IT-Sicherheit: Handlungsbedarf auf allen Ebenen

ZDNet: Ist Open Source Software sicherer als die Produkte namhafter Hersteller?

Weichert: Diese Frage wird unter Sicherheitsfachleuten immer wieder diskutiert: Ist eine Software, deren Quellcode offen liegt, sicherer? Bekannt ist bis heute, dass eine große Community etwa die der Open-Source-Bewegung sehr rasch auf Gefahren und Löcher in der Software reagiert und Fehler sehr schnell behebt. Ich glaube, dass dieses Modell langfristig zu besserer Software und damit zu mehr Sicherheit führen kann, im Vergleich zu Produkten, die von einem Hersteller entwickelt und gepflegt werden.

ZDNet: Wo sehen Sie den dringendsten Handlungsbedarf?

Weichert: Den gibt es auf allen Ebenen, da alle von mangelnder Sicherheit betroffen sind. Das fängt an bei Benutzerhandbüchern, die auf sehr anwenderfreundliche Art und Weise und vor allem nachvollziehbar erklären, wie man einen Rechner sicher macht. Insofern besteht in den bisherigen Dokumentationen Fehlanzeige. Dafür wird ausführlich beschrieben, dass man mit einem Laptop Rechner nicht auf dem Schoss arbeiten soll, da die abgegebene Wärme die Potenz beeinträchtigen könne. Die Hersteller sollten lieber darauf hinweisen, wie sich Verschlüsselungs-Tools für den privaten E-Mail-Verkehr verwenden lassen, und die Benutzung einer lokalen Firewall und Viren-Tools muss ganz simpel erklärt werden. Systeme sollten im Standard mit den höchsten Sicherheitseinstellungen voreingestellt ausgeliefert werden, so dass der Anwender dann sehr bewusst Veränderungen vornehmen kann. Doch die heutigen Handbücher überfordern das Gros der User und viele Lösungen etwa im Bereich WLAN stehen zunächst ungewollt für jedermann – auch dem lieben Nachbarn – als Surf-Plattform zur Verfügung.

Die Anwender sind dann ihrerseits natürlich aufgerufen, diese Tools einzusetzen. Ein ganz wichtiger Punkt ist darüber hinaus, dass Sicherheit in den Köpfen des Managements verankert wird.

ZDNet: Das sollte doch mittlerweile dort angekommen sein…

Weichert: Wir erleben in unsere Beratungstätigkeit immer wieder, dass Chefs sehr lasch mit dem Thema Sicherheit umgehen, da ihnen das Bewusstsein für die Risiken fehlt. Sicherheit wird in der Regel an den IT-Verantwortlichen oder die System-Administratoren delegiert, der damit allein jedoch völlig überfordert ist. Zwischen der Geschäftsleitung und der IT empfehlen wir Datenschutzbeauftragte als Vermittler einzusetzen. Sie können einerseits die Anforderungen an Sicherheit, die sich aus dem Business ergeben, für die IT übersetzen und sind andererseits in der Lage, die Belange der Informations- und Kommunikationstechnik dem Management verständlich zu machen. Grundsätzlich hilft nur Aufklärung über die möglichen Gefahren, die sich aus einer mangelnden Sicherheits-Police im Unternehmen ergeben können. Das fängt an bei Ausfallzeiten, Aufwendungen für Datenrestaurierung bis hin zum Stillstand der Fertigung, wenn Daten nicht vorhanden sind. Beispielsweise sind einer japanischen Großbank vor kurzem mehrere hunderdtausend Kundendaten entwendet beziehungsweise gelöscht worden – das kann das Ende des Unternehmens bedeuten.