Wien (pts012/06.06.2012/11:55) – Cyberwaffen wie der neue Computer-Virus Flame seien berechtigt, um Teheran von der Atomwaffen-Entwicklung abzuhalten, verlautbarte Israels Armee-Rundfunk vor wenigen Tagen. Zwei Jahre zuvor hatte schon der Cyberwurm Stuxnet in der iranischen Atomanlage Natans Zentrifugen lahmgelegt. „Was wie Science-Fiction klingt, ist auf Regierungsebene und in wichtigen Industriezweigen längst Realität“, betont Erich Scheiber, Geschäftsführer der Zertifizierungsstelle für Informationssicherheit CIS in Wien, auf Österreichs größtem IT-Security-Symposium im Wiener Kursalon. „Alle zwei Sekunden entsteht weltweit ein neues Schadprogramm. Europäische Regierungen verzeichnen vier bis fünf Hacker-Angriffe täglich in ihren Netzwerken“, zitiert Scheiber internationale Branchen-Schätzungen.
Virtuelle Kriege
Als Key Speaker zum Thema „Cyberwar“ hatten die Veranstalter des 8.Information-Security-Symposiums, CIS und Quality Austria, den bekannten Trendforscher Roland Benedikter eingeladen und konnten mehr als 200 Teilnehmer aus führenden Unternehmen begrüßen. Das Who-is-Who der IT-Security war versammelt – von der A1 Telekom, Asfinag oder Austrian Power Grid, über die Energie AG bis Kapsch, Siemens und T-Systems. Der gebürtige Südtiroler Roland Benedikter lehrt an der University of California und Stanford University, einer der Wachstumsmotoren des Silicon Valley. „Informationssicherheit und globale Entwicklungen sind eng verzahnt“, erklärt Benedikter. „Während die Wirtschaftsspionage via Internet boomt, werden Kriege auf virtueller Ebene mittels Hackerangriffen geführt, wie zuletzt im Iran, in China und USA.“ Im Wechselspiel der Professionalisierung steige nicht nur das Niveau der Informationssicherheit rapide an, sondern auch die potenzielle Bedrohung.
Milliarden-Budgets
Dazu kursieren in Expertenkreisen beeindruckende Zahlen: So sollen die USA jährlich elf bis 30 Mrd. Dollar in Cyberwar-Technologien investieren. China gilt als Quelle der weltweit meisten Hacker-Angriffe und verfügt über eine Truppenstärke von militärischen Cyber-Spezialisten im Ausmaß von mehr als 50.000 Personen.
Kern-Industrien bedroht
Bis zu 30 Prozent der Wirtschaftleistung einer Industrienation entsteht heute Computer-gesteuert. Dazu gehören der Energiesektor, Verkehr, Telekommunikation, Bankwesen oder auch das Gesundheitswesen. „Wenn alles miteinander verbunden ist, kann auch alles angegriffen werden“, beschreibt CIS-Chef Erich Scheiber die simple Logik der ‚Gefahr im System‘. So könnten im Falle von Cyberangriffen auf Nationen nicht nur Regierungsnetze, sondern auch Schlüsselindustrien direkt betroffen sein. „Einige der heute im Umlauf befindlichen Schadprogramme sind potenziell in der Lage, den Aktienhandel zu manipulieren, den Luftverkehr lahmzulegen, im Bankensystem Geldströme umzulenken oder die Stromversorgung zu blockieren“, warnt Roland Benedikter. Die Bedeutung der Informationssicherheit erreiche somit einen ganz neuen Stellenwert.
Sicherheit oft nur punktuell
Schutzsysteme für Informationssicherheit können demnach nur fruchten, wenn sie durch prozessorientiertes – sprich: abteilungs- und organisationsübergreifendes Security-Management potenzielle Sicherheitslücken systematisch schließen und ständig weiter verbessert werden. So lautet der Tenor der Veranstaltung, auf der der weltweite Standard für Informationssicherheit ISO 27001 sowie ISO 20000 für IT-Service-Management im Mittelpunkt standen. „Man soll es nicht glauben, aber in der Praxis zeigt sich auch bei Schlüsselunternehmen und kritischen Regierungsnetzwerken, dass oftmals der Überblick über die Sicherheitseinrichtungen fehlt. Netzsegmente werden oft punktuell statt systematisch abgesichert und laufende Anpassungen an neueste Technologien und Bedrohungen erfolgen ohne einem strukturierten Security-Management nicht mit der notwendigen Konsequenz“, berichtet Erich Scheiber aus seiner internationalen Projekterfahrung – die CIS ist mit Sicherheitszertifizierungen in rund 30 Nationen tätig. Den wachsenden globalen Bedrohungen könne nur mit standardisiertem Vorgehen wirksamer als bisher begegnet werden. Hundertprozentigen Schutz gebe es nie, aber eine Annäherung an diesen Zustand – durch systematische Ansätze, wie es mit ISO 27001 möglich sei.
Schutzsysteme nach ISO 27001
Laut dem aktuellen ISO-Survey waren im Jahr 2010 bereits mehr als 15.600 Unternehmen und Organisationen, darunter auch große Regierungseinheiten, weltweit nach dem internationalen Security-Standard ISO 27001 zertifiziert. Pro Jahr kommen 2.000 bis 3.000 dazu. Hochgerechnet dürfte die Zahl der Zertifikate Mitte 2012 demnach bei rund 20.000 liegen. In Österreich sind wichtige Schlüsselunternehmen und Organisationen nach ISO 27001 zertifiziert: Dazu gehören die OMV, die Verbund-Tochter Austrian Power Grid, die Österreichische Nationalbank oder das Finanzministerium.
Hintergrund-Information:
ISO 27001: ganzheitliche Informationssicherheit
Während Unternehmen oftmals über das punktuelle Umsetzen von Security-Maßnahmen stolpern, verfolgt der internationale Standard für Informationssicherheit ISO 27001 einen „ganzheitlichen Management-Ansatz“. Neben einer klaren Struktur für IT-sicherheitstechnischen Aspekte umfasst er auch die Security-Organisation. Dazu gehören Mitarbeiter-Awareness, Sicherheitsregeln wie das 4-bis-16-Augen-Prizip oder physische Sicherheit wie Gebäudeschutz. Welche Security-Maßnahmen an welchen neuralgischen Punkten im Unternehmen in welcher Schärfe und mit welchen wirtschaftlich vertretbaren Aufwand umgesetzt werden müssen, werden laut ISO 27001 mittels Risikoanalyse eruiert. Dadurch können sehr gezielte und hochwirksame Sicherheitsmaßnahmen im Rahmen eines Gesamtkonzepts greifen. Und wirken damit nicht nur gegen technische Angriffe, sondern auch gegen menschliche – wie Spionage aus den eigenen Reihen. Daten-Klassifizierung, Wirksamkeitskontrollen sowie die ständige Systemverbesserung sind wichtige Säulen des Management-Standards. So erfüllt ein ISO-27001-zertifiziertes Unternehmen auch den gesetzlich geforderten Sorgfaltsgrundsatz und minimiert damit das Haftungsrisiko bei Datenschutzklagen. Die akkreditierte Zertifizierungsorganisation in Österreich ist die CIS. www.cis-cert.com
Informative Links:
- www.youtube.com/watch?v=uOtOjBwtILk&featur
- www.youtube.com/watch?v=YuOa3uKVaao&feature=related
- www.youtube.com/watch?v=9aBgog2y_dQ&feature=autoplay
Aussender: CIS – Certification & Information Security Services
Ansprechpartner: Heike Galley
E-Mail: h.galley@galley-pr.at
Tel.: +43 (0)1 532 98 90
Website: www.cis-cert.com
Quelle: www.pressetext.com/news/20120606012
Fotos: www.pressetext.com/news/media/20120606012
Fotohinweis: Dr. Roland Benedikter