Ich habe diese Woche am Dienstag in Düsseldorf auf der Hausmesse der Infinigate (IT-Security Distributor) die Keynote gehalten. Mit Wiederholung am 8. Juli in München.
Der Titel ist etwas provokant, im Hinblick auf die vielen Hersteller von IT-Security-Lösungen, die auf dieser Hausmesse ausstellen:
„Der Kampf gegen Hacker, Spam und Viren ist verloren! Das Spamaufkommen steigt seit Jahren kontinuierliche an, neue Spamfilter werden schneller überlistet als sie entwickelt werden können. Die Anzahl und Variabilität von Schadprogrammen wächst ebenso rapide. Gezielt für ein Opfer entwickelte Trojaner überlisten gängige Virenscanner, ganz im Gegenteil werden Scanner selbst Angriffsziel von Hackern. Insgesamt nehmen die Angriffe gegen IT-System weiter zu, die Schäden durch Angriffe und Industriespionage steigen. Die Sensibilisierung von Anwendern kostet immense Summen, der Nutzen bleibt zweifelhaft. In jeder Firma findet sich irgendwo ein Genie, das auf jedes Attachment klickt und sei es noch so verdächtig. Ein Plädoyer für einen neuen Umgang mit Sicherheitsrisiken.“
Im Kern geht es aber um zwei Aussagen, die sich in diesen zwei Schlüsselfolien der Präsentation wiederfinden:
In den meisten Firmen gibt es verschiedene Abteilungen und Gruppen, die neue IT-Systeme in das Firmennetz einbringen. Für Server ist meistens die IT-Abteilung zuständig, für mobile Rechner jedoch oft einzelne Abteilungen die dann Systeme einsetzen die von der IT nicht gewartet werden können (z.B. Mac OS X). Genauso schlimm sind Blackberry oder iPhone, wenn der Betrieb von der Geschäftsleitung verordnet wird ohne sich vorher um Sicherheitsthemen Gedanken zu machen. Warum ist eine Risikobewertung vor Einführung in der großen EU möglich, in einer kleinen/mittleren/großen Firma jedoch nicht?
Die zweite Folie stellt die Frage was zu tun ist, wenn es mal kracht. Jedes Auto hat heute einen Airbag (den ich noch nie gebracht habe). Solange nichts passiert ist der völlig unnötig. Erst nach dem Unfall wird der Airbag notwendig und verringert den Schaden. Seltsamerweise gehen fast alle Unternehmen davon aus, dass in ihren Netzen niemals ein Schaden auftritt, als wäre noch nie irgendwo ein Hacker eingebrochen. Obwohl uns z.B. Hannaford, Google und das Bundeskanzleramt das Gegenteil beweisen. Aber kein einziges Unternehmen das ich kenne hat einen brauchbaren „Airbag“ für die IT, also geeignete Maßnahmen zur Schadensbegrenzung.
Ich bin ja mal gespannt, wer sich davon angesprochen fühlt.
Disclaimer: Ich berate beruflich Firmen zu Sicherheitskonzepten, Risikoanalyse und Schadensbegrenzung 🙂