Security Management Die echten IT-Trends für 2016

Autor / Redakteur: Marius Schenkelberg / Peter Schmitz

Selten gab es in der IT-Branche so viele „Buzzwords“ wie aktuell. Digitale Transformation, prozessorientierter Ansatz, Safe Harbor… die Liste ist lang. Damit Unternehmen den Überblick behalten, haben die Fachbereichsleiter des Bundesfachverbands der IT-Sachverständigen und -Gutachter (kurz BISG) eine Trendanalyse für verschiedene Bereiche durchgeführt, wie z.B. das Internet of Things (IoT), IT-Sicherheit und weitere.

Anbieter zum Thema

„Es wird in diesem Jahr vermehrt zu professionellen Angriffen auf Unternehmen kommen.“ meint Dr. Christian Deutsch, Fachbereichsleiter IT-Sicherheit beim BISG e.V.
„Es wird in diesem Jahr vermehrt zu professionellen Angriffen auf Unternehmen kommen.“ meint Dr. Christian Deutsch, Fachbereichsleiter IT-Sicherheit beim BISG e.V.
(Bild: gustavofrazao - Fotolia.com)

Rückblickend auf das vergangene Jahr haben die Fachbereichsleiter (FBL) des BISG ungeachtet ihrer jeweiligen Fachrichtung insbesondere festgestellt, dass in vielen Unternehmen Überforderung herrscht – sowohl in technischer wie in formaler (sprich gesetzlicher) Hinsicht. Die daraus entstandene Unsicherheit resultiert teilweise auch in einem zu sorgenfreien Umgang bzw. unvorsichtigen Verhalten mit dem Thema IT-Sicherheit. Helmut Eberz, FBL M2M / Industrie 4.0 / IoT, sieht sogar eine „Teilung der Fronten zwischen Unternehmen, die erkannt haben, dass es höchste Zeit ist, den Bereich IT-Sicherheit als Chefsache zu beachten, und Unternehmen, die so weiterarbeiten wie bisher“.

Marion Steiner, auch engagiert im Fachbereich M2M / Industrie 4.0 / IoT, geht noch einen Schritt weiter: „Weil Datenschutz bzw. Compliance und Information Security keine Business-Ziele sind, werden sie in vielen Unternehmen erst dann zum Thema, wenn ein konkreter Vorfall oder entsprechende Kundenanforderungen vorliegen.“ Dabei lagen laut Stephan Krischke und Dr. Christian Deutsch (FBL IT-Sicherheit) die Herausforderungen 2015 vor allem in den Bereichen IT-Servicemanagement, IT-Projekte, IT-Forensik, IT-Security sowie Informationssicherheit.

In die gleiche Kerbe schlägt Holger Vier, Vorstand des BISG e.V. und FBL IT-Netzwerkstruktur / Virtualisierung / Verfügbarkeit. Vier sagt: „Die meisten Webserver haben keinerlei Schutz.“ Daher entwickelten Vier und sein Team im vergangenen Jahr u.a. Konzepte für die sichere Verfügbarkeit von Systemen, Disaster Recovery, die Überwachung kompletter Netzwerke, die Integration und den Schutz von Mobile Devices, Virtualisierung allgemein, Cluster-Lösungen im Firewall-Bereich, die Auswertung von externen Angriffen und Verschlüsselungsmethoden.

Im Zusammenhang mit Sicherheit und Compliance berichtet Dr. Ralf Schadowski (FBL Datenschutz) von zahlreichen Projekten betreffend den Aufbau angemessener Datenschutzorganisationen insbesondere bei Mittelständlern. Martin Klöck (FBL Versand- und Medienhandel) traf 2015 vermehrt auf veraltete IT-Systeme, die er im Rahmen eines IT-Umbaus modernisieren sollte. Diesen Umstand unterstreicht Christian Kress (FBL M2M / Industrie 4.0 / IoT): „Die Bandbreite der Kunden ist extrem, von solchen mit völlig veralteter Hardware wie MS DOS und Windows 95 bis hin zu High-Tech-Startups, die ohne Altlasten nur auf Virtualisierung, Cloud und Mobilität setzen – sowie alles dazwischen.“

Überzeugungsarbeit in der IT-Sicherheit weiterhin essenziell

Die Modernisierung überholter Strukturen sieht Martin Klöck daher auch als eine der größten Herausforderungen in diesem Jahr an. Dazu wird Überzeugungsarbeit sowie Aufklären, Informieren und Beraten nötig sein – so wie generell in Bezug auf die IT-Sicherheit, meint Stephan Heimel (FBL Mediation): „Der Geschäftszweck der meisten Unternehmen ist nicht, eine sichere IT-Umgebung zu haben; das Geld wird an anderer Stelle verdient. Daher muss auch hier weiterhin Überzeugungsarbeit geleistet werden, dass eine unsichere IT-Landschaft sich mittelbar negativ auf das Unternehmensergebnis auswirkt.“

Probleme können z.B. durch aggressive Angriffe auf Firmen entstehen, wie Dr. Christian Deutsch konstatiert. Die mehrstufige Abschottung vor diesen Attacken begreift er deswegen auch als Herausforderung in diesem Jahr. Werden Unternehmen von außen bedroht und kommt es zum Ausfall der Systeme, sind alle Daten betroffen. Dazu sollten sich Unternehmen über den Wert ihrer Daten für Ihr Unternehmen bewusst werden. Ebenso empfiehlt sich die systemische Einbindung des Datenschutzes, da bei Vorfallsbehandlungen u.a. immer auch personenbezogene Daten betroffen sind, mindestens in Form von Systemprotokoll-Dateien: „Wir müssen dem Mittelstand deutlich machen, warum er investieren muss und welche Gefahren bei einem Totalausfall des Systems drohen. Dazu ist es auch nötig, das Thema Datenschutz mehr in den Mittelpunkt zu rücken“, ist sich Holger Vier in diesem Zusammenhang sicher.

Dem schließt sich Dr. Ralf Schadowski an, der 2016 mehr Aufmerksamkeit auf Datenschutzgutachten von IT-Lösungen im Mittelstand lenken will sowie verstärkte Prüfungen der Datenaufsichtsbehörden, aber auch gleichzeitig die Verteidigung von Unternehmen befürwortet. Apropos Daten: Die Einhaltung von Regeln zur Datensicherheit und Maßnahmen zur physischen Sicherheit sind wichtig und ergänzen sich im optimalen Fall.

„Für Unternehmen wird es immer schwieriger, Datensicherungen vollständig durchzuführen, auf Grund der steigenden Komplexität und Kapazität“, ergänzt Nicolas Ehrschwendner, FBL Datenrettung. „Leider verzeichnen wir aus diesen Gründen vermehrt ‚Pseudo-Anbieter‘ am Markt, die die Datenrettung an Sub-Unternehmen weiterreichen.“ Bei derlei Anbietern bestünde die Gefahr, dass sie im nicht-europäischen Ausland operieren und so ggf. einzuhaltende Richtlinien nicht mehr erfüllt werden, sobald Daten versendet oder übertragen werden. Hierbei sei nicht zu vergessen, dass Safe Harbor gekippt wurde und somit auch eine Übertragung von Daten z.B. in die USA nicht gestattet ist.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Unternehmen kranken an ganzheitlichen IT-Konzepten

Für Theodor Böhm (FBL Personal) ist die Essenz aller Beobachtungen und Prognosen folgende: „Unternehmen kranken in der Regel an ganzheitlichen IT-Konzepten, in denen u.a. die Bedürfnisse der einzelnen Abteilungen innerhalb der Organisation angemessene Berücksichtigung finden. Dabei werden die Werkzeuge zur Zielerreichung nicht selten von der IT vorgegeben.

Allerdings wissen die ‚Werkzeugmacher‘ auch nicht immer genau, was gut ist und was nicht. Manchmal haben wir das Gefühl, dass ‚ein Hammer, eine Zange und ein Schraubenzieher‘ vollkommen ausreichen müssen, um damit grundsätzlich alle Arbeitsvorgänge im jeweiligen Bereich zu bewältigen.“ Dies untermauert Martin Klöck, der feststellt, dass eine rein technische Betrachtung, wie sie leider von IT-Fachleuten praktiziert werde, oft am tatsächlichen Sicherheitsbedürfnis vorbeigehe. Aus diesem Grund empfiehlt er die Betrachtung der IT unter dem Gesichtspunkt von Auswirkungen auf Geschäftsprozesse.

Fahrlässiger Umgang mit Gesetzespflichten

Nicht selten herrscht auch einfach große Unsicherheit, ausgelöst durch Budgetbeschränkungen sowie technische, aber auch formale Überforderung. Hier ist insbesondere das neue IT-Sicherheitsgesetz (IT-SiG) zu nennen, bei dem die FBL über alle Fachgebiete und Branchen hinweg negative Haltungen registrieren: „interessiert nur wenige Kunden“, „lästige Notwendigkeit“, „wird ohne große Emotionen aufgenommen“, „Kenntnisnahme, aber keine Maßnahmenableitung“, „es wird nur das Nötigste getan“ oder gar „fahrlässig“.

Stephan Heimel aber gibt zu bedenken, dass das IT-SiG letztlich zu einem De-facto-Standard in der IT werden wird. Nichtsdestotrotz bestehen Unklarheiten auch bei potenziell Betroffenen aus wenig IT-affinen Branchen: Unternehmen wie z.B. Wasserwerke verstehen laut Marion Steiner häufig die Anforderungen nicht bzw. lesen die Worte, verstehen aber nicht das Ziel der einzelnen Anforderungen. Angst herrsche hier insbesondere vor den nicht absehbaren zusätzlichen Kosten bei klammen Kassen. „Darüber hinaus kämpfen diese Unternehmen ohnehin noch mit der Digitalisierung und der reinen Technikveränderung“, so Steiner.

Herausforderung IoT

Das wird vor allem im Hinblick auf die Digitale Transformation deutlich. Im Bereich der IT-Organisation erkennt man langsam die Auswirkungen durch die „Digitalisierung“ und das IoT. Im Produktionsbereich und im Management geht es schleichend voran. Laut Helmut Eberz fehlt es am „Verständnis, dass die Zukunft nie mehr ohne IT existieren wird, denn sie ist ein systemischer Baustein und Teil aller Arbeitsprozesse, weshalb alle an einem Strang ziehen müssen, abteilungsübergreifend und ohne Grabenkämpfe.“

Dazu empfehle sich zusätzlich die Sensibilisierung der Mitarbeiter, damit Regelungen nicht als Gängelungen, sondern als nützliche Mechanismen verstanden und damit gerne befolgt werden. In Bezug auf technische Überforderung liegt Holger Vier das Vorantreiben von Hosted Services am Herzen, insbesondere Hosted Firewalls, die laut Vier ebenso wie Netzwerk-Monitoring wichtiger denn je werden. Durch das outgesourcte Hosting lässt sich die eigene Belastung und damit Überforderung zurückschrauben. Stephan Heimel bringt außerdem Power Management, SIEM (Security Information and Event Management) und E-Mail-Verschlüsselung als Trends für dieses Jahr an. Vor allem im Finanzdienstleistungssektor sei die Nachfrage nach SIEM-Lösungen gestiegen, was Heimel mit gestiegenem Interesse an gesetzlich festgelegten Nachweispflichten assoziiert.

(ID:43990621)