»IT-Sicherheit bedeutet mehr als eine firmeneigene Firewall. IT-Security stellt sicher, dass die Vertraulichkeit und die Verfügbarkeit von Informationen in technischen Systemen gewährleistet sind. Sie dient dem Schutz vor technischen Gefahren sowie vor versehentlichen und vorsätzlichen Manipulationen« sind sich der Fraunhofer-Verbund Informations- und Kommunikationstechnologie (IuK) und der Bundesverband des Deutschen Versandhandels (bvh) sicher. Daher trugen sie im Rahmen der Veranstaltungsreihe »InnoVisions-Days« im Berliner Fraunhofer-Forum gemeinsam den IT-Security Tag aus, bei dem den Teilnehmern Best Practices und aktuelle Studien aus der Welt der Informationssicherheit präsentiert wurden. 

Vertrauen ist gut. Kontrolle und Sicherheit sind besser, wenn es um das Thema Unternehmens-IT geht. Doch was ist beim Thema IT-Security der wichtigste Punkt für Unternehmen, und warum brauchen Unternehmen überhaupt eine IT-Security Strategie? InnoVisions fragte bei den Referenten und Organisatoren des IT-Security Tags nach. 
Stefan G. Gfrörer, Gründungs-Vorsitzender des Arbeitskreises IT-Sicherheit beim bvh und Director E-Commerce IT & Fulfillment bei der SevenVentures GmbH referierte zum Thema »IT-Security strategisch in Unternehmen verankern«. Er bringt die Unterschiede zwischen stationärem Handel und Online-Handel wie folgt auf den Punkt: »Es muss noch viel gemacht werden, um eine Analogie zum normalen Geschäftsleben zu finden. Die Technik ist da – aber das Bewusstsein und die Zeit für die Umsetzung nicht. Jeder Laden ist mit Sicherheitsvorkehrungen, sprich Alarmanlagen, abgesichert, die im E-Commerce jedoch noch nicht eingesetzt werden.« Ramin Benz, Teamleiter für Portal und Zustellung in der Abteilung Empfängerstrategie bei DHL Paket Deutschland und Marcus Rubenschuh, Vice President IT-Security & Compliance, Chief Information Security Officer BRIEF bei Deutsche Post AG, demonstrierten die »Steigerung der Zugangssicherheit durch mTAN am Beispiel der Packstation«. Für sie besteht bei Unternehmen das Ziel der IT-Sicherheitsstrategie in »inhärent sicheren IT-Systemen und einem hohen Grad an Transparenz«. Beim Vortrag »Mobile Security« von  Beate Eickhoff, Fraunhofer-Einrichtung für Systeme der Kommunikationstechnik ESK, standen die Aspekte des sicheren Zugriffs auf Firmeninfrastrukturen, Profiltrennung, Datenschutz sowie die Sicherheit von Smartphones und Apps im Vordergrund. »Der Mitarbeiter soll mehr mit einbezogen werden, damit er die IT-Policy bewusst unterstützen kann. Mehr Sicherheitsbewusstsein bei den Mitarbeitern erzeugt eine Sensibilität für mögliche Gefahren«, lautet Eickhoffs Rat in puncto erfolgreicher IT-Sicherheit.

Im praktisch orientierten Teil der Veranstaltung zeigten Thomas Ringmann und Thilo Rees von der Continum AG die Bausteine einer sicheren Unternehmens-IT auf und berichteten über »Gehostete Systeme und deren Einbindung ins Unternehmensnetzwerk«. Sie stellten mögliche Gegenmaßnahmen und eine Checkliste vor, mit deren Hilfe wesentliche Sicherheitslücken bei der Konfiguration vermieden werden können. »Der Basisschutz ist nach wie vor lückenhaft. Bevor dieser nicht gegeben ist, sollte man sich über hochpreisige Lösungen keine Gedanken machen. Viele Punkte beim Thema IT-Security, die jedem Nutzer klar sind, sind nicht konsequent umgesetzt«, bringt Rees, Senior Systemadministrator Microsoft-Systeme/Network Security, zum Ausdruck. Der unter dem Spitznamen »Hacker« bekannte IT-Experte im Bereich Internet Zertifizierung und IT-Sicherheit bei der TÜV SÜD Management Service GmbH, Thomas Springer, verriet zum Thema »Sicherheit im Online Einkauf« die Innenansichten eines Hackers und ging auf Best Practices sowie Lessons Learned ein. »IT-Sicherheit ist eine Frage der Qualität. Sicherheitslücken entstehen durch mangelnden Qualitätsanspruch in der Konzeption und Umsetzung. Gute Internetseiten haben keine Sicherheitslücken, denn jede Fehlereingabe wird dort abgefangen«, weiß Springer aus eigener Erfahrung.

Auch die aktuellsten Forschungsergebnisse kamen beim IT-Security Tag nicht zu kurz. Jan Gassen, der am Institut für Informatik der Universität Bonn sowie am Fraunhofer-Institut für Kommunikation, Informationsverarbeitung und Ergonomie FKIE tätig ist, stellte die Studie zur Botnetz-Bekämpfung der Forschungsgruppe Cyber Defense des Fraunhofer FKIE vor. Für Gassen geht eine funktionierende IT-Security Strategie mit der Aufklärung der Mitarbeiter Hand in Hand: »Das Wichtigste ist Awareness: Wo die Gefahr herkommt, und wie groß die Gefahr ist. Ein großes Problem für Unternehmen sind Mitarbeiter, die aus Unwissenheit etwas ins Firmennetz einschleusen. Es gilt, die Mitarbeiter über die möglichen Gefahren aufzuklären.« Thomas Kunz vom Fraunhofer-Institut für Sichere Informationstechnologie SIT erläuterte die Studie »On the Security of Cloud Storage Services« und betonte, dass bei der Nutzung von Cloud-Diensten die Vertrauensfrage von zentraler Bedeutung ist: Denn die lokale Sicherheit wird ersetzt durch das Vertrauen in die Cloud-Anbieter. »Auch wenn sich Cloud-Anbieter der Bedeutung von Sicherheit bewusst sind, so müssen Nutzer dennoch stets den Sicherheitsbedarf ihrer eigenen Daten einschätzen«, führte Kunz aus. 

Der InnoVisions-Day zeigte, dass IT-Security keinen festen, dauerhaften Zustand darstellt und dass selbst bereits gut aufgestellte Unternehmen weiterhin vor neuen Angriffsmöglichkeiten auf der Hut sein müssen. Thomas Bendig, Geschäftsführer Fraunhofer IuK-Verbund, fast die Lessons Learned des Tages wie folgt zusammen: »Neue flexible Arbeitsformen und die starke Verbreitung von Mobile Computing und Cloud Computing stellen die IT-Verantwortlichen in den Unternehmen vor neue komplexe Herausforderungen. Diese lassen sich zum großen Teil mit Sicherheitstechnologien lösen, eine Sensibilisierung und Aufklärung der Mitarbeiter über Risiken z.B. von Cloud Storage Diensten und Bedrohungen z.B. von Botnetzen ist aber unumgänglich.« Die Referenten demonstrierten, wie Mitarbeiter und Unternehmen sich die aktuellsten Sicherheitsbausteine zu Nutze machen und von Best Practices profitieren können. Dass die IT-Security Strategie eines Unternehmens auf oberster Ebene verankert sein sollte, verdeutlichte auch Ingmar Böckmann, E-Commerce-Experte des bvh: »Unternehmen müssen den zukünftigen Entwicklungen gewachsen sein und dabei die Nutzbarkeit ihrer Dienste bestmöglich gewährleisten können. IT-Security ist kein technisches Thema, sondern in erster Linie ein Management-Thema.«

Die nächste Veranstaltung des Fraunhofer-Verbunds IuK-Technologie in Kooperation mit dem Bundesverband des Deutschen Versandhandels (bvh) wird sich dem Thema »E-Commerce« widmen und findet am 15. November 2012 im Berliner Meistersaal am Potsdamer Platz statt. (nst)

Keine Kommentare vorhanden

Das Kommentarfeld darf nicht leer sein
Bitte einen Namen angeben
Bitte valide E-Mail-Adresse angeben
Sicherheits-Check:
Zwei + = 6
Bitte Zahl eintragen!
image description
Experte
Alle anzeigen
Thomas Bendig
  • Fraunhofer-Verbund IUK-Technologie
Weitere Artikel
Alle anzeigen
Normal oder anomal, das ist hier die Frage
Die Suche im digitalen Heuhaufen
Produktion blind vernetzt
Stellenangebote
Alle anzeigen