Sicherheit bleibt Top-Thema

Handy mit Schloss

In den aktuellen Trend-Studien stehen erwartungsgemäß viele Themen im Mittelpunkt, die sich um IT-Sicherheit drehen. Dabei schlägt sich die Affäre um die Abhöraktionen britischer und amerikanischer Geheimdienste vor allem darin nieder, dass der Schutz vor Industrie- und Datenspionage einen hohen Bedeutungszuwachs verzeichnet.

Security Compliance und Schutz vor Malware sind Trends, die die aktuelle Capgemini-Studie zum Thema Sicherheit in den Fokus rückt. Während Malware bis Mitte der 2000er Jahre nur marginal ein Problem darstellte, tauchen seitdem Jahr für Jahr auf allen Systemplattformen immer mehr Schädlinge auf. Angriffe werden immer ausgeklügelter und zielen häufiger auf Tablets und Smartphones ab.

„Nicht nur die Anzahl der neu auftretenden Viren hat sich erhöht. Auch die Zeitspanne von der ersten Identifizierung bis zur aktiven Bedrohung wurde immer geringer. Damit verkürzt sich die Reaktionszeit der Antiviren-Hersteller, sodass Systeme gegen neue Viren länger ungeschützt bleiben“, so Ing. Johannes Mariel, Leiter der BRZ-Stabsabteilung „Sicherheit und Qualität“. Je heterogener die IT-Landschaft eines Unternehmens ist und je größer die Anzahl der verwendeten mobilen Endgeräte ist, desto aufwendiger sind die damit verbundenen Sicherheitsmaßnahmen. Schutz vor Malware ist unumgänglich.

Security Compliance und Datenschutz

Für das Information Security Forum (ISF), ein international agierender Verband für IT-Sicherheit und Risiko-Management, gehört Compliance zu den Trendthemen im Bereich Security. Ein Großteil der Regierungen in den wichtigsten Märkten hat zuletzt Bestimmungen erlassen (oder in Arbeit), die den Schutz personenbezogener Daten regeln. Unternehmen sollten deshalb laut dem ISF Compliance und Datenschutz fest in ihre Risiko-Management-Strategie integrieren, um Strafen sowie Image- oder Kundenverlust aufgrund von Datenschutzverletzungen zu vermeiden.

Auch der neue Standard ISO27001:2013 forciert das Informationssicherheit-Risiko-Management. Das BRZ wird dessen Integration mit dem Enterprise Risiko Management weiter vorantreiben.

Bring Your Own Device-Trend nimmt zu

Laut ISF-Prognose ist der Bring Your Own Device-Trend und damit die Einbindung privater Smartphones oder Tablets in Geschäftsprozesse noch immer zunehmend. Das stellt die Unternehmen 2014 vor eine der größten Herausforderungen im Bereich Informationssicherheit. Zu den größten Risiken gehören der nachlässige Umgang mit den Geräten durch die Anwender/innen, die Ausnutzung etwaiger Software-Schwachstellen durch Angreifer sowie die fahrlässige Bereitstellung ungenügend getesteter und unzuverlässiger Applikationen. Eine funktionierende Bring Your Own Device-Strategie ist der einzige Weg diesen Risiken entsprechend entgegen zu treten.

Johannes Mariel dazu: „Diese Bring Your Own Device-Strategie muss vor allem eine risikobezogene Klassifizierung der Daten festlegen, die mit privaten Geräten bearbeitet werden dürfen. Alternativ sollte eine nach den Sicherheitsanforderungen festgelegte Policy für mobile Geräte durch ein Mobile-Device-Mangement-System für dienstlich zugewiesene Geräte angeboten werden.“

Cybercrime und Datenwolke

Cloud Computing war im Bereich Informationssicherheit schon 2013 ein heißes Thema. Das bleibt auch heuer so. Ein besonderes Risiko stellt die Verlagerung personenbezogener Daten in die Cloud dar.

Unternehmen müssen deshalb angemessene Vorkehrungen treffen, so das ISF, um Zwischenfälle und damit verbundene Sanktionen oder andere wirtschaftliche Auswirkungen zu verhindern. „Die Auswirkungen der NSA-Affäre schaden vor allem den US-Anbietern und können den europäischen Markt stärken“, prognostiziert Johannes Mariel.

Der Trend zum Internet der Dinge durch den bislang nicht vernetzte Geräte an das Internet angebunden werden, bietet Unternehmen eine Vielzahl an Chancen neue Services zu entwickeln oder Prozesse zu optimieren. Es entsteht dadurch aber auch eine Vielzahl neuer Sicherheitsrisiken und Angriffsmöglichkeiten. Mit ein Grund, weshalb der Cyberspace für Kriminelle, Aktivisten oder Terroristen auch künftig ein interessantes Betätigungsfeld bietet. Angriffe und Zwischenfälle lassen sich für Unternehmen nicht vollständig verhindern, aber durch entsprechende Vorkehrungsmaßnahmen kann zumindest die Widerstandsfähigkeit erhöht werden. Geschäftskritische Informationen und Daten müssen in diesem Zusammenhang natürlich besonders geschützt werden. Das ISF vermutet, dass Cyberaktivisten mit ihren Aktionen jetzt vermehrt darauf abzielen werden, das Image von Unternehmen zu beschädigen. 

Abwehr von inneren Gefahren

Ein aktuelles Thema im Bereich Sicherheit sind Insider-Bedrohungen. Der Fall Edward Snowden ist ein gutes Beispiel. In vielen Unternehmen ist es üblich, dass Systemadministratoren einen uneingeschränkten Zugriff auf Daten, Applikationen und Server haben. Auch Snowden konnte so auf hochvertrauliche Informationen zugreifen. Es ist essenziell, dass Mitarbeiter/innen nur Zugang zu Daten haben, die sie für ihre tägliche Arbeit benötigen. Im BRZ gilt bei der Rechtevergabe das Need-To-Know-Prinzip. Dieser Grundsatz verbietet einer Person den Zugriff auf bestimmte Daten, wenn die damit verbundenen Informationen nicht unmittelbar für die Erfüllung einer konkreten Aufgabe benötigt werden.

Die aktuelle Capgemini-Studie verweist auf die zunehmende Bedeutung von funktionierenden Identity- und Access-Management-Lösungen als Grundlage für mehr Informationssicherheit. „Sicherheit ist ein Prozess, daher kann ein Identity- und Access-Management-System allein keine Sicherheit gewährleisten, sondern der Vergabeprozess für Rechte, insbesonders aber der Entzug von nicht (mehr) benötigten Rechten stellt einen wichtigen Erfolgsfaktor dar“, ergänzt Johannes Mariel.

Sicherheit ein BRZ-Schwerpunkt

„Egal ob Big Data, Mobility oder Cloud-Lösungen – bei allen diesen aktuellen Trends ist das Thema Sicherheit von elementarer Bedeutung“, zeigt sich Johannes Mariel überzeugt. „Wir setzen uns regelmäßig mit Trendanalysen großer, internationaler Sicherheitsorganisationen auseinander und entwickeln daraus Strategien und Maßnahmen, um aktuelle und zukünftige Bedrohungen bestmöglich abwehren zu können.“

Als IT-Dienstleistungszentrum der österreichischen Bundesverwaltung ist die Sicherheit der dem BRZ anvertrauten Daten eines der vorrangigsten Unternehmensziele. Informationssicherheit umfasst alle Maßnahmen, die zum Schutz der Daten nötig sind. Dabei ist die sicherheitsbewusste Erledigung der Aufgaben durch alle Mitarbeiter/innen ebenso wichtig wie die Sicherheit der Systeme. Ein Informationssicherheits-Managementsystem, das nach dem internationalen Standard ISO27001 zertifiziert ist, gewährleistet dabei die Vollständigkeit und Angemessenheit der Sicherheitskonzepte.

Die Angreifer auf die Datensicherheit haben sich längst zusammengeschlossen und eine erfolgreiche Sicherheitspolitik kann nur im Verbund mit kompetenten Sicherheitspartnern umgesetzt werden. Zur Vernetzung und zum Austausch sicherheitsrelevanter Informationen geht das BRZ Sicherheitspartnerschaften wie mit den CERT’s des österreichischen CERT-Verbunds ein und ist u. a. Mitglied beim Kuratorium Sicheres Österreich (KSÖ) sowie dem Zentrum für sichere Informationstechnologie Austria (A-SIT).