Österreichs Manager und die IT-Sicherheit
Würden Sie mit einem Auto fahren, dessen Pickerl seit drei Jahren abgelaufen ist? Würden Sie eine Straßenbahn, U-Bahn, Flugzeug, Zug oder Aufzug nutzen, die nicht regelmäßig auf Sicherheit überprüft & gewartet wurde? Wahrscheinlich nicht.
Wenn es um die Sicherheit unseres Körpers geht, haben wir über die letzten Jahrhunderte immer strengere Bestimmungen eingeführt, um diesen zu schützen. Ganz anders sieht die Sache aus, wenn es um ein anderes wichtiges Gut geht – unsere Daten.
Während wir unsere Körper vor Schaden durch Dritte durch Auflagen und Vorschriften schützen, sind die Daten, die wir auf den Systemen anderer hinterlassen (müssen) in keinster Weise geschützt. So kann etwa Jürgen Menedetter, Geschäftsführer des ORF-Gebühreninformationsdienstes GIS, öffentlich berichten, dass sie ihren Webserver „eh” – das sagt er zwar nicht, aber man hört es deutlich heraus – schon vor vier Jahren „modernisiert” hätten und die Daten vom Server nur kopiert werden konnten, weil es „kleinere Fehler” gegeben hat. Anscheinend hat niemand Hr. Menedetter erklärt, dass vier Jahre in der IT einer Ewigkeit (ca. 2,5 bis 3 Generationen) entsprechen.
Können Sie sich vorstellen, dass ein Auto- oder Zughersteller meint, der Unfall wäre halt „Pech”, sie hätten das Auto/den Zug eh vor vier Jahren gewartet, aber ein paar kleine „Materialfehler” hätten den Unfall jetzt halt verursacht? Das entsprechende Unternehmen wäre wohl medial gelyncht worden. Im IT-Umfeld wird das noch immer akzeptiert bzw. sogar erwartet.
Wenn die Aktionen von Anonymous, AnonAustria und LULzSec in letzter Zeit etwas gezeigt haben, dann dass der Verfassungsschutz nicht gegen die „Hacker”, sondern gegen die Manager der gehackten Unternehmen ermitteln sollte, damit diese das Thema IT-Sicherheit endlich ernster nehmen. Viel zu oft hört man von Systemadministratoren, Sicherheitsbeauftragten und CSO (Chief Security Officer), dass sie im Management auf taube Ohren stoßen, wenn es um dieses Thema geht.
Ernst genommen wird das Thema IT-Sicherheit auf Managementebene derzeit leider nur von den großen IT-Unternehmen wie HP, IBM und Microsoft (nachdem sie in den 90ern und Anfang des Jahrtausend mehrmals mit der Nase drauf gestoßen wurden) sowie die Banken (ebenfalls, nachdem Themen wie Phishing, … durch die Medien gingen und auch „lokale” Geldinstitute betroffen waren).
- Haftung der Geschäftsführung für vermeidbare IT-Sicherheitslücken (SQL Injections, XSS, Patches, die jahrelang nicht eingespielt wurden, … im Prinzip grobe Fahrlässigkeit halt) mit ihrem Privatvermögen
- Verpflichtende Vorschriften über die Speicherung von direkten und indirekten persönlichen Daten, die auch kontrolliert werden
- Stichprobenartige Sicherheitsaudits, vergleichbar mit den Kontrollen durch das Marktamt. Ev. durch cert.at oder eine unabhängige Datenschutz-Aufsichtsbehörde
- Verständigungspflicht der Betroffenen bei Datenverlust oder Daten”diebstahl” (direktes Anschrieben, Veröffentlichung in der Wiener Zeitung und der Ediktsdatei)
- Eine unabhängige Datenschutz-Aufsichtsbehörde in Österreich
- Ein Schadenersatzrecht, das Geschädigten zumindest die Kosten für einen Wechsel der betroffenen Daten (Handynummer, Kontonummer, …) ersetzt
Leider gibt es keine/kaum Politikerinnen und Politiker, die auch die „Cochones” hätten, das gegenüber „der Wirtschaft” durchzusetzten – schließlich will man ja nach der Politikerkariere wo unterkommen und Spendengelder für den nächsten Wahlkampf braucht man ja auch.
Darüber hinaus wäre es natürlich auch schön zu sehen, wenn der Fokus der Presse in der Berichterstattung weg vom klassischen und einfachen „der böse Hacker” hin zu „warum war das überhaupt möglich, warten sie ihre IT-Systeme nicht?” schwenken würde. Aber dafür würde es natürlich kritische und fachlich kompetente Redakteure und keine Hofberichterstatter brauchen.
Werte Manager, sprechen Sie mit Ihren Technikern, Systemadministratoren und IT-„Fuzzis”. Die wissen sicher, wie Sie sich vor einem Imageschaden a la GIS schützen können.
Tagged as: hacker, it, rant, security, sicherheit | Author: Martin Leyrer
[Samstag, 20110730, 22:38 | permanent link | 0 Kommentar(e)
Comments are closed for this story.