Seite
weiterempfehlen Seite Drucken
Aktuelle Entwicklungen der Sicherheit im E-Commerce
IT-Sicherheit wird im Handel
unterschätzt
In verschiedenen Untersuchungen von
PriceWaterhouseCoopers, Ernst & Young oder
Mummert Consulting wurden in allen Bereichen der
Wirtschaft Sicherheitsmängel in den IT-Systemen festgestellt.
Auch der Handel unterschätzt die
IT-Sicherheit, wie Wincor-Nixdorf, ein
Komplettausrüster für IT-Systeme im Handel, feststellte.
Zwar integriert Wincor-Nixdorf in seine Systeme
umfangreiche und aktuellste Sicherheitsfeatures von
Spezialanbietern, die aber nur funktionieren, wenn die
Systeme permanent aktualisiert werden und wirklich an allen
kritischen Punkten im Netzwerk aktiviert sind. Nach
Ansicht von Microsoft reichen aber technischen
Lösungen alleine nicht aus, denn die Mitverantwortung
der Mitarbeiter für die Sicherheit von Daten, Anwendungen und
Infrastruktur trägt wesentlich zum Erfolg eines
Sicherheitskonzeptes bei.
In einer Untersuchung der Ursachen und Fehlerquellen in den
IT-Systemen mittelständischer Unternehmen stellte die
Handelskammer Hamburg in 50 Prozent der Fälle Hard-
und Software-Fehler als Ursache fest. 25 Prozent der Ausfälle
wurden durch Virenattacken und Stromausfälle
verursacht. Dabei betrug die durchschnittliche Dauer der
Ausfallzeiten zwölf Stunden. Den dadurch resultierenden
Geschäftsverlust konnten nur wenige Unternehmen angeben. Hinzu
kommt noch eine hohe Dunkelziffer, da in vielen Fällen ein
Systemausfall als normale Wartungsarbeit bezeichnet wird.
Insbesondere aufgrund des Ausfalls von Arbeitszeit
verlieren europäische Mittelständler jährlich etwa
22 Milliarden Euro durch Virenattacken und unerwünschter
E-Mail-Werbung. Im Durchschnitt verursacht jeder
erfolgreiche Virenangriff in Europa etwa 5000 Euro Schaden durch
Arbeitsausfälle und Datenverluste, wie der
Antiviren-Software-Hersteller Network Associates
ermittelte. Das Bundesamt für Sicherheit in der
Informationstechnik (BSI) beziffert den Schaden etwas
vorsichtiger auf einen dreistelligen Millionenbetrag.
Die meisten IT-Angriffe auf Firmennetzwerke lassen sich z.
B. durch eine Personal Firewall in Verbindung mit dem Intrusion
Detection System (IDS), einer Art virtuellen Alarmanlage
für Sicherheitsverstöße, verhindern.
Cisco Systems, Symantec und T-Systems
bieten derartige Sicherheits-Lösungen an. Da aufgrund der
hohen Produktion von Datenmengen IDS jedoch sehr personalintensiv
ist, ist eine intensive Beratung notwendig. IDS wird bereits von 24
Prozent der Firmen genutzt, etwa 29 Prozent nutzen persönliche
oder Benutzer-Firewalls.
Die IT-Sicherheitsspezialisten eleven, godot und
H+BEDV Datentechnik GmbH bieten ferner gemeinsam einen auf
Kommunikationsservern integrierten Dienst zur Identifizierung und
Blockierung von Spam-Mails an.
Aufgrund der Internet-Attacken wollen insbesondere
Mittelständler, die ihre Geschäftsprozesse zunehmend
über das Internet abwickeln, ihre Sicherheitsstrukturen
verbessern. Dies ergab eine Untersuchung der META
Group Deutschland. Demnach wollten 2004 etwa ein Drittel der
deutschen Unternehmen ihr Sicherheitsbudget erhöhen.
(Quelle: rt retail technology journal, Ausgabe 2/2004, S.
24)
Initiative secure-it.nrw:
Impulsgeber für Prozessinnovationen in IT-Sicherheit und
Datenschutz
Die Initiative secure-it.nrw
unterstützt Unternehmen und Behörden
beim Thema Sicherheit. Die Erschließung
neuer Märkte, neue Produkte und Service ist mit digitalem
Geschäftsverkehr und damit auch mit dem Thema Sicherheit eng
verknüpft.
Die Ziele der Initiative sind die
Erhöhung des Vertrauens in IT-Anwendungen,
die Verbesserung der Benutzerfreundlichkeit und
die Sicherstellung von Verlässlichkeit und
Datenschutz. Insbesondere gilt die Aufmerksamkeit
dabei kleineren und mittleren Unternehmen, die
ihre Wettbewerbsfähigkeit durch sichere und
vertauenswürdige IT-Anwendungen verbessern
können. Darüber hinaus soll die Attraktivität des
Standortes Nordrhein-Westfalen für Gründer und Investoren
erhöht werden. Dabei geht es z. B. um die Herausforderung
eines ganzheitlichen Sicherheitsansatzes, da technische
Veränderungen mit rechtlichen und organisatorischen oftmals
einhergehen. Hierbei möchte die Initiative Impulse geben und
unterstützen.
Das tägliche Leben wird mittlerweile stark durch
Informationstechnologie beeinflusst. Aus diesem
Grund richtet sich die Initiative gleichermaßen an
IT-Sicherheitanwender und -anbieter sowie an jeden
Bürger als Endkunde von Wirtschaft und
Verwaltung. Weitere Informationen zu der vom
Ministerium für Innovation, Wissenschaft, Forschung und
Technologie des Landes Nordrhein-Westfalen (MIWFT)
geförderten Initiative sind unter www.secure-it.nrw.de verfügbar.
(Quelle: Webseite secure-it.nrw, www.secure-it.nrw.de; Abruf am
13.04.2006)
Sicherheitsmaßnahmen
Bedrohungen und Gegenmaßnahmen
- Computerschädlinge sind oft als
vermeintlich seriöse Benachrichtigungen durch staatliche
Stellen oder Software-Updates getarnt. Unsichere Dateianhänge
können von Sicherheitsprogrammen (Gateway)
schon vor dem Erreichen des E-Mail-Accounts gelöscht werden.
Dabei lassen sich Dateitypen, die gefiltert werden sollen, auch
manuell festlegen.
- Regelmäßige Updates sind für
einen verlässlichen Schutz unerlässlich.
Sicherheitslücken können durch Wartungsprogramme für
den Rechner ständig aufgedeckt und beseitigt
werden.
- Bei Veränderungen der IT-Infrastruktur ist stets
auch die Sicherheit mit einzubeziehen. Festgelegte
Ablaufpläne für die Inbetriebnahme neuer Soft- und
Hardware verhindern, dass Sicherheitslücken im Unternehmen
auftreten.
- Zu einer solchen Sicherheitslücke kann die
Außenverbindung werden, wenn der Zutritt von
außen in das Netzwerk, etwa durch Wireless LAN, nicht durch
elektronische Identifizierungsmaßnahmen
gesichert ist.
- IT-Sicherheit muss unternehmensweit strategisch geplant
werden. Das Bundesamt für Sicherheit in der
Informationstechnik gibt dabei Hilfestellung in einem
Grundschutzhandbuch.
- Hacker-Attacken können erhebliche Schäden für das Unternehmen anrichten. Neben Virenprogrammen und Firewalls sollten aber auch Richtlinien für das Surfen im World Wide Web festgelegt werden.
(Quelle: Hansel, Sven: Angriff + Abwehr, in: Impulse (2004),
Ausgabe 03, S. 76-77)
Sicherheits-Prüfung für
Administratoren
Seit Mai 2004 können Administratoren und
Datenschutzbeauftragte eine Prüfung zum Teletrust
Information Security Professional (TISP) ablegen.
Dabei handelt es sich um den ersten standardisierten
Bildungsnachweis, in dem deutsche und europäische
IT-Besonderheiten berücksichtigt werden. Urheber dieses
Zertifikates sind das Fraunhofer-Institut für Sichere
Informationstechnologie (SIT) und TeleTrustT
Deutschland. Expertenteams aus Wirtschaft und Forschung haben
Richtlinien und Inhalte für die Schulung zum
IT-Sicherheitsexperten erstellt. In einem einwöchigen Kurs
werden Grundlagen aus den Bereichen Netzwerksicherheit,
Kryptografie, Sicherheitsmanagement und wichtige rechtliche
Rahmenbedingungen vermittelt.
Die TISP-Prüfung soll Computer-Fachleuten
dabei helfen, ihre Qualifikation als Sicherheits-Experten
nachzuweisen und Arbeitgeber bei der Auswahl kompetenter
Mitarbeiter unterstützen. Alle weiteren Informationen
erhalten Sie hier.
(Quelle: Yahoo! Nachrichten vom 05. Mai 2004,
www.yahoo.com)
