IT-Security-Roundtable: »Sicherheit ist nicht delegierbar«. Deutsche Unternehmen haben bei der IT-Sicherheit erheblichen Nachholbedarf, weil meist die basale Kommunikation der Verantwortlichen scheitert. Zu diesem Ergebnis kam ein von CRN und Checkpoint veranstalteter Roundtable mit IT-Security-Verantwortlichen großer Systemhäuser.

IT-Security-Roundtable: »Sicherheit ist nicht delegierbar«

»In unserem Beirat sitzen die CIOs unserer großen Kunden. Diesem Beirat stellen wir regelmäßig unsere Aktivitäten im Bereich Security vor. Interessant ist, dass Security für diesen Kreis definitiv ein Thema ist. Die Beteiligten schildern dann auch Vorfälle und Problemstellungen aus ihren Unternehmen«, berichtet Jörg Kastrup, Director IT Security Consulting Group bei Computacenter. Nur die Frage nach der Größe ihrer Security-Budgets könnten die CIOs nicht beantworten: »Für gewöhnlich sind für die CIO die Sicherheitsbudgets nicht relevant, weil sie nur einen sehr kleinen Teil des Gesamtbudgets und damit ihres Verantwortungsbereiches ausmachen.«

Eine ernüchternde Einsicht für eine Industrie, die seit Jahren die Relevanz von IT-Security gerade für Unternehmen immer wieder betont. Jörg Kastrup ist einer von elf IT-Security-Experten der namhaftesten deutschen Systemhäuser und IT-Dienstleister, die sich im Rahmen des ersten deutschen Checkpoint-Sicherheitskongresses in Frankfurt versammelt haben, um Erfahrungen über den Status der IT-Sicherheit bei gewerblichen Endkunden auszutauschen.
Gerade mal ein bis sechs Prozent des IT-Budgets mache das Security-Budget aus, konstatiert Dr. Matthias Rosche, Director Consulting Central Europe bei Integralis. Dabei hänge die tatsächliche Budgethöhe stark von der Unternehmenskultur ab: »Sicherheitsbewusstsein muss ein Teil der Unternehmenskultur sein. Wir stellen da große Unterschiede bei unseren Kunden fest.« Häufig sehe man auf den ersten Blick wenn man das Firmengelände betritt, wie es um die Security bestellt sei.

Die Diskussion bewegt sich im Spannungsfeld der Zuständigkeiten: Wie die InformationWeek-Studie »IT-Security 2005« belegt, verteilen sich die Verantwortlichkeiten für IT-Sicherheit auf verschiedene verantwortliche Positionen: Während die IT meist inhaltlich und technisch für das Thema verantwortlich zeichnet, liegt die Budgetverantwortung bei kaufmännischen Entscheidern, häufig der Geschäftsleitung, die allerdings wenig technisches Verständnis aufbringen. Entsprechend schwierig die Kommunikation beider Entscheidungsebenen. Folglich klagen IT-Verantwortliche immer wieder über mangelndes Verständnis von Seiten der Geschäftsleitung und damit zu kleine Budgets.

Unterschiedliche Ziele

Das konstatiert auch Mario Emig, Produktmanager Security bei Controlware: »Die Ziele der Ansprechpartner sind ganz unterschiedlich, das stellen wir immer wieder fest. Für Geschäftsführer sind Dinge wie Effizienzsteigerung, Verbesserung der Geschäftsprozesse und Business Continuity interessant.« Die IT-Ansprechpartner dagegen hätten ganz andere Themen und sprächen auch ein andere Sprache als ihre kaufmännisch orientierten Kollegen. Er fände sich häufig in der Situation, die Gespräche der unterschiedlichen Ansprechpartner als neutrale Partei zu moderieren und sicherzustellen, »dass alle über die selbe Sache sprechen«. »Denen ist der Nutzen gar nicht klar«, bestätigt Sascha Jäger, Director Vertrieb Central Europe bei Integralis.

Den Nutzen sehen vor allem die Praktiker, nämlich die Administratoren, bemerkt Peter Dölling, Vorstand bei Defense. »Die müssen den Nutzen der Lösung aber auch zu den richtigen Ansprechpartnern transportieren.« Bei den Kunden sei es sehr wichtig, mit den Administratoren zu sprechen. Die seien technisch versierter und könnten die Gefahrenszenarien sowie die Lösungen sehr gut einschätzen, waren sich alle Teilnehmer einig. Danach allerdings fangen die eigentlichen Schwierigkeiten an.

Über die »kommunikative Kluft« berichtet Udo Junk, Security Consultant bei Telindus: »Auf der einen Seite tun sich die IT-Verantwortlichen schwer, den Wert von Security in Geld auszudrücken. Vielen Unternehmen ist es nicht möglich, für IT-Sicherheit relevante Kennzahlen zu extrahieren. Und die Kennzahlen, die vorhanden sind, berücksichtigen den Prozesscharakter der Security nicht. Auf der anderen Seite sehen viele Geschäftsführer die Haftungsproblematik nicht.« Auf Geschäftsleitungsebene herrsche in vielen Unternehmen eine »Checklisten-Mentalität«, unterstreicht Dr. Matthias Rosche, die der Security-Thematik nicht gerecht werde. »Sicherheit ist eben nicht einfach delegierbar«, konstatiert auch Junk. Auch unterschätzten die kaufmännischen Entscheider die Gefahren, berichtet Junk, die Erfolgsquote bei Hacking im Auftrag der Kunden läge bei über 50 Prozent. IT-Verantwortliche klammern sich auf der anderen Seite vor allem an die technische Betrachtungsweise und stoßen dabei auf Unverständnis bei ihrem Management.

»IT ist ein kritisches Produktionsmittel und so wird sie von den Unternehmen auch gesehen«, charakterisiert Detlef Voigt, Generalbevollmächtigter bei Ada, die Sichtweise, auf die er bei seinen Kunden trifft. Für Mittelständler stünde daher die Produktivitätssteigerung auch bei Security-Investitionen im Vordergrund. Aber eben die lasse sich nur schwer belegen, wirft Martin Seeger, Projektleiter bei Netuse ein. Bei vielen Kundenterminen würden persönliche Überzeugungen als Entscheidungskriterien angeführt. »Man hört so häufig ?Ich glaube?, es ist fast wie in der Kirche.« Seine Forderung: »Wir müssen unseren Kunden helfen, vom Bauchgefühl zur BWL zu kommen.« IT-Security müsse klar finanziell quantifizierbar sein, stimmt Günter Busch, Marketing Manager Deutschland bei Nokia, zu.

Die Situation fasst Kastrup zusammen: »Unsere Dienstleistung fängt damit an, den Kunden überhaupt erst entscheidungsfähig zu machen.«

Von der klassischen Sicherheit lernen?

In anderen Bereichen sei das Sicherheitsproblem doch bereits gelöst, die Branche solle sich an diesen Ansätzen orientieren, ist der Vorschlag von Dr. Christoph Skornia, Technical Manager bei Checkpoint. Die klassische Gebäudesicherheit mit analoger Überwachung und Einrichtungen wie Werksschutz oder Brandschutz gebe hier die Richtung vor.

Klassische Sicherheit sei keineswegs hinreichend gelöst und damit ein schlechtes Vorbild, gibt Dr. Wilfried Schmitz von der SHE Informationstechnik zu bedenken: »Wir dringen bei unserem Kunden im Auftrag der Revision ein und decken Sicherheitslücken auf. Die Ergebnisse sind schockierend. Das Problem ist in den meisten Fällen der Faktor Mensch.«

Dem pflichtet auch Seeger bei. Mehr Tradition denn effiziente Sicherheitsmaßnahme sei der Werksschutz, so seine provokante These: »Im Blaumann darf ich alles aus der Firma schleppen. Und häufig bekomme ich die Cray einfacher raus als ein Notebook.«

Tatsächlich allerdings verfehle diese Diskussion den Kern klassischer Sicherheit. Denn diese sei durch die Versicherungen reglementiert und das ist ein Punkt, den auch die IT-Security-Anbieter lernen könnten, so Seeger. »Versicherungen kommen nicht für Schäden auf, wenn ein Unternehmen bestimmte Vorkehrungen nicht getroffen hat. Also reagieren die Unternehmer mit den entsprechenden Maßnahmen.«

Problemfeld Standard-Dschungel

Ansätze, die Security-Diskussion auf Management-Ebene anzustoßen, kommen derzeit aus der Politik. »IT-Risiken sind mittlerweile berichtspflichtig«, schildert Kastrup. Wirtschaftsprüfer fragen diese Risiken seit einigen Monaten verstärkt ab und leisten der IT so Schützenhilfe. Allerdings fehlten Wirtschaftsprüfern bislang das entsprechende IT-Know-how, gibt Petra Jenner, Geschäftsführerin von Checkpoint Deutschland, zu bedenken, so dass viele Anfragen ins Leere liefen. Aus diesem Grund »dringt der Druck, der von außen kommt, auch nicht zu den Verantwortlichen im Unternehmen durch«, bestätigt Kastrup.

Erhebliche Verwirrung besteht offenbar auf Seiten der Verantwortlichen auch darüber, welche Kriterien bei der Auswahl von IT-Sicherheitslösungen relevant sind. »Der Begriff Business Compliance spielt zunehmend ein wichtige Rolle, ist aber leider völlig unklar«, beklagt Uwe Blöcher, Leiter Produktmanager bei Siemens. Für Siemens als in den USA börsennotiertes Unternehmen sei etwa Sarbanes-Oxley eminent wichtig, »aber für unsere Kunden? Ähnlich ist es mit Basel II oder Contrag«. Sein Fazit: Es herrscht ein enormer Beratungsbedarf, um überhaupt erst eine sachliche Gesprächsgrundlage zu erarbeiten.

Überhaupt ist die Frage nach relevanten Sicherheitsstandards heute eine der wichtigsten Quellen der Verunsicherung bei Entscheidern in mittleren aber auch großen Unternehmen. Dazu trägt eine Vielzahl unterschiedlicher Standards und Standardvarianten nicht nur in Deutschland, sondern auch international bei.

Dass das Problem der IT-Sicherheit in Zukunft eine weit gravierendere Rolle spielen wird und dass ganz neue Konzepte her müssen, dafür sorgt ein anderer Trend. IT-Technologie hält mittlerweile Einzug in die Fertigungssteuerung. Auf diesen Bereich hat sich SHE Informationstechnik spezialisiert. »Da entscheiden die Verantwortlichen sehr pragmatisch und nach ganz anderen Gesichtspunkten«, erläutert Dr. Wilfried Schmitz. »Einer meiner Kunden möchte etwa nur ein Mal im Jahr Patches einspielen. Denn Patches können die Stabilität seiner Systeme beeinträchtigen, und Ausfälle seiner Fertigung aufgrund instabiler Updates kann sich der Kunde auf keinen Fall erlauben.«

Das drängende Problem allerdings ist neben fehlender verbindlicher Standardisierung die klare Kommunikation der Verantwortlichen in den Unternehmen untereinander wie auch von Seiten der IT-Branche. »Unsere Sprache als IT-Branche ist einfach nicht Geschäftsführer-gerecht«, konstatiert Petra Jenner, »wir haben allesamt sehr viel Nachholbedarf, uns allgemeinverständlich auszudrücken. Wir müssen uns von unserem IT-Kauderwelsch verabschieden.«

____________________________________________

Die Teilnehmer

Nokia
Günther Busch ? Marketing Manager Deutschland

Computacenter
Dr. Jörg Kastrup ? Director IT Security Consulting Group

Siemens AG
Uwe Blöcher ? Leiter Produktmanager

Controlware
Mario Emig ? Produktmanager Security

Netuse AG
Martin Seeger ? Projektleiter

SHE AG
Dr. Wilfried Schmitz ? CTO

Crossbeam
David Harvey ? Area Director DACH

Integralis
Sascha Jäger ? Director Vertrieb Central Europe

Integralis
Dr. Matthias Rosche ? Director Consulting Central Europe

ADA
Detlef Voigt ? Generalbevollmächtigter

Telindus
Udo Junk ? Security Consultant

Defense AG
Peter Dölling ? Vorstand und Geschäftsführer

Check Point
Petra Jenner ? Geschäftsführerin Deutschland

Check Point
Dr. Christoph Skornia ? Technical Manager