Podium-Antworten von Andreas Toggwyler, KPMG
Welches sind die grössten Fehler, die in Zusammenhang mit IT-Security gemacht werden?
Eine zu enge Risikobetrachtung führt zu Sicherheitslösungen, die oft rein technischer Natur sind und den Faktor Mensch zu wenig berücksichtigen. In vielen Fällen wird auch die Hauptverantwortung für dieses Thema dem CIO und dem IT-Sicherheitsbeauftragten zugeordnet. Deren Einflussbereiche und Budgets sind in den meisten Fällen aber nicht ausreichend, um ein angemessenes Kontrollsystem im Bereich der Informationssicherheit zu konzipieren und umzusetzen. Insbesondere werden Themen wie Schutz von vertraulichen Daten bei Dritten (z. B. Dienstleister), adäquate Kontrolle von vertraulichen Daten in den Geschäftsprozessen, Sensibilisierung der Mitarbeiter, Umgang mit rechtlichen und regulatorischen Vorschriften nur ungenügend abgedeckt.
Wovor muss ein modernes IT-Sicherheitskonzept im Unternehmen heutzutage schützen? Über welche Bedrohungen von innen / von aussen muss man nachdenken?
Ein angemessenes Sicherheitskonzept sollte in der Lage sein, vertrauliche und geheime Daten vor unberechtigtem Zugriff, Transfer, aber auch vor Verlust von Daten zu schützen. Da die meisten Geschäftsmodelle einen Umgang mit vertraulichen Daten erfordern, müssen Unternehmungen technisch-organisatorische Lösungen implementieren, die ein optimales Gleichgewicht zwischen Schutz von Daten und effizienter Geschäftsführung ermöglichen. Unsere Erfahrung zeigt, dass viele Unternehmen einen starken Fokus auf den Perimeterschutz (d. h. Schutz vor externen Attacken wie Hacker, Viren, Trojaner) zur Bekämpfung externer Risiken legen, dabei die internen Risiken aber vernachlässigen. Schutzmechanismen müssen beide Risiken abdecken.
Welche Sicherheitsüberlegungen sind für den Umgang mit IT für den privaten Gebrauch zu Hause anzustellen?
Grundsätzlich gelten die Überlegungen im geschäftlichen Umfeld auch zu Hause, wenn auch die Komplexität um einiges niedriger sein dürfte als in einem Betrieb. Standardvorkehrungen wie Virenschutz, Firewall (auf Endsystem und Router/Gateway), aber auch ein Back-up sollten überall implementiert sein. Ein gesundes Mass an Misstrauen und Vorsicht beim Umgang mit E-Mails, Internetseiten und beim Ausführen von Applikationen, die aus dem Internet stammen, ist sicherlich auch hilfreich. Ebenfalls sehr wichtig sind konsequente und zeitnahe möglichst automatisierte Updates der installierten Software.
Was sind denkbare zukünftige Bedrohungsszenarien in der IT, über die heute schon nachgedacht werden muss?
Die Bedrohungsszenarien sind bereits heute sehr vielfältig. Externe Risiken wie Hackerattacken hängen stark vom Unternehmensprofil und vom Wert der Daten, auf die möglicherweise zugegriffen werden kann. Wenn auch nicht von allen Wirtschaftssektoren so wahrgenommen, sind Bedrohungsszenarien aus dem Bereich des organisierten Verbrechens Realität. Ebenso von Staaten gesteuerte Angriffe auf Kommunikationsinfrastrukturen. Die Wirtschaftsspionage per IT wird aus meiner Sicht noch stark zunehmen. Diese kann entweder von aussen, aber auch von innerhalb eines Unternehmens beispielsweise mittels «Social Engineering» erfolgen und darauf abzielen, Daten zu stehlen, zu verändern oder zu zerstören.
Welches sind in Bezug auf die Sicherheit die Herausforderungen an die IT-Infrastruktur?
Sicherheitsanforderungen an die IT-Infrastruktur werden in den Bereichen Verfügbarkeit, Integrität und Vertraulichkeit gestellt. Mit einem nahezu immer beschränkten Budget müssen die IT-Leiter Prioritäten setzen können, um alle drei Ziele in einem vernünftigen Gleichgewicht umzusetzen. Dabei ist es unumgänglich, den Bedarf aus der Unternehmensperspektive einzuschätzen, bevor technische Lösungen umgesetzt werden. Eine optimale Sicherheit zu erreichen bei sich verändernden Risiken und Geschäftsbedürfnissen, ist für viele IT-Leiter eine grosse Herausforderung.
Wie muss sich der Channel aufstellen, um im IT-Security-Business Geld verdienen zu können?
Eine holistische Betrachtung ist für eine qualitativ gute Beratung unumgänglich. Nur wer organisatorische, technische, regulatorische und auch psychologische Elemente verbinden kann, hat eine Chance, Kunden angemessen zu beraten. Auf der rein technischen Seite gibt es eine Reihe von Nischenanbietern mit sehr fokussierten Lösungen und Produkten, die in der Umsetzung eines Sicherheitskonzepts eine tragende Rolle spielen können.
Wie sind die Zukunftsaussichten in diesem Markt?
Mit dem wachsenden Wert von Informationen und Daten und der immer weiter gehenden Vernetzung der Geschäftsmodelle wachsen auch die Abhängigkeiten und Risiken der Unternehmungen. Ich gehe davon aus, dass der Markt weiter wachsen wird und der Bedarf nach kompetenter Beratung in den kommenden Monate und Jahre anhalten wird.
Ransomwaregruppe Clop nimmt Logitech ins Visier
Elovade erweitert Portfolio um Human-Risk-Management-Plattform
"Wir orchestrieren die besten Hacker – menschlich wie maschinell "
Was Mitarbeitende der SBB am IT-Arbeitsplatz erwarten
IT-Recycling: Warum es sich lohnt und wie es funktioniert
Eine weitere Folge von "So erkennen Sie KI-Mogeleien"
Var Group übernimmt Mehrheit an Tessiner 4IT Solutions
Helltec Engineering und Dualstack bündeln Kräfte
Update: Pocketbook startet Verkauf von E-Paper-Kunstdisplays
