Österreichs Manager und die IT-Sicherheit

Würden Sie mit einem Auto fahren, dessen Pickerl seit drei Jahren abgelaufen ist? Würden Sie eine Straßenbahn, U-Bahn, Flugzeug, Zug oder Aufzug nutzen, die nicht regelmäßig auf Sicherheit überprüft & gewartet wurde? Wahrscheinlich nicht.

Wenn es um die Sicherheit unseres Körpers geht, haben wir über die letzten Jahrhunderte immer strengere Bestimmungen eingeführt, um diesen zu schützen. Ganz anders sieht die Sache aus, wenn es um ein anderes wichtiges Gut geht – unsere Daten.

Während wir unsere Körper vor Schaden durch Dritte durch Auflagen und Vorschriften schützen, sind die Daten, die wir auf den Systemen anderer hinterlassen (müssen) in keinster Weise geschützt. So kann etwa Jürgen Menedetter, Geschäftsführer des ORF-Gebühreninformationsdienstes GIS, öffentlich berichten, dass sie ihren Webserver „eh” – das sagt er zwar nicht, aber man hört es deutlich heraus – schon vor vier Jahren „modernisiert” hätten und die Daten vom Server nur kopiert werden konnten, weil es „kleinere Fehler” gegeben hat. Anscheinend hat niemand Hr. Menedetter erklärt, dass vier Jahre in der IT einer Ewigkeit (ca. 2,5 bis 3 Generationen) entsprechen.

GIS Hack Thumbnail

Können Sie sich vorstellen, dass ein Auto- oder Zughersteller meint, der Unfall wäre halt „Pech”, sie hätten das Auto/den Zug eh vor vier Jahren gewartet, aber ein paar kleine „Materialfehler” hätten den Unfall jetzt halt verursacht? Das entsprechende Unternehmen wäre wohl medial gelyncht worden. Im IT-Umfeld wird das noch immer akzeptiert bzw. sogar erwartet.

FPÖ Hack Thumbnail

Wenn die Aktionen von Anonymous, AnonAustria und LULzSec in letzter Zeit etwas gezeigt haben, dann dass der Verfassungsschutz nicht gegen die „Hacker”, sondern gegen die Manager der gehackten Unternehmen ermitteln sollte, damit diese das Thema IT-Sicherheit endlich ernster nehmen. Viel zu oft hört man von Systemadministratoren, Sicherheitsbeauftragten und CSO (Chief Security Officer), dass sie im Management auf taube Ohren stoßen, wenn es um dieses Thema geht.

SPÖ Hack Thumbnail

Ernst genommen wird das Thema IT-Sicherheit auf Managementebene derzeit leider nur von den großen IT-Unternehmen wie HP, IBM und Microsoft (nachdem sie in den 90ern und Anfang des Jahrtausend mehrmals mit der Nase drauf gestoßen wurden) sowie die Banken (ebenfalls, nachdem Themen wie Phishing, … durch die Medien gingen und auch „lokale” Geldinstitute betroffen waren).

Raiffeisen Phishing Thumbnail

Es wird daher Zeit, dass von der Politik Maßnahmen gesetzt werden, um die Daten der Bürgerinnen und Bürger, die von österreichischen Unternehmen gespeichert werden, auch entsprechend zu schützen. Meine Vorschläge dazu wären:
  • Haftung der Geschäftsführung für vermeidbare IT-Sicherheitslücken (SQL Injections, XSS, Patches, die jahrelang nicht eingespielt wurden, … im Prinzip grobe Fahrlässigkeit halt) mit ihrem Privatvermögen
  • Verpflichtende Vorschriften über die Speicherung von direkten und indirekten persönlichen Daten, die auch kontrolliert werden
  • Stichprobenartige Sicherheitsaudits, vergleichbar mit den Kontrollen durch das Marktamt. Ev. durch cert.at oder eine unabhängige Datenschutz-Aufsichtsbehörde
  • Verständigungspflicht der Betroffenen bei Datenverlust oder Daten”diebstahl” (direktes Anschrieben, Veröffentlichung in der Wiener Zeitung und der Ediktsdatei)
  • Eine unabhängige Datenschutz-Aufsichtsbehörde in Österreich
  • Ein Schadenersatzrecht, das Geschädigten zumindest die Kosten für einen Wechsel der betroffenen Daten (Handynummer, Kontonummer, …) ersetzt

Leider gibt es keine/kaum Politikerinnen und Politiker, die auch die „Cochones” hätten, das gegenüber „der Wirtschaft” durchzusetzten – schließlich will man ja nach der Politikerkariere wo unterkommen und Spendengelder für den nächsten Wahlkampf braucht man ja auch.

Rewe Panik Thumbnail

Darüber hinaus wäre es natürlich auch schön zu sehen, wenn der Fokus der Presse in der Berichterstattung weg vom klassischen und einfachen „der böse Hacker” hin zu „warum war das überhaupt möglich, warten sie ihre IT-Systeme nicht?” schwenken würde. Aber dafür würde es natürlich kritische und fachlich kompetente Redakteure und keine Hofberichterstatter brauchen.

Werte Manager, sprechen Sie mit Ihren Technikern, Systemadministratoren und IT-„Fuzzis”. Die wissen sicher, wie Sie sich vor einem Imageschaden a la GIS schützen können.

Tagged as: , , , , | Author:
[Samstag, 20110730, 22:38 | permanent link | 0 Kommentar(e)

Comments are closed for this story.


Disclaimer

„Leyrers Online Pamphlet“ ist die persönliche Website von mir, Martin Leyrer. Die hier veröffentlichten Beiträge spiegeln meine Ideen, Interessen, meinen Humor und fallweise auch mein Leben wider.
The postings on this site are my own and do not represent the positions, strategies or opinions of any former, current or future employer of mine.
Impressum / Offenlegung gemäß § 25 Mediengesetz

Search

Me, Elsewhere

Tag Cloud

2007, 2blog, 2do, 2read, a-trust, a.trust, a1, accessability, acta, advent, age, ai, amazon, ankündigung, apache, apple, at, audio, austria, backup, barcamp, basteln, bba, big brother awards, birthday, blog, blogging, book, books, browser, Browser_-_Firefox, bruce sterling, buch, bürgerkarte, cars, cartoon, ccc, cfp, christmas, cloud, coding, collection, command line, commandline, computer, computing, concert, conference, copyright, covid19, css, database, date, datenschutz, debian, delicious, demokratie, design, desktop, deutsch, deutschland, dev, developer, development, devops, digitalisierung, digitalks, dilbert, disobay, dna, dns, Doctor Who, documentation, Domino, domino, Douglas Adams, download, downloads, drm, dsk, dvd, e-card, e-government, e-mail, e-voting, E71, education, Ein_Tag_im_Leben, elga, email, encryption, essen, EU, eu, event, events, exchange, Extensions, fail, fedora, feedback, film, firefox, flash, flightexpress, food, foto, fsfe, fun, future, games, gaming, geek, geld, git, gleichberechtigung, google, graz, grüne, grüninnen, hack, hacker, handtuch, handy, hardware, HHGTTG, history, how-to, howto, hp, html, humor, IBM, ibm, ical, iCalendar, image, innovation, intel, internet, internet explorer, iot, iphone, ipod, isp, it, IT, itfails, itfailsAT, itfailsDE, java, javascript, job, jobmarket, journalismus, keyboard, knowledge, konzert, language, laptop, law, lego, lenovo, life, links, linux, Linux, linuxwochen, linuxwochenende, live, living, lol, london, lost+found, Lotus, lotus, Lotus Notes, lotus notes, lotusnotes, LotusNotes, lotusphere, Lotusphere, Lotusphere2006, lotusphere2007, Lotusphere2008, lotusphere2008, lustig, m3_bei_der_Arbeit, mac, mail, marketing, mathematik, media, medien, metalab, microsoft, Microsoft, mITtendrin, mobile, mood, motivation, movie, mp3, multimedia, music, musik, männer, nasa, nerd, netwatcher, network, netzpolitik, news, nokia, Notes, notes, Notes+Domino, office, online, OOXML, open source, openoffice, opensource, orf, orlando, os, outlook, patents, pc, pdf, performance, perl, personal, php, picture, pictures, podcast, politics, politik, pr, press, presse, privacy, privatsphäre, productivity, programming, protest, public speaking, qtalk, quintessenz, quote, quotes, radio, rant, recherche, recht, release, review, rezension, rip, rss, science, search, security, server, settings, sf, shaarli, Show-n-tell thursday, sicherheit, silverlight, smtp, SnTT, social media, software, sony, sound, space, spam, sprache, spö, ssh, ssl, standards, storage, story, stupid, summerspecial, sun, surveillance, sysadmin, talk, talks, technology, The Hitchhikers Guide to the Galaxy, theme, think, thinkpad, thunderbird, tip, tipp, tools, topgear, torrent, towel, Towel Day, TowelDay, travel, truth, tv, twitter, ubuntu, ui, uk, unix, update, usa, usb, vds, video, videoüberwachung, vienna, Vim, vim, vintage, vista, vorratsdatenspeicherung, vortrag, wahl, wcm, web, web 2.0, web2.0, web20, Web20, webdesign, werbung, wien, wiener linien, wikileaks, windows, windows 7, wired, wishlist, wissen, Wissen_ist_Macht, wlan, work, workshops, wow, writing, wtf, wunschzettel, Wunschzettel, www, xbox, xml, xp, zensur, zukunft, zune, österreich, övp, übersetzung, überwachung

AFK Readinglist