Geh@ckt: Wie Angriffe aus dem Netz uns alle bedrohen. Ein Agent berichtet (German Edition)
ihre Darstellung übertreibt. Grund dafür könnte ja sein, dass die IT -Abteilung ein höheres Budget möchte. Beinahe skurril mutet es an, wenn von der Geschäftsführung angenommen wird, dass der IT -Bereich die Gefahren falsch beurteilt, weil die dort tätigen Informatiker letztlich keine Ahnung vom wirklichen Business haben. Schließlich sind sie ja kein unmittelbarer Bestandteil der Wertschöpfung. Eine fatale Situation. Diejenigen, die entscheidungsbefugt sind, verstehen nicht, um was es geht. Und diejenigen, die verstehen, was auf dem Spiel steht, werden nicht gehört.
Um derartige Szenarien zu verhindern, sollten Informationssicherheit und IT -Sicherheit überall dort, wo es möglich ist, als Unternehmensziele definiert werden. Nur so kann sichergestellt werden, dass ihnen die nötige Aufmerksamkeit widerfährt. Verständnis muss dann nicht mehr geschaffen werden, sondern ist integriert.
Oft lauert die Gefahr, gehackt zu werden, in den eigenen Reihen. Studien zufolge sind mehr als die Hälfte aller Datendiebe Innentäter. Die folgen dabei einem einfachen Vorgehen nach dem sogenannten Fraud-Triangle-Modell. Es besagt, dass jeder Täter stets drei Faktoren benötigt: Motivation, innere Rechtfertigung und Gelegenheit. Fehlt ein Faktor, findet keine Tat statt.
Unternehmen stehen damit drei «Stellschrauben» zur Verfügung. Woran selten gedacht wird, ist, dass auch die Einrichtung eines firmeneigenen Kindergartens die Unternehmenssicherheit erhöhen kann. Insgesamt reduzieren nämlich loyalitätsbildende Maßnahmen und eine positive Firmenkultur erheblich das Innentäterrisiko.
15 Wer wagt, gewinnt – Deutschland innovativ
Auf breiter Front
«Wir sind technisch zwar sehr gut aufgestellt, aber für den Fall, dass wir nachhaltig und über einen längeren Zeitraum angegriffen werden, hätten wir kaum eine Chance.» Diese Bemerkung des Leiters eines deutschen CERTS vor zwei Jahren geht mir seither nicht mehr aus dem Kopf. Reaktionsgeschwindigkeit ist bei schweren IT -Angriffen oberstes Gebot. Da es in der Breite an IT -Kompetenz fehlt, müssen für einen IT -Krisenfall Kräfte aus Staat und Wirtschaft gebündelt werden. Wir brauchen eine Art schnelle Eingreiftruppe, eine Gemeinschaft aus freiwilligen IT -Spezialisten, die im Krisenfall zusammengezogen wird und verhindert, dass sich eine Cyber-Krise zu einer echten entwickelt.
Weiterhin benötigen wir Strategien, die grundsätzlich zu einer Erhöhung der IT -Kompetenz führen. Das betrifft bereits ausgebildete Arbeitskräfte, die Ausbildung selbst, aber auch Konzepte im Fall einer IT -Katastrophe.
IT -Kompetenz ist ein knappes Gut. Dementsprechend hart umkämpft ist der Markt um die besten Mitarbeiter. Oft locken Unternehmen mit Angeboten, mit denen der öffentliche Dienst kaum konkurrieren kann. Die Folge ist ein Mangel an IT -Kompetenz aufseiten des Staates, auch bedingt durch eine hohe Abwanderungsrate bei gut ausgebildetem Personal.
Es sind Sonderwege nötig, die eine Übernahme in den Staatsdienst zu speziellen Konditionen ermöglichen, sowie Anreize, die den Staat als Arbeitgeber interessanter machen. Weiterhin ist darüber nachzudenken, ob nicht staatliche IT -Aufgaben in Einzelfällen auch externen Dienstleistern übertragen werden können. Rechenzentren beispielsweise könnten unter bestimmten Auflagen durch zuverlässige Privatanbieter betrieben und betreut werden. Das frei werdende Personal könnte an den Stellen eingesetzt werden, an denen eine erhöhte IT -Kompetenz erforderlich ist, es dort aber um anderes als um den Betrieb von Systemen geht.
Die Angreifer kennen Kompetenzprobleme nicht. Es müssen deshalb dringend Wege gefunden werden, wie man talentierte IT ler dazu gewinnt, für die «gute» Seite zu arbeiten. Das Land Österreich hat an einem Beispiel gezeigt, wie es gehen könnte: Bereits zum zweiten Mal veranstaltet das Abwehramt, einer der beiden Nachrichtendienste des österreichischen Bundesheeres, gemeinsam mit mehreren Privatfirmen unter Federführung der Cyber Security Austria ( CSA ) die «Cyber Security Challenge»: «Du bist verboten gut? Dann zeig’s uns!» Gefragt sind in dem Wettbewerb nicht nur theoretische Kenntnisse, sondern vor allen Dingen praktisches Wissen. Für die Gewinner locken Stipendien, Notebooks und Jobangebote. Eine Initiative, die auch in Deutschland durchgeführt werden sollte.
Eine Sonderrolle innerhalb der Kompetenz nimmt die sogenannte Awareness ein, das Risikobewusstsein. Awareness ist nicht nur der
Weitere Kostenlose Bücher