Michael Krausz: "In Österreich gibt es nur wenige 'echte' Chief Security Officer" Detail - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


27.06.2011 Edmund E. Lindau

Michael Krausz: "In Österreich gibt es nur wenige 'echte' Chief Security Officer"

Sicherheits-Spezialisten Michael Krausz im Interview mit der COMPUTERWELT.

Der Druck auf Unternehmen, Sicherheitsmaßnahmen umzusetzen, wird immer größer. Dabei sind es nicht nur bekannt gewordene Vorfälle wie der Datendiebstahl bei RSA-Security oder der jüngste Einbruch in die Server des Internationalen Währungsfonds. Die COMPUTERWELT befragte zu diesem Thema den international tätigen Sicherheits-Spezialisten Michael Krausz.

Welche Branchen/Unternehmen (z.B. Finance, Energie, Gesundheitsbereich, Industrie, Handel, KMU etc.) stehen heute vor den größten Herausforderungen, IT-Sicherheitsmaßnahmen zu setzen? Michael Krausz: Konkret sind all jene Branchen/Unternehmen gefordert, deren Umsatzgenerierung direkt vom sicheren Funktionieren ihrer IT abhängt sowie zusätzlich alle Branchen, in denen intensive Forschung betrieben wird oder in denen beispielsweise gesundheitsrelevante oder andere gesetzlich unter besonderem Schutz stehende Daten verarbeitet werden. Grundsätzlich müssen die Verfügbarkeit, Vertraulichkeit und Integrität von Daten/Information umso besser geschützt werden, je näher ein Unternehmen am 24x7 Betrieb ist. KMU’s befinden sich in einer besonderen Situation, da das mögliche erreichbare Schutzniveau ganz besonders von den Faktoren Risikoexposition und leistbare Aufwände abhängt. Die größte Herausforderung ist heute, sicherzustellen, dass die Konsistenz der auf technischer und organisatorischer Ebene gesetzten Maßnahmen gewährleistet ist. Dies ist häufig noch nicht in ausreichendem Maße der Fall. Zudem erweisen sich manche Maßnahmenpakete als "Schuss ins Knie", da mitunter bestehende Prozesse zu sehr in ihrer Leistungsfähigkeit gehemmt werden bzw. andererseits nicht genügend Ressourcen zur sinnvollen Wahrnehmung von Sicherheitsaufgaben zur Verfügung gestellt werden. Der Druck, Sicherheitsmaßnahmen zu setzen, hat in den vergangen drei Jahren jedenfalls deutlich zugenommen.

Kommt dieser Druck durch gesetzliche Vorgaben oder durch Angriffe/Datenverluste? Man sollte hier nach der Quelle des Drucks unterscheiden: Für Unternehmen an sich kommt der Druck aus gesetzlichen und privatrechtlichen Vorgaben, beispielsweise aus dem URÄG 2008, dass Unternehmen zu Risikomanagement verpflichtet, aus der EU Payment Services Directive, die zum Beispiel Finanzdienstleister zu operativem Risikomanagement verpflichtet (davon ist auch die IT umfasst). Weiters daher, dass Wirtschaftsprüfer völlig berechtigterweise (sowie sachlich wie auch im Wortsinn), den Umgang mit IT-Risiken stärker prüfen. Es gibt beispielsweise Unternehmen, in denen wird die Bilanz direkt aus dem Data Warehouse erstellt. Klarerweise muss dann das DWH entsprechend überprüft werden, um die Korrektheit der Bilanz sicherstellen zu können. Für das Management der Unternehmen selbst kommt der Druck insbesondere aus konkreten Vorfällen, siehe beispielsweise Sony, IWF, Citigroup, um ein paar ganz aktuelle Beispiele zu nennen. Um ein altes bon mot zu zitieren: Mittlerweile bewahrheitet sich ebenfalls auch in Österreich der Satz, dass ein Vorstand der keine Prozesse hat, möglicherweise später einen bekommt. Gemeint sind im ersten Fall Prozesse, die Sicherheit und Risiko-Management implementieren, im letzteren derjenige vor Gericht wegen zivilrechtlicher Haftung oder bereits strafbarer Fahrlässigkeit.

Warum hat es ein CSO in seinem Unternehmen so schwer? Weil viele CSOs, formal betrachtet, keine sind. Im internationalen Vergleich gibt es in Österreich sehr wenige CSOs, deren Funktion die Elemente Richtlinienkompetenz, Budgethoheit sowie Zusammenfassung der physikalischen und IT-Sicherheit (in Richtlinienfragen sowie kontrollierend-operativ) umfasst und die auch auf Geschäftsleitungsebene angesiedelt sind. Es kann auch eine Person in der zweiten oder dritten Führungsebene in ihrer Arbeit als CSO erfolgreich sein, wenn sie ausreichende Unterstützung durch das Top-Management erfährt. Diese lässt in Abhängigkeit vom jeweiligen Thema jedoch mitunter sehr rasch nach. Auf Alltagsebene ist es vor allem das immer noch schwierige Greifbarmachen einer vorhandenen oder potentiellen Risikolage, das Definieren von ROSIs (Return on Security Investment) für Investitionen in Systeme oder prozessseitige Maßnahmen, sowie fehlende KPI’s, um konkrete Effektivitätsverbesserungen durch gesetzte Maßnahmen auch beweisen zu können.

Wie kann er seine Situation verbessern? Zunächst dadurch, die Risikolage des Unternehmens durch offene und transparente Kommunikation für das Management greifbar zu machen. Dabei sollte vom Ausmalen von Schreckensszenarien Abstand genommen werden. In einer guten Risikoanalyse sprechen die Fakten für sich.Hinsichtlich Messbarkeit der Effektivität von Maßnahmen bietet sich beispielsweise ISO 27004 oder auch andere Literatur an. Mittels ISO 27004 lässt sich die Effektivität von gesetzten oder geplanten Maßnahmen recht gut erfassen. Weiters ist es empfehlenswert, dass der CSO (in Großunternehmen) ein Team um sich aufbaut, in dem die folgenden Kompetenzen vertreten sind:

  • Physikalische Sicherheit
  • Netzwerksicherheit
  • Know-how zu den jeweils im Unternehmen eingesetzten Betriebssystemen
  • Datenbank und Applikations-Know-how
  • Know-how betreffend die Gestaltung von Prozessen / Policies und Prozeduren
  • Besonderes Know-how in Abhängigkeit vom Unternehmensgegenstand

Durch so ein Team wird der CSO in der Erledigung seiner Aufgaben schlagkräftiger und kann das in der IT umgesetzte Sicherheitsniveau besser analysieren und steuern.

Macht Security-Outsourcing Sinn? Jein, es hängt von der Risikolage des Unternehmens, seiner Größe und seinem Kerngeschäft ab. Im Defense-Sektor beispielsweise gibt es in der Regel keinerlei Outsourcing von Security-Funktionen, da werden auch Papier-Unterlagen vom Unternehmen selbst vernichtet und Portiere angestellt. Für Unternehmen in anderen Branchen kann das Outsourcing von Teilfunktionen (Portier, Dokumentenvernichtung, bis eventuell selbst zum Firewall-Betrieb oder sogar von internen Security-Audits) durchaus kommerziell oder organisatorisch Sinn machen. In solchen Fällen hängt es dann vom Vertrauensniveau zwischen Unternehmen und Dienstleister ab, ob und welche Art der Sicherstellung eines adäquaten Sicherheitsniveaus durch den Dienstleister selbst verlangt wird. Als allgemeine Regel empfiehlt sich vor allem eine genaue Prüfung der Sachlage, da ein Outsourcing-Provider zunächst eine zusätzliche Risikoquelle darstellt.

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema

  • APC Business Services GmbH

    APC Business Services GmbH IT-Personalbereitstellung, Individual-Softwareentwicklung, IKT-Consulting mehr
  • MIC – managing international customs & trade compliance

    MIC – managing international customs & trade compliance Supply Chain Management, Kaufmännische Software (ERP), Expertensysteme, E-Procurement und Supply Chain Management, B2B Dienste und Lösungen mehr
  • ectacom GmbH

    ectacom GmbH Aus- und Weiterbildung, IT-Asset- und Lizenzmanagement, Übernahme von Softwareprojekten, Datenschutz, Antiviren- und Virenscanner Software, Backup und Recovery Systeme, Firewalls,... mehr
  • HATAHET productivity solutions GmbH

    HATAHET productivity solutions GmbH Individual-Softwareentwicklung, Migrations-Management, Programmierung, System- und Netzwerk-Tuning, Systemintegration und Systemmanagement, Übernahme von Softwareprojekten, User Helpdesk-Systeme und Hotlines,... mehr

Hosted by:    Security Monitoring by: