"Sicher, ganz sicher, unsicher", lautete das Motto des Österreichischen Beratertags 2004, der unter Beteiligung von 850 Unternehmensberatern und Informationstechnologen diese Woche in der Wiener Hofburg stattfand. Im Mittelpunkt der Veranstaltung standen Aspekte der Sicherheit im täglichen Leben, allen voran die Informationssicherheit in Unternehmen.
Hinweis: Der Inhalt dieser Seite wurde vor 20 Jahren in der Wiener Zeitung veröffentlicht. Hier geht's zu unseren neuen Inhalten.
Einheitlicher Tenor der Experten: Firmen beziehungsweise Führungskräfte nehmen das Thema Sicherheitsmanagement zu wenig ernst und reagieren erst, nachdem sie massiv mit Problemen wie Wirtschaftskriminalität oder Viren konfrontiert wurden.
Am Anfang des Beratertags stand eine Live-Hacking-Demonstration. Christian Inzko und Nikolaus Gstättner von der Wirtschaftskammer Kärnten sowie Gerald Zebedin, Unternehmer im Bereich EDV und Telekommunikation, zeigten auf, wie leicht Systeme angegriffen und ausspioniert werden können.
"Rund 80% der Unternehmen haben von IT-Security keine Ahnung, vier von zehn Managern wissen nicht, was ihre IT-Abteilung tut", erklärten die Experten unisono und wiesen auf die Verursacher von Datenschutzverletzungen hin. Diese seien nach wie vor in erster Linie die eigenen Mitarbeiter im Unternehmen, dann würden erst Unbekannte, Hacker und zuletzt frühere Mitarbeiter als Verursacher folgen. Als Konsequenz empfahl Gstättner eine Betriebsvereinbarung in Sachen Internetnutzung. Denn einerseits sei ein gänzliches Verbot für private Internetnutzung im Unternehmen nicht haltbar - da gebe es verfassungsrechtliche Bedenken - , andererseits sei eine uneingeschränkte private Nutzung nicht im Sinn der Produktivität im Unternehmen.
Die Gefahr, die durch die vielen unverschlüsselten "WLAN" (kabellose Internet- bzw. Netzwerkverbindungen) in Privathaushalten, aber auch in Unternehmen, ausgeht, zeigten die Experten ebenfalls auf. Bei einer Fahrt mit dem Laptop durch Wien (Anm.: Der Begriff dafür ist "Wardriving") stoße man auf eine Vielzahl offener Funknetze, die ganz einfach und ohne Hacker-Kenntnisse von jedermann genutzt werden können, erklärte Zebedin und demonstrierte seine Tour durch Wien vor Publikum. Die Hauptgefahr gehe dabei nicht vom Abrufen eigener E-Mails durch den unbefugten Nutzer aus, sondern vom Eindringen in firmeninterne Netzwerke. Zebedin empfiehlt die Ände-rung der einprogrammierten "Default-Einstellungen", die Aktivierung der Verschlüsselung bei der Nutzung von WLAN und die regelmäßige Überprüfung der Netzwerke.
In der nachfolgenden Podiumsdiskussion zum Thema "Sicherheit für den Wirtschaftsstandort Österreich" nahmen verschiedene Sicherheitsexperten Stellung. Wirtschaftskriminalität kostet laut aktuellen statistischen Daten österreichische Unternehmen jährlich zwischen 7 und 15 Mrd. Euro. Rund 90% der Unternehmen sind von ihr betroffen, wobei nur jedes dritte Unternehmen aktive Maßnahmen in Sachen Informationssicherheit setze, so die Kritik der Experten.
"Ist Informationssicherheit in österreichischen Unternehmen Teil der politischen Verantwortung?", stellte Christian Rupp, Exekutivsekretär E-Government des Bundes, die rhetorische Frage. Aus seiner Sicht sei Informationssicherheit zwar auch eine Aufgabe des Staates, die Politik könne aber vor allem Rahmenbedingungen schaffen. Für die Umsetzung bedürfe es der Wirtschaft als Partner Thomas J. Nagy von der "Initiative Informationssicherheit Austria - IISA" unterstrich, dass seit dem Start der "IISA" viel passiert sei. Leitfäden bzw. eine Checkliste für den Praxiseinsatz seien am Entstehen, ein Beratungssystem und Schulungen für Unternehmen wurden entwickelt. Aus seiner Sicht seien die Unternehmensberater in der Umsetzung die entscheidenden Bindeglieder zu den Klein- und Mittelbetrieben.
Als Gründe, warum heimische Unternehmen so wenig auf Informationssicherheit achten, ortet Nagy ein wenig ausgeprägtes Sicherheitsempfinden im Land und das damit verbundene Gefühl, nichts für die Sicherheit tun zu müssen. "Sicherheitsmanagement muss Teil der Unternehmenskultur werden", fordert Nagy. Mitarbeiter sollen daher aufgefordert werden, neugierig und wachsam Vorgänge in ihrem Unternehmen zu beobachten.
Gefordert sind auch Führungskräfte im Hinblick auf rechtliche Konsequenzen. Bei mangelnder Informationssicherheit haften Manager sowohl verwaltungsrechtlich als auch im zivilrechtlichen Bereich, so eine Rechtsexpertin. Dafür gebe es viele Regelungen, allen voran das Datenschutzgesetz 2000.