Nachgefragt! Experteninterview zum Thema Informationssicherheit

Die EU-Kommission will Unternehmen mit einer Cybersecurity-Richtlinie verpflichten, mehr für Informationssicherheit zu tun. Viele Organisationen sind aktuell nicht ausreichend vorbereitet und riskieren drastische Strafen, zeigt eine Studie. Dr. Gerald Spiegel von Steria Mummert Consulting rät im Interview dazu, in erster Linie klassische Sicherheitsmaßnahmen noch konsequenter und nachhaltiger umzusetzen.

Herr Dr. Spiegel, seit Bekanntwerden der NSA-Spionage-Affäre prüfen Unternehmen weltweit die Tauglichkeit der eigenen Maßnahmen zur Informationssicherheit. Bedeutet der NSA-Fall, dass Unternehmen sich einer verschärften Bedrohung gegenübersehen, ausspioniert zu werden?

An der Bedrohungslage hat sich nichts geändert. Unternehmen werden nur mit einer stärkeren Wucht damit konfrontiert, da das Ausspähen von E-Mails und Telefonaten jetzt keine theoretische Möglichkeit mehr darstellt, sondern Realität ist. Der Handlungsdruck besteht schon seit Jahren. Nun wird vielen klar, dass sie etwas tun müssen.

Der Späh-Ansatz der NSA – erst einmal Rohdaten zu sammeln, ohne dass von vorneherein klar ist, bei welchen Unternehmen, welche Informationen und zu welchem Zweck – sollte vor allem jene Unternehmen aufrütteln, die bisher glaubten, keine für Wirtschaftsspione interessanten Informationen zu besitzen. Die Mitbewerber sind weltweit vertreten, agieren teilweise mit staatlicher Unterstützung und ihre Interessen an Informationen sind nicht immer offensichtlich. Maßnahmen zu Schutz vor ungewollten Datenabfluss sind damit zu einem entscheidenden Wettbewerbsfaktor geworden. Unternehmen ohne hinreichende Informationssicherheit laufen Gefahr, einfach vom Markt zu verschwinden.

Brauchen Unternehmen neue Ansätze und Sicherheitsmaßnahmen, um Späh-Angriffe abzuwehren?

Es sind keine neuen oder besonders innovativen Maßnahmen notwendig. Unternehmen sollten ihre individuelle Bedrohungslage gründlich auswerten und dann bestehende oder naheliegende Maßnahmen konsequent anwenden. Dass man E-Mails am besten verschlüsselt versendet, ist nichts neues, war aber bis vor kurzem nur für ausgewählte und ganz offensichtlich sensible Informationen ein Thema in den Managementetagen. Vielfach werden Maßnahmen angestoßen, ohne deren Umsetzung oder Wirkung zu kontrollieren. Produkte helfen zwar, Maßnahmen zu automatisieren, sind allerdings nach kurzer Zeit wieder wertlos, wenn der entsprechende Pflege- und kontinuierliche Verbesserungsprozess fehlt. Die Orientierung an Standards wie ISO 27001 und 27002 und Best Practices sowie der BSI IT-Grundschutz bieten wertvolle Hilfestellungen.

Das Beispiel Kanzlerhandy hat gezeigt: Die Technik ist durchaus vorhanden und – deren Verwendung vorausgesetzt – hinreichend sicher. Kommt diese jedoch nicht zum Einsatz entstehen Sicherheitslücken. Was raten Sie Firmen, die ihre Manager und Fachkräfte besser in Sachen Informationsschutz trainieren wollen?

Immer noch gilt der Grundsatz: Eine Kette ist so stark wie ihr schwächstes Glied, und das ist bei Informationssicherheit leider immer noch der Mensch. Zwar lassen sich durch Technik viele Maßnahmen automatisieren und damit das Risiko menschlicher Fehler eindämmen. Dennoch ist die sukzessive Verankerung eines ausreichenden und aufgabenspezifischen Sicherheitsbewusstseins bei allen Mitarbeitern auch heute eine der wichtigsten Maßnahmen und der wirksamste Schutz.

Die Erfahrung zeigt, dass Informationssicherheit gerade vom Management und von Führungskräften nach wie vor als eine Aufgabe der IT-Abteilung gesehen wird; mithin wird die Ursache von Sicherheitslücken ebenso aber oft fälschlicherweise in der IT-Abteilung gesucht. Management und Führungskräfte müssen in Sachen Informationssicherheit als Vorbilder agieren. Nur dann propagiert sich ein Bewusstsein, mit Informationen des Unternehmens sensibel, aufmerksam und verantwortlich umzugehen, bis in jeden Winkel des Unternehmens.

***************************************************
Experteninformationen:
Dr. Gerald Spiegel ist Senior Manager bei Steria Mummert Consulting im Bereich Information Security Solutions.
****************************************************

Quelle und Interviewdurchführung: Steria Mummert Consulting