Sicherheitsexperten brauchen mehr als technischen Sachverstand

Nach den Terroranschlägen in New York und Washington am 11. September 2001 stand eines fest: das Thema IT-Security hat einen gewaltigen Schub nach vorne bekommen. Mittlerweile indes hat sich die Euphorie gelegt. Wirtschaftsflaute und die berühmte „Vogel-Strauß-Politik“ vieler IT-Chefs gelten als Grund für die Zurückhaltung. In Deutschland verfügen laut einer Untersuchung der Meta Group zu Beginn dieses Jahres lediglich 25 Prozent der deutschen Anwenderunternehmen über ein spezielles Security-Team. Nicht nur der Mittelstand, auch bei Unternehmen mit mindestens 500 Mitarbeitern (40 Prozent) besteht spürbarer Nachholbedarf. Zum Vergleich: Nach Einschätzung der Meta-Group-Analysten hatten bereits Ende 2001 rund 75 Prozent der großen Global-2000-Unternehmen (der weltweit 2000 größten Anwender) unabhängige IT-Security-Teams aufgebaut.

Hans-Christian Boos, Geschäftsführer des Frankfurter Sicherheitsdienstleisters Arago, erlebt die Zurückhaltung deutscher Unternehmen in seiner täglichen Praxis: „Fast alle IT-Chefs glauben, Cyberattacken treffen immer nur die anderen, nie aber sie selbst.“ Der Sicherheitsprofi hält diese Einstellung für gefährlich, da die Zahl der Hacker-Angriffe seit New York nicht nur stark zugenommen habe – die Attacken seien auch wesentlich gefährlicher geworden. Der hesssische Berater ist sich sicher, dass heutzutage hinter der Cyber-Kriminalität zunehmend hochkarätige, sogar organisierte, Info-Banditen stecken: „Je intelligenter und komplexer die Angriffe, desto professioneller müssen die Sicherheitsexperten sein. Nur dann kann den elektronischen Kriminellen überhaupt Paroli geboten werden.“ Die steigende Internet-Gefahr belegen auch die aktuellen Studien des Notfallzentrums Cert/CC. Danach sind die Angriffs-Tools der Hacker in letzter Zeit viel automatisierter und ausgefeilter geworden.

Kurzum – die Notwendigkeit qualifizierter Sicherheitsexperten wird immer offensichtlicher. Otto Ulrich vom Bundesamt für Sicherheit in der Informationstechnik (BSI): „Und genau diese Profis sind in vielen Unternehmen kaum zu finden.“ Bereits bei der Frage, wer denn für die Sicherheitsproblematik zuständig sei, stoße man allzu oft auf Verunsicherung. Den IT-Verantwortlichen müsse aber nicht nur klar gemacht werden, wie wichtig die Installierung eines Security-Teams ist, sie müssten zudem erkennen, dass Technik-Know-how allein für diese Profis nicht ausreicht. Zusätzlich seien soziale, pädagogische und betriebswirtschaftliche Kompetenzen gefragt. Ulrich: „Die Anforderungen sind in der Tat hoch. Schließlich muss der IT-Experte der Geschäftsleitung die Sicherheitslösung mit wirtschaftlichen Argumenten plausibel machen, mit Technikern über Internet-Protokolle und physikalische Sicherheitsfragen diskutieren und die Mitarbeiter für das Thema sensibilisieren.“

Der Mangel an geschultem Personal und fehlendem Know-how treibt viele Unternehmen dazu, sich in IT-Sicherheitsfragen einem Dienstleister anzuvertrauen. Fast schon zu den Klassikern in diesem Bereich zählt der Firewall-Betrieb per Fernwartung. Auch ihre Virtual-Private-Network-(VPN)-Infrastrukturen lassen Unternehmen vermehrt von externen Beratern verwalten. Über solche abgesicherten Netze wählen sich Mitarbeiter in Filialen oder Kollegen aus dem Außendienst in ein zentrales Firmennetz ein. Großes Interesse erwecken auch die Intrusion-Detection-Systeme, die Hacker-Angriffe aufdecken können. Die wenigsten Unternehmen überlassen jedoch sämtliche sicherheitsrelevante Belange einem Dienstleister. Allgemeiner Tenor: Bei aller Outsourcing-Euphorie – die übergeordnete Verantwortung für den sensiblen Security-Bereich muss im eigenen Haus bleiben. Carsten Caspers, Analyst bei der Meta Group empfiehlt, bei der Wahl des Partners vorsichtig vorzugehen: „Die verantwortlichen Manager sollten sich auf keinen Fall von irgendwelchen Lösungen blenden lassen.“ Nach den Erfahrungen von Meta Group begehen viele Unternehmen nach wie vor den Fehler, die Sicherheitsproblematik vorrangig technisch zu sehen. Casper: „Auch wenn es wie eine Platitüde klingt. Der Erfolg aller Sicherheitsmaßnahmen hängt vorrangig von sensibilisierten Mitarbeitern und weniger von der Technik ab.“