IT-Security: Daten als Verantwortung
Vom Großbetrieb bis zum Mittelbetriebler oder zum Beratungsunternehmen: Mögliche Schäden aus Lücken in der Datensicherheit werden immer realer – und immer teurer. Damit werden Experten für IT-Security immer wertvoller. So der Grundtenor im Gespräch mit Dr. Sebastian Schrittwieser, Dozent an der FH St. Pölten.
Was sind die „Treiber“ der zunehmenden Unsicherheit im IT-Bereich?
Alle betriebswirtschaftlichen Prozesse laufen immer vernetzter. Früher waren die IT-Netze für die Produktion und für den Office-Bereich getrennt. Diese Trennung fällt. Dazu kommt der Trend zur Vernetzung mit vor- oder nachgelagerten, außerbetrieblichen Partnern in der Wertschöpfung.
Welche Motive stecken hinter „Daten-Angriffen“?
Spam oder Phishing-Mails, wie sie jeder auch privat kennt, werten wir als nicht zielgerichtete Angriffe. Wo sensible Branchen, Daten oder Projekte im Spiel sind, sehen sich Betriebe dem Risiko zielgerichteter Angriffe gegenüber. Erhebungen zeigen, dass mehr als zwei von drei Angriffen schlicht kriminelle Motive – etwa Wirtschaftsspionage – zu Grunde liegen. ein erhebliches Risiko geht auch von „Hacktivisten“ aus, also politischen Aktivisten, die zum Beispiel eine Website kapern.
Also ein technologisches Wettrüsten zwischen IT-Abteilungen und IT-Angreifern?
Keineswegs nur. Eine kompetente IT-Security-Policy bindet immer Technologie und soziale Faktoren wie Awareness und Sicherheitskultur im Unternehmen mit ein. Oft sehen wir, dass sich der Mensch als das schwächste Glied in der Sicherheitskette erweist.
Beispiele…?
Der Mitarbeiter, der bereitwillig einen USB-Datenstick von extern annimmt und damit Viren ins Firmensystem einschleust. Oder die IT-Abteilung, die in bester Absicht wöchentlich wechselnde, kompliziert aufgebaute Passwörter verordnet – mit dem Ergebnis, dass die Passwörter als Zettelnotizen auf den Schreibtischen liegen.
Was macht eine professionelle Ausbildung in der IT-Security aus?
Jedenfalls mehr als technologisches Faktenwissen. Die Fähigkeit, Risiken realistisch zu evaluieren. Daraus betriebswirtschaftlich sinnvollen und notwendigen Investitionen in die IT-Security abzuleiten. Die Entwicklung einer systemischen Gesamtsicht auf die Thematik im jeweiligen Bereich.
