Zum Hauptinhalt springen

Strategien für mehr IT-Sicherheit

Von Andrea Möchel

Wirtschaft

Studie von TU und Universität Wien deckt dringenden Handlungsbedarf auf

Wien. Die gute Nachricht zuerst: "Die größeren Behörden und Unternehmen in Österreich zeigen ein hohes Sicherheitsbewusstsein im IT-Bereich", betont Stefan Fenz vom Institut für Softwaretechnik und Interaktive Systeme der TU Wien. Grundlage seines Befundes ist eine gemeinsame Studie der TU Wien und der Universität Wien, die das Verhalten von Firmen, Behörden und Privatpersonen beim Thema Internetsicherheit untersucht haben.

Ungeschützte Daten sind ein leichtes Ziel für Cyberattacken.
© Foto: fotolia

Achillesferse IT-Sicherheit

Für die Studie, die vom österreichischen Sicherheitsforschungsprogramm Kiras finanziert wurde, wurden 809 Bürger, 255 Unternehmen und 252 Behörden befragt und zusätzlich eine umfangreiche Online-Erhebung durchgeführt. "Über 95 Prozent der Befragten bezeichnen das Thema IT-Sicherheit als wichtig oder sehr wichtig", sagt Fenz. "Je größer eine Behörde oder ein Unternehmen ist, umso besser ist die Qualität der Sicherheitsmaßnahmen und die Verbreitung von Krisennotfallplänen."

Und das ist gut so, denn Fahrlässigkeit leistet gezielten Angriffen auf die IT-Infrastruktur Vorschub, was zur Gefährdung ganzer Staaten führen kann. "Ohne reibungslos funktionierende IT-Infrastruktur sind viele staatliche, wirtschaftliche und zivilgesellschaftliche Prozesse heute nicht mehr vorstellbar, betont Thomas Neubauer, Projektassistent an der TU Wien. "Die Gefahr, die von solchen Attacken ausgeht, ist also sehr ernst zu nehmen."

Die Studie belegt aber auch, dass in Österreich Sicherheitsbewusstsein und IT-Sicherheitskenntnisse durchaus verbesserungswürdig sind. Vor allem bei kleinen Unternehmen und Behörden, sowie jüngeren und älteren Bevölkerungsgruppen besteht diesbezüglich dringender Handlungsbedarf. Die Studienautoren begnügen sich hier nicht mit der Diagnose, sondern liefern auch Therapievorschläge. Einer davon ist die Installierung gesetzlich festgeschriebener Mindestsicherheitsstandards.

"84 Prozent der Unternehmen und 83 Prozent der Behörden gaben entsprechende gesetzliche Bestimmungen als Voraussetzung für den Ausbau ihrer Sicherheitsmaßnahmen an", erläutert Fenz. Als ersten Schritt empfehlen die Experten daher eine eingehende Analyse der heute in Österreich geltenden rechtlichen Grundlagen und die Identifizierung rechtlich noch nicht oder unzureichend geregelter Bereiche. "Auf Basis der Analyseergebnisse ist eine Restrukturierung - sprich Zentralisierung - der gesetzlichen Bestimmungen anzustreben", fordert Fenz. "Ein zentrales Informationssicherheitsgesetz wäre wünschenswert."

Bessere Gesetzestexte

Außerdem sollten auch die einschlägigen Gesetzestexte konkretisiert werden, um so die Rechtssicherheit zu erhöhen. "Statt Formulierungen wie beispielsweise ,Stand der Technik‘ sollten konkrete nationale oder internationale Informationssicherheitsstandards als Grundlage für vorgeschriebene Mindestsicherheitsstandards verwendet werden", fordert Fenz. Und: Dass die gesetzlichen Bestimmungen in angemessenen Abständen aktualisiert werden sollten, versteht sich angesichts der raschen technischen Entwicklung wohl von selbst.

Die Studie belegt überdies, dass es besonders für kleine und mittlere Behörden und Unternehmen oft sehr aufwendig und teuer ist, eigene Sicherheitsstrategien und Notfallpläne zu entwickeln. Hier bedürfe es dringend spezieller Anreizsysteme, so die Experten.

Zu den wünschenswerten Maßnahmen zählen:

- Steuerliche Entlastungen bei nachweislicher Implementierung von Mindestsicherheitsstandards (Zertifizierung).
- Gutscheine oder Schecks, die es kleineren und mittleren Unternehmen (KMU) und Behörden erleichtern, sicherheitsrelevante Dienstleistungen und Produkte in Anspruch zu nehmen, um damit ihr Sicherheitsniveau zu heben. Laut Fenz könnten Gutscheine unter anderem bei Sicherheitsberatungen, Penetrationstests oder Schulungen eingesetzt werden.
- Bereits bestehende Angebote, wie zum Beispiel das IT-Sicherheitshandbuch für Klein- und Mittelbetriebe der Wirtschaftskammer Österreich (WKO), sollten künftig verstärkt kommuniziert werden.

Unternehmen und Behörden sollten durch die freiwillige Teilnahme an externen Evaluierungen der Qualität und Sicherheit ihrer IT-Dienste und Produkte ein Gütesiegel und damit einen Wettbewerbsvorteil erhalten. "Die Studie hat gezeigt, dass speziell bei Unternehmen Sicherheit sehr häufig als Dienstleistung an den Kunden verstanden wird", sagt Fenz. "Hier kann ein offizielles Gütesiegel also durchaus absatzsteigernde Wirkung erzielen."

Weitere Informationen unter
Website IT-Sicherheitscheckt  
Website Online Sicherheit