmals wird leider unterschätzt oder schlichtweg übersehen, dass der Geschäftsführer, egal ob alleine oder in einer GmbH auch mehrere davon, hier vollständig in die Haftung geraten, haben sie nicht alle zumutbaren Maßnahmen und Schritte unternommen, um einen solchen Schaden für sich und insbesondere für Dritte zu verhindern.

Passiert aber tatsächlich etwas, stehen die Kosten und Schadenssummen im Vergleich zu den eingesparten Kosten in keinem Verhältnis, oftmals überschreiten sie diese um ein Vielfaches. Dabei kann selbst der Super-GAU bis zu einer Insolvenz des betroffenen Unternehmens führen, unter anderem wenn Know-how gestohlen wurde und später von Billigkonkurrenten auf den Markt gebracht werden.

Eine ähnliche Situation finden wir vor bei der Gebäude-Absicherung vor. Auch und gerade hier erfordert es den Einsatz von ganzheitlichen Konzepten, der Sicherheitsdienst- und Technik sinnvoll ergänzt. Personelle Sicherheit (Wachpersonal, Empfangs- und Pfortendienste, Streifengänge) unterstützen dabei die technischen Komponenten (Zutrittskontrollsysteme, Einbruchmeldeanlage,, Videotechnik, Aufschaltung bei einer Notruf- und Serviceleiststelle) und schützen so gleichwertig und effektiver den gesamten Bereich.

Angriffe von Außen sind oftmals nicht über den Computer im Gange, sondern nutzen unzureichende Zutrittskontrollen. So gelangen Unbefugte problemlos z.B. in Forschungsbereiche oder zentrale Serverbereiche, aus denen sich mit Hilfe von mobilen Endgeräten (Smartphones, Tablet PCs oder einem einfachen USB Stick) schnell und einfach wertvollste Informationen stehlen lassen oder für eine spätere Online-Ausspähung die notwendigen „virtuellen Türen“ (Ports) geöffnet werden. Dies kann z.B. durch einen Trojaner geschehen oder ein anderes Backdoor Tool, welches die Informationen und Daten „nach Hause“ telefoniert.

Oftmals unterschätzt wird ein weiterer zentraler Aspekt der Geheimhaltung – durch die Beschäftigten. Hier bedarf es ebenfalls klarer Konzepte, eindeutiger Leitlinien und Vorschriften für alle Mitarbeiter, insbesondere und gerade nach deren Ausscheiden, damit diese nicht leichtfertig mit sensiblen Informationen und Betriebsgeheimnissen umgehen und so zur wertvollen Quelle für Spionageaktivitäten werden.

Systemhaus Goggosoft ist sich dieser Problematik bewusst und bietet Ihnen im Netzwerk mit der P.R.D. Security e.K., und der Firma Securepoint aus Lüneburg die Puzzle-Teile für ein effektives und individuelles Sicherheitskonzept für IT und Firma. Wir freuen uns auf Ihre Anfrage. Was können wir für Sie tun?