Welche Trends haben im vergangenen Jahr die Entwicklung der IT-Sicherheit geprägt?
Dr. Volker Scheidemann: Bei vielen Unternehmen haben gestiegene Anforderungen hinsichtlich IT-Compliance und Risikomanagement die Entwicklungen geprägt. Und seit den Wikileaks-Veröffentlichungen Ende letzten Jahres ist das Thema Datenklau wieder in aller Munde. Dabei werden in der öffentlichen Wahrnehmung hier gerne Botschaft und Bote verwechselt. Ich möchte hier noch einmal betonen: Wikileaks hat keine Daten gestohlen, sondern die Allgemeinheit nur darauf hingewiesen, dass sie in unbefugte Hände gelangt sind. Die Diskussion erinnert mich an die jahrelangen Anfeindungen, die zum Beispiel der Chaos Computer Club hinnehmen musste, weil er Sicherheitslücken in Unternehmensnetzen aufdeckte. Auch hier wurde der Bote ungerechtfertigterweise lange kriminalisiert, um von der Botschaft – mangelnde IT-Sicherheit – abzulenken.
Gibt es aktuell neue Gefährdungen, deren Bedrohungspotenzial noch nicht ausreichend gewürdigt wird?
Dr. Volker Scheidemann: Ja und nein. Ja, weil die Angriffe immer ausgefeilter werden, wie uns im letzten Jahr beispielsweise der sehr speziell auf iranische Atomanlagen ausgerichtete Stuxnet-Wurm bewiesen hat. Und nein, weil die Unternehmen bereits die vorhandenen Bedrohungspotenziale nicht hinreichend zur Kenntnis genommen haben. Außerdem beweisen Statistiken wie zum Beispiel die regelmäßigen Umfragen der Zeitschrift <kes>, dass die Topbedrohung für die Datensicherheit seit Jahrzehnten die Gleiche ist: menschliche Fehler.
Welche Sicherungsmaßnahmen sollten deutsche Unternehmen im Jahr 2011 nachrüsten?
Dr. Volker Scheidemann: Technisch nachrüsten sollte man dort, wo es einerseits bisher wenig Sicherheitsmaßnahmen, andererseits eine große Bedrohung gibt. Dazu gehören meiner Ansicht nach vor allem Systeme zum Identitäts- und Zugriffsmanagement und zur Verschlüsselung sensibler Daten. Auch hier kann ich wieder den Fall Wikileaks anführen. Wie kann es sein, dass auf solch hochbrisante Daten aus dem amerikanischen Ministerium fast eine Million Menschen unkontrolliert Zugriff hatten? Hier gab es offenbar weder eine Zugriffskontrolle noch waren die Dokumente verschlüsselt. Und daran war definitiv nicht Wikileaks schuld.
In welchem Bereich sehen Sie als Experte den größten Handlungsbedarf?
Dr. Volker Scheidemann: Bei der Sensibilisierung von Mitarbeitern auf allen Unternehmensebenen vom Pförtner bis hinauf zum Topmanager. Von Letzterem wünsche ich mir vor allem die Einsicht, dass aus der Wertschätzung der Mitarbeiter unmittelbar eine Wertschöpfung für das Unternehmen resultiert. Ein zufriedener Mitarbeiter ist loyal und lässt nicht mal eben die Kundendatenbank mitgehen. Auch ist er generell achtsamer beim Umgang mit Unternehmensdaten. Das ist eine wirkungsvollere Verteidigung von Unternehmenswerten, als es die stärkste Firewall je sein könnte. Letztlich verbirgt sich hinter den Schlagworten Governance, Risk und Compliance (GRC), die im Zusammenhang mit IT-Sicherheit oft genannt werden, nichts anderes als eine moderne Form des Prinzips vom „ehrbaren Kaufmann“. Ein Prinzip, das viele Unternehmen aber leider vergessen haben. Jetzt versucht man, es unter dem Kürzel GRC den Unternehmen wieder nahezubringen. Ich finde das eine positive Tendenz, die auch wir von apsec in unserem Beratungsangebot unterstützen.
Haben Sie in den letzten Monaten auch erfreuliche Entwicklungen wahrgenommen?
Dr. Volker Scheidemann: Durchaus. Insbesondere ist die Zahl derer zurückgegangen, die das Bemühen um IT-Sicherheit grundsätzlich negativ bewerten. Man muss mit Unternehmen in der Regel nicht mehr darüber streiten, dass IT-Sicherheit überhaupt notwendig ist, sondern darüber reden, welche Maßnahmen ergriffen werden sollten. Hier können wir von apsec unsere Expertise anbieten. Und wenn es kein Standardprodukt für spezielle Unternehmensanforderungen gibt, schaffen wir eine individuelle Lösung. Das ist unsere Stärke.
Die IT-Sicherheitslage in deutschen Unternehmen verbessert sich 2011, wenn ...?
Dr. Volker Scheidemann: Erstens, wenn sich die Erkenntnis in den Köpfen der Manager weiter manifestiert, dass IT-Sicherheit einen positiven Wert hat, der auch Investitionen rechtfertigt. Zweitens, wenn ebendiese Manager akzeptieren, dass auch eine 80-Prozent-Lösung gut ist. Viele neigen nämlich zu „digitalen“ Ja-Nein-Entscheidungen: Wenn eine Sicherheitslösung keine 100 Prozent Sicherheit verspricht, verzichten sie gleich ganz. Das Problem ist nur: 100-prozentige Sicherheit lässt sich nicht ehrlich garantieren. Drittens, wenn alle einsehen, dass IT-Sicherheit nichts Abstraktes ist, sondern jeden individuell betrifft. Leider habe ich wenig Hoffnung, dass sich diese Einsicht in großen Stil durchsetzt.
Welche positive Schlagzeile zum Thema IT-Sicherheit wünschen Sie sich für 2011?
Dr. Volker Scheidemann: Frei nach Galileo Galilei: „Und sie verschlüsseln doch!“