Ich habe diese Woche am Dienstag in Düsseldorf auf der Hausmesse der Infinigate (IT-Security Distributor) die Keynote gehalten. Mit Wiederholung am 8. Juli in München.
Der Titel ist etwas provokant, im Hinblick auf die vielen Hersteller von IT-Security-Lösungen, die auf dieser Hausmesse ausstellen:
„Der Kampf gegen Hacker, Spam und Viren ist verloren! Das Spamaufkommen steigt seit Jahren kontinuierliche an, neue Spamfilter werden schneller überlistet als sie entwickelt werden können. Die Anzahl und Variabilität von Schadprogrammen wächst ebenso rapide. Gezielt für ein Opfer entwickelte Trojaner überlisten gängige Virenscanner, ganz im Gegenteil werden Scanner selbst Angriffsziel von Hackern. Insgesamt nehmen die Angriffe gegen IT-System weiter zu, die Schäden durch Angriffe und Industriespionage steigen. Die Sensibilisierung von Anwendern kostet immense Summen, der Nutzen bleibt zweifelhaft. In jeder Firma findet sich irgendwo ein Genie, das auf jedes Attachment klickt und sei es noch so verdächtig. Ein Plädoyer für einen neuen Umgang mit Sicherheitsrisiken.“
Im Kern geht es aber um zwei Aussagen, die sich in diesen zwei Schlüsselfolien der Präsentation wiederfinden:
In den meisten Firmen gibt es verschiedene Abteilungen und Gruppen, die neue IT-Systeme in das Firmennetz einbringen. Für Server ist meistens die IT-Abteilung zuständig, für mobile Rechner jedoch oft einzelne Abteilungen die dann Systeme einsetzen die von der IT nicht gewartet werden können (z.B. Mac OS X). Genauso schlimm sind Blackberry oder iPhone, wenn der Betrieb von der Geschäftsleitung verordnet wird ohne sich vorher um Sicherheitsthemen Gedanken zu machen. Warum ist eine Risikobewertung vor Einführung in der großen EU möglich, in einer kleinen/mittleren/großen Firma jedoch nicht?
Die zweite Folie stellt die Frage was zu tun ist, wenn es mal kracht. Jedes Auto hat heute einen Airbag (den ich noch nie gebracht habe). Solange nichts passiert ist der völlig unnötig. Erst nach dem Unfall wird der Airbag notwendig und verringert den Schaden. Seltsamerweise gehen fast alle Unternehmen davon aus, dass in ihren Netzen niemals ein Schaden auftritt, als wäre noch nie irgendwo ein Hacker eingebrochen. Obwohl uns z.B. Hannaford, Google und das Bundeskanzleramt das Gegenteil beweisen. Aber kein einziges Unternehmen das ich kenne hat einen brauchbaren „Airbag“ für die IT, also geeignete Maßnahmen zur Schadensbegrenzung.
Ich bin ja mal gespannt, wer sich davon angesprochen fühlt.
Disclaimer: Ich berate beruflich Firmen zu Sicherheitskonzepten, Risikoanalyse und Schadensbegrenzung 🙂
Ja das kann ich (leider) bestätigen. Leider steckt EU was Risikobewertung anbelangt noch in den Kinderschuhen.
Beispiel: Angriff auf das EDA (CH) Okt. 2009
Siehe Link…
Gegenmassnahme:
Kein Inernetzugang und keine Mails mehr
Das Departement für auswärtige Angelegenheiten habe sein IT-Netz vom Internet abgeschottet. Damit soll ein Datenfluss nach Aussen verhindert und eine Manipulation der Informatikinfrastruktur durch Dritte verunmöglicht werden.
Super oder? 😆
Mal im Ernst, was hast du Christian als Profi unseren EDA geraten?
Gruss
PowerShell 😎
Comment by PowerShell — 14. Juni 2010 @ 10:29
Ich finde, das ist genau die richtige Maßnahme. Alle Behörden raus aus dem Internet und schon ist Ruhe.
Aber im Ernst, das temporäre Abschalten des Internets ist wahrscheinlich das richtige. Damit wird zumindest weiterer Schaden durch die Viren verhindert und ich kann mir nicht vorstellen, dass der Internet-Zugang für das EDA so geschäftskritisch ist, dass dadurch hohe Kosten entstehen würden.
Aber mal davon abgesehen ist das Schweizer EDA ein sehr schlechtes Beispiel für mangelhafte Risikobewertung in der Europäischen Union, ihr elenden Separatisten! 🙂
Comment by Christian — 14. Juni 2010 @ 12:30
Hi hi hi… lieber ein elende Separatist als die gleiche „Währung“ mit Griechen und co. zu teilen 😉
Spass mal bei Seite. Ich weiss EDA oder besser gesagt der Bund hat was Risikobewertung oder/und IT Security einiges nachzuholen!
Aber das sind halt Beamte… die machen „Dienst nach Vorschrift“. 😆
Comment by PowerShell — 14. Juni 2010 @ 13:21
Och, in Deutschland sind die schon recht aktiv, zumindest auf Bundesebene. Das Problem in Deutschland ist eher, dass zwar die Bundesministerien was tun, die Städte und Gemeinden aber für ihre IT selbst zuständig sind und auf kommunaler Ebene schlicht das Geld fehlt. Ich kenne einige Städte, die sich z.B. BSI Grundschutz mal angesehen das aus Kostengründen dann aber wieder gelassen haben. Von wegen Schadensminimierung kann man dann auch nur lachen.
Comment by Christian — 14. Juni 2010 @ 15:28
Kommentare gesperrt wegen Spam
Comment by Christian — 22. Mai 2018 @ 17:37