Sicherheit als Gesamtkonzept
Nur weil ein Sicherheitsloch bekannt ist und eine Firma dafür einen Patch zum Download bereitstellt, bedeute das noch gar nichts, meint Longbottom zum Thema IT-Sicherheit. Sicherheitslöcher in einem großen Computernetzwerk lassen sich nicht so einfach stopfen.
"Nehmen Sie zum Beispiel das Service Pack 2 von Microsoft. Wenn Sie das auf jeder Maschine installieren wollen, dann ist das ein großes Projekt. Wenn Sie erlauben, dass sich jede der 10.000 Maschinen das Paket selbst herunterlädt, bringen Sie damit ihr Firmennetzwerk um.
Sie müssen auch wissen, dass es nur auf 90 Prozent der Maschinen funktionieren wird. Sie müssen ihre Umgebung kennen", so Longbottom.
Clive LongbottomIn den USA stiegen die Ausgaben zur Absicherung von Computernetzwerken seit dem 11. September 2001 um vier Prozent. In Großbritannien erhob das Handels- und Industrieministerium in einer 2004 veröffentlichten Studie, dass sich zwar zwei Drittel der Firmenchefs Sorgen über die Sicherheit machen, aber nur jeder fünfte den Namen einer Organisation kennt, die bei diesen Fragen weiterhelfen kann.
Microsoft rüstet weiter für die SicherheitSicherheit vs. Risiko
"Nehmen Sie die Sicherheitsberichte von Symantec. Sie kommen vierteljährlich heraus und werden nicht für Geschäftsleute geschrieben. Wenn ich als Chef einer Firma da sitze und in den Medien über die vermehrten Attacken lese, dann stelle ich mir als erstes die Frage: Was bedeutet das für meine Firma?
Wenn es mein Geschäft beeinflußt, was muss ich unternehmen, damit ich die Risiken minimieren oder beseitigen kann?
Ich denke, in Zukunft werden diese Fragen von den Sicherheitsfirmen auch beantwortet werden. Sie werden als Berater auftreten und sagen: Schauen Sie, das ist das Risiko. Wenn Sie es tragen wollen, fein. Wenn Sie dazu nicht bereit sind, hier ist die Lösung, hier die Rechnung und hier steht wie lange es dauern wird, bis das Risiko minimiert werden kann", meint Longbottom.
In Unternehmen herrscht einer aktuellen Umfrage zufolge ein zu leichtfertiger Umgang mit Passwörtern.
Passwörter als SicherheitsrisikoSündenbock gesucht
Wären da nicht Gesetze, dann würde so mancher Geschäftsführer heute liebend gern das Risiko auf seine Angestellten abwälzen, erzählt Longbottom. Zumindest unter sich spekuliert man darüber, ob es nicht möglich wäre, dafür einen neuen Posten auszuschreiben.
"Es stellt sich die Frage, ob es in Zukunft in Firmen so etwas wie bezahlte Sündenböcke geben wird; Menschen, die eingestellt werden, um die Verantwortung zu übernehmen, wenn etwas schief geht.
Deren Aufgabe besteht darin, Strafen zu bezahlen und im Ernstfall ins Gefängnis zu gehen. Dafür stehen sie auf der Gehaltsliste und werden dem Risiko entsprechend bezahlt. Ich kann mir zwar nicht vorstellen, dass das einmal Realität werden wird, aber wir sehen bereits Firmen, die etwas ähnliches ausprobieren, indem sie sagen, jemand unterhalb der Führungsebene trägt die Verantwortung.
Glücklicherweise gibt es dagegen Gesetze. Noch wird der Vorstand zur Rechenschaft gezogen und nicht der Arbeiter."