Sicherheit geht vor!

Anfang März findet in München wieder das Siemens Security Forum statt.

Von Nina Hesse

Die Internetkriminalität ist auf dem Vormarsch. Aber selbst gegen die neusten Tricks gibt es Gegenmaßnahmen. Auf dem Security Forum erfahren Manager und IT-Fachleute unter anderem, wie sich WLAN-Funknetze schützen lassen, wie man bei einem Angriff digitale Beweise sichert und wie man unternehmensweite Sicherheitskonzepte umsetzt.

Eins ist sicher: Schlechte Vorsorge bei der Computersicherheit kann sehr teuer werden und großen Ärger verursachen. Laut einer Studie des Computer Security Institute waren im Jahr 2002 90 Prozent aller befragten Unternehmen von einem Angriff betroffen - von internen und externen Eindringversuchen, von Virus-Attacken und anderem mehr. Die Zahl der Zwischenfälle ist im letzten Jahr stark gestiegen.
Deshalb veranstaltet Siemens Business Services, Training and Services, vom 2. bis 5. März wieder das Siemens Security Forum in München. Es wendet sich sowohl an Führungskräfte und Consultants, aber auch an alle diejenigen, die das Sicherheitskonzept umsetzen. Referenten aus Wirtschaft, Forschung und Regierung erörtern wichtige aktuelle Aspekte des Themas, vertieft werden spezielle Themen wie zum Beispiel der Einsatz von digitaler Signatur oder "Security Policy" in ganztägigen Workshops.
Den Eröffnungsvortrag hält dieses Jahr der Bundesminister des Innern, Otto Schily.

changeX sprach mit Gerhard Gayer, der das Security Forum von Siemens Business Services organisiert.

Durch die Berichterstattung in den Medien ist die Bedrohung durch Hacker und Viren-Bastler inzwischen in den Köpfen recht gut verankert - sind die meisten Unternehmen inzwischen kleine elektronische Festungen?
Das Bewusstsein für solche Bedrohungen ist enorm angestiegen. Aber eine Untersuchung in Großbritannien im letzten Jahr hat gezeigt, dass die Aussagen der Firmen nicht mit der Realität übereinstimmen. 75 Prozent der Unternehmen haben gesagt, sie werden etwas tun, aber nur die Hälfte von ihnen hat wirklich etwas unternommen.

Das kennt man ja von Privatleuten. Man sagt: "Ach, ich müsste mir ja mal einen neuen Virenscanner runterladen", macht es aber dann doch nicht.
Das ist paradoxerweise, obwohl sie es eigentlich besser wissen müssten, in Unternehmen oft nicht anders. Es geht aber auch anders: Siemens, die Deutsche Bank und Infraserv sind Beispiele dafür, wie man das Thema Sicherheit konsequent handhabt.

Was für Themen beschäftigen die IT-Security zur Zeit besonders?
Zum Beispiel WLANs, Funknetze. Viele dieser Netze sind nicht genügend gesichert. Deshalb haben wir ein so genanntes "War Driving" im Programm, das drastisch zeigt, wie viele unsichere WLANs es gibt. "War Driving" ist eine neue Modeerscheinung. Für wenig Geld kann man sich eine Ausrüstung kaufen und sie im Auto installieren. Dann bekommt man, wenn man durch die Gegend fährt, automatisch mitgeteilt, wo ein solches Netz in Betrieb ist, ob es leicht hackbar ist oder nicht. Wenn man böse Absichten hat, kann man mit diesen Informationen ins Netz eindringen. Wir führen unter Aufsicht eines Rechtsanwaltes natürlich nur eine Demonstration durch.

Auch ein Live-Hacking wird es wieder geben, das hat ja schon Tradition auf dem Security Forum ... denn nur, wenn man weiß, was inzwischen möglich ist, kann man sich dagegen schützen.
Ja. Neben den üblichen "Einstimmungs-Demos" werden diesmal Angriffs-Szenarien gezeigt, die ganz neu sind, die noch nie vorgeführt worden sind. Zum Beispiel Angriffe auf Web-Applikationen aus dem Browser heraus und Google-Hacking.

Solche Demos sind natürlich sowohl für Techniker als auch für das Management interessant. Wie schaffen Sie es bei den Vorträgen, beide Zielgruppen anzusprechen?
Wir waren mit die Ersten, die solche Security-Veranstaltungen angeboten haben, inzwischen gibt es noch einige mehr. Was unseren Kongress unter anderem von allen anderen abhebt, ist, dass wir diese Zweiteilung der Zielgruppen durchziehen. Wir haben einen "Management Track" mit Vorträgen für Entscheider, aber auch einen "Technician Track", bei dem die Referenten stärker in die technischen Details einsteigen.
Ein wichtiger Teil des Security Forums ist neben den Vorträgen aber auch der Austausch. Da wir die Kommunikation der Teilnehmer untereinander fördern wollen, gibt es diesmal zwei Abende, an denen man sich zusammensetzen und in aller Ruhe unterhalten kann.

Welche Themenschwerpunkte greifen Sie auf dem diesjährigen Forum auf?
Der erste Tag mit dem Eröffnungsvortrag von Bundesinnenminister Otto Schily soll den Bogen etwas weiter spannen und die IT-Security in den Kontext gesamtgesellschaftlicher Sicherheit einbetten.

Unternimmt der Staat denn etwas in Sachen Computersicherheit?
Ja, der Staat tut in diesem Bereich einiges. Kürzlich ist beispielsweise Mcert eingeweiht worden, ein "Computer Emergency Response Team" für den Mittelstand. Es ist eine Initiative in Form einer Public Private Partnership mit dem Bundesministerium des Innern und dem Bundesministerium für Wirtschaft und Arbeit sowie kompetenten Industriepartnern. Seine Aufgabe soll sein, für den Mittelstand, der sich keine solchen Sicherheits-Organisationsstrukturen wie ein Konzern leisten kann, Auskunft über potenzielle Gefahren und Gegenmaßnahmen zu geben und entsprechende Dienstleistungen zu bieten.

Informieren Sie auf dem Forum auch über die aktuelle rechtliche Situation?
Ja, darum geht es am zweiten Tag der Veranstaltung. Erst bekommen die Teilnehmer des "Management Track" einen allgemeinen Überblick, wo Geschäftsführer überhaupt involviert sind und wofür sie bei Sicherheitsfragen Verantwortung tragen. Der zweite Vortrag erklärt, dass man ganz strukturiert vorgehen muss, wenn man feststellt oder festzustellen meint, dass etwas passiert ist. Denn es gibt Regelungen, wie man das Material sicherstellen muss, damit es überhaupt gerichtsverwertbar ist. Im dritten Vortrag geht es darum, dass das Thema IT-Security in Zukunft noch stärker geschäftliche Auswirkungen haben wird, weil Unternehmen im Rahmen von Basel II auch nach ihrer Informationssicherheit beurteilt werden.

Was gibt es für Manager und Entscheider sonst noch zu beachten zum Thema IT-Sicherheit?
Wichtig ist vor allem, dass Security kein Sammelsurium einzelner Maßnahmen sein sollte, sondern ein umfassender Prozess. Darum geht es am dritten Tag, der unter dem Motto "Unternehmensweite Sicherheit" steht. Mehrere Unternehmen - zum Beispiel die Deutsche Bank, Siemens und Infraserv, ein mittelständisches Unternehmen, das für die Sicherheit eines ganzen Industrieparks verantwortlich ist - berichten über ihre Sicherheitsstrategien, die organisatorische Umsetzung und praktische Aspekte. Dabei wird besonders das Thema PKI - Public Key-Infrastruktur - angesprochen, es zieht sich wie ein roter Faden durch alle Vorträge an diesem Tag. Aber auch IT-Outsourcing und welche Probleme es aufwirft, wird angesprochen.
Der abschließende Vortrag beschäftigt sich mit der betriebswirtschaftlichen Betrachtung, also der Frage: Lohnt sich das alles eigentlich? Muss das sein? Was bringt mir das? Das ist immer extrem schwierig zu beantworten, wenn man über Sicherheit spricht. Denn das Ziel ist ja, etwas nicht eintreten zu lassen. Nachzuweisen, dass Schaden entstanden wäre, wenn man die Maßnahmen nicht ergriffen hätte, ist schwierig.

Nina Hesse ist freie Mitarbeiterin von changeX.

Kontakt:
gerhard.gayer@siemens.com

www.siemens.de/training

Zum changeX-Partnerportrait: Siemens Business Services, Training and Services.

© changeX Partnerforum [28.01.2004] Alle Rechte vorbehalten, all rights reserved.