IT-Sicherheit in Behörden

Zwischen Verfolgungswahn und Fahrlässigkeit

Seite: 2/2

Firmen zum Thema

Wo lauern die größten Gefahren und wo sind die größten Schwachstellen?

Semmler: Auch hier ist eine generelle Aussage schwierig bis unmöglich, weil jede Behörde – abhängig von ihren Mitarbeitern, ihrer Struktur und ihren Aufgaben – ganz eigenen Gefährdungen ausgesetzt ist. Technisch gesehen liegen die größten Gefährdungen im ungeschützten Datenaustausch mit einer Vielzahl von unbekannten Teilnehmern. Die größte Gefahr stellt dabei aber nicht die Informationstechnologie selbst, sondern vor allem der unkritische und planlose Umgang mit ihr dar. Das beginnt mit dem Herunterladen und Ausführen jedes als „nützlich“ oder „lustig“ angepriesenen Programms durch die Benutzer und endet mit dem Transport von vertraulichen Daten auf USB-Sticks oder unverschlüsselten Laptops. Der Mensch ist der Risikofaktor Nr. 1 – und das wird bei aktuellen Bestrebungen zur Verbesserung der Informationssicherheit in aller Regel schlichtweg ignoriert.

Können Sie Beispiele nennen, bei denen Angriffe auf die IT erheblichen Schaden angerichtet haben?

Semmler: Aus unserer Praxis könnte ich natürlich ganz konkrete Beispiele nennen – ich werde dies aber nicht tun. Meine Firma sichert jedem Kunden Vertraulichkeit zu und daran halten wir uns. Wenn man aber die Presse aufmerksam liest, dann kann man einen guten Eindruck gewinnen, was und wie viel in Sachen Informationssicherheit schief läuft. So hat sich die hochgefährliche Schadsoftware Conficker in vielen Behörden Anfang dieses Jahres rasant verbreitet und existiert selbst heute noch in nicht wenigen Verwaltungen.

Geld für die Aufrüstung der IT-Sicherheit in den Behörden steht im Rahmen des zweiten Konjunkturpakets zur Verfügung. Wie sollte dass Geld am sinnvollsten angelegt werden?

Semmler: Dazu kann ich nichts sagen, da ich die Bedürfnisse der einzelnen Behörden nicht kenne. Ich kann aber eine generelle Empfehlung geben: Eine IT-Infrastruktur sollte immer darauf ausgerichtet werden, dass sie einfach, einheitlich und kostengünstig betrieben werden kann. Die größten Kosten entstehen beim Betrieb der Infrastruktur und nicht bei ihrer Anschaffung.

Um den Bogen zur Informationssicherheit zu spannen: Einfache und übersichtliche Strukturen lassen sich auch sicherer betreiben. Informationssicherheit ist nicht gleichbedeutend mit hohen Investitionen in Hard- und Software, vielmehr kann man vielen Gefährdungen durch kostengünstige oder sogar kostenneutrale Maßnahmen wirkungsvoll begegnen. Wichtig ist dabei, dass einigermaßen strukturiert vorgegangen wird. Und das beginnt mit einer Analyse (Wovor habe ich Angst, wovor möchte ich mich schützen?), erstreckt sich über saubere Vorgaben für die Benutzer eines Netzwerks (Was ist verboten, was ist erlaubt?) und endet bei einer regelmäßigen Überprüfung der Sicherheitsmaßnahmen.

Artikelfiles und Artikellinks

(ID:2041489)