Security-Roundtable der COMPUTERWELT Detail - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


22.09.2011 Edmund E. Lindau

Security-Roundtable der COMPUTERWELT

Wie begegnen IT-Security-Anbieter den neuen Herausforderungen? Wohin geht die Entwicklung bezüglich Cloud Computing? Wie unterstützen Anbieter ihre Kunden im Bereich Mobility? Viele Fragen, denen die COMPUTERWELT auf den Grund ging.

Viele Anwender gewinnen den Eindruck, dass die IT-Security-Anbieter der immer professioneller werdenden Internetkriminalität hinterherlaufen. Auch wird der Aufwand für Inhouse-Lösungen immer höher, wodurch mehr oder weniger alle Anbieter auf Angebote zum Thema Managed Security-Services, Outtasking und Cloud-basierende Angebote umschwenken. Die Komplexität der Bedrohungen, die Schnelligkeit der Entwicklungen und die unübersichtliche Angebotspalette lässt viele Anwender immer ratloser werden. Aus diesem Grund lud die COMPUTERWELT eine hochkarätige Diskussionsrunde zu ihrem ersten Security-Roundtable. In seiner Eröffnung richtete COMPUTERWELT-Herausgeber Manfred Weiss an die Teilnehmerrunde die Frage, ob denn Österreich, das laut Kriminalstatistik als sicheres Land gilt, auch in der digitalen Welt und im IT-Umfeld so sicher sei.

Für Josef Maier, Solution Architect für die DACH-Region von HP/Tippingpoint kennt Kriminalität keine Grenzen. Neben dem kriminell motivierten Hacking trete zunehmend auch die politische Komponente in den Vordergrund. Dies betreffe nicht mehr nur Großunternehmen, sondern mittlerweile auch mittelständische und kleine Unternehmen. In seinen Augen geht es nicht mehr nur um "Hacking for Fame". Und deshalb gäbe es auch in Österreich interessante Ziele.

KEINE INSEL DER SELIGEN Auch für Reinhard Ruthofer, IT-Security Enterprise Architect der Bawag/PSK ist Österreich keine Insel der Seligen mehr. Es gäbe immer wieder Phishing-Attacken. Doch die Banken seien gut aufgestellt und sicherheitsmäßig am Ball der Zeit. "Es ist ein Wettrüsten, in dem es keinen Sieger gibt. Wir sind laufend bemüht, die Fälle so gering wie möglich zu halten. Und wenn es zu Schadensfällen kommen sollte, werden diese meistens im Interesse der Kunden gelöst."

Paul Karrer, CEO der Arrow ECS Internet Security AG weist auf die gravierendsten Probleme hin: "Der Angriff auf die GIS war eine ganz simple SQL-Injection, ermöglicht durch schlampige Programmierung der Applikation. Den jüngsten Angriffen durch Anonymus-Austria hat man ja das Tor aufgemacht". Seitens der Anwender werde an den falschen Ecken gespart. "Vor allem Personalressourcen sind da ein wichtiger Punkt. Die Technologie an sich ist ja zum Großteil vorhanden. Sie wird jedoch oft falsch oder auch gar nicht eingesetzt", so Karrer. Es werde zu wenig in Ausbildung und Trainings investiert und auf Seiten der Industrie, die die Systeme herstellt, fehle oft das Verständnis dafür, dass es neben der "Safety" auch die "Security" geben müsse.

Auf die Frage, ob denn die Anwender da nicht am falschen Platz sparten, meint Christian Spörer, CIO der Total Security Quality Management der Österreichischen Staatsdruckerei: "Die Staatsdruckerei ist nicht irgendein Unternehmen. Sicherheit ist einer der Kernwerte des Unternehmens. Die Österreichische Staatsdruckerei verarbeitet jährlich rund 1,5 Millionen persönlicher Datensätze. Wir verstehen uns als Teil der kritischen Infrastruktur der Republik – entsprechend ernst und wichtig nehmen wir das Thema IT- und Datensicherheit. Wir brauchen keine 'sicheren', sondern 'hochsichere' Lösungen. Und das beeinflusst auch unsere Investitionsentscheidungen."

In den Augen von Ernst Eisner, Geschäftsführer Symantec Österreich, wächst Cybercrime dramatisch an. Der Markt sei mittlerweile größer als der internationale Drogenhandel. "Unsere eigenen Umfragen am europäischen Markt haben ergeben, dass 20 Prozent der betroffenen größeren Unternehmen, die attackiert wurden, einen Schaden von mindestens 200.000 Dollar erlitten haben. Bei Kleinunternehmen lag der Schaden bei 100.000 Dollar. Da geht es wirklich vielfach um die Existenz." Doch oft stünden die Haustüren sehr weit offen und Einbrüche wären mit wenigen Mitteln sehr leicht zu verhindern gewesen.

KOMPLEXE ANWENDUNGEN Thomas Haberl, Vertriebsleiter bei SSP Europe weist dabei auf ein gravierendes Problem hin. "Vor zehn Jahren hatte eine IT-Abteilung beispielsweise zehn wichtige Anwendungen, heute hat sie es mit 200 zu tun. Da müssen Anwendungen wie eine neue Webseite oder ein Online-Shop sehr schnell verfügbar gemacht werden." Dabei käme ein Prüfen und Testen auf Schwachstellen sehr oft zu kurz. Sony wäre da so ein Fall gewesen, wo Informationen über Schwachstellen bereits ein halbes Jahr vor dem Datendiebstahl bekannt waren. Auf die Frage, wie es in diesem Zusammenhang mit Sicherheits-Checks bei den Anwenderfirmen stünde, meinte Rainer Sumaric, Sophos Key Account Manager Austria, dass viele Anwender oft gar nicht die Dienstleistungen der Anbieter in Anspruch nehmen. "Bei ihnen ist zwar ein Basiswissen vorhanden, aber in den Details sind große Lücken vorhanden. Sehr oft reicht es aus, bei Security-Applikationen nur an der richtigen Stelle das richtige Häkchen zu setzen." Viele Anwender wüssten über die umfangreichen Möglichkeiten der Security-Lösungen, die sie einsetzen, gar nicht Bescheid. Durch entsprechende Anwender-Trainings wäre vieles im Vorhinein schon vermeidbar. Dies sei Sparen am falschen Platz. Für Sumaric stelle sich heute auch die Frage um die Zukunft der Mobile Security. "Wie ist es um die Sicherheit von Apps bestellt? Als Security-Anbieter habe ich beispielsweise keinen Zugriff auf die Schnittstellen von Apple."

In den Augen von Paul Karrer müssten zuerst organisatorische Probleme bei den Anwendern gelöst werden. Viele Unternehmen wüssten gar nicht was alles an Hard- und Software in ihrer Firma installiert sei. "Da brauche ich gar nicht erst mit großen Geschützen aufzufahren, um ein Mehr an Sicherheit zu schaffen. Der simpelste Test für einen Administrator ist, wie lange er braucht darauf zu kommen, dass ein nicht autorisiertes Gerät in seinem LAN hängt. Damit sind wir am Kern des Problems", so Karrer. Oliver Baier, Sicherheitsmanager der Österreichischen Lotterien, sieht das Sicherheitsproblem bei den Anwendern im gelebten Alltag und in den Prozessen. Der Aufwand, beispielsweise eine Web-Applikation-Firewall einzusetzen, sei relativ hoch. Man muss Verständnis für die Kosten finden, alle Prozesse anpassen, die Zuständigkeiten festlegen. Auch werde auf die Sicherheit in der Softwareentwicklung noch immer zu wenig Wert gelegt.

SECURITY IM BUSINESSPROZESS Er wird dabei von Christian Fahlke, Geschäftsführer von Checkpoint Österreich/Schweiz, unterstützt: "So lange Security nicht in einem Businessprozess eingebunden ist, werden wir immer wieder feststellen, dass Securitylösungen einfach nur als Pflaster gebraucht werden." Die Übergänge zwischen diesen Pflastern herauszufinden, was nun abgesichert sei und was nicht, sei eines der wichtigsten Themen bei seinen Kunden. Fahlke: "Was wir auch unseren Kunden immer sagen: Bindet bei euren Securityprozessen eure User bzw. Kunden ein. Der User macht mit der ihm zur Verfügung gestellten IT das, was sie ihm erlaubt."

Christian Spörer: "Die Komplexität hat sich in den letzten Jahren für die IT-Administratoren deutlich erhöht. Waren in der Vergangenheit die Aufgaben und Verantwortlichkeiten der IT klar definiert und überschaubar, gab es eine deutliche Veränderung. Die Vielzahl unterschiedlicher Lösungen und Applikationen und deren Integration in die Unternehmens-IT stellt uns vor täglich neue Herausforderungen. Wir müssen also IT-Sicherheit in die Detailprozesse integrieren."

 

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema

  • T-Systems Austria GesmbH

    T-Systems Austria GesmbH WLAN-Systeme, VPN, Voice Mail Dienste, Videokonferenz-Systeme, Unified Messaging Dienste, Netzwerk-Systeme (LAN, MAN, WAN), Netzwerk-Management,... mehr
  • NAVAX Unternehmensgruppe

    NAVAX Unternehmensgruppe Wasser- und Energieversorgung, Vereine und Verbände, Öffentliche Verwaltung, Medizin und Gesundheitswesen, Maschinen- und Anlagenbau, Konsumgüterindustrie, Immobilien,... mehr
  • KORAM Softwareentwicklungsgesellschaft m.b.H:

    KORAM Softwareentwicklungsgesellschaft m.b.H: Betriebsdaten- und Zeiterfassung, Kaufmännische Software (ERP), Management Informationssysteme (MIS), Bauwesen, Einzelhandel, Fertigung, Produktion und Konstruktion, Freie Berufe,... mehr
  • customer care solutions - Call Center Betriebs GmbH

    customer care solutions - Call Center Betriebs GmbH B2C Dienste und Lösungen, B2B Dienste und Lösungen, User Helpdesk-Systeme und Hotlines, Systempflege- und Wartung, Outsourcing, IKT-Consulting, Facility Management,... mehr

Hosted by:    Security Monitoring by: