IT-Sicherheit vs. Usability

Nie war es für Unternehmen und Behörden so schwierig, ihre IT zu schützen. Das wurde am  Roundtable «Secure-for-the-future» einmal mehr deutlich. finden. Wie kommt es zu einem Angriff auf Infrastruktur, Kundendaten oder Firmengeheimnisse? Und welche Abwehrmethoden überstehen eine Kosten-Nutzen-Analyse? «Computerworld» hat Schweizer CxOs zum offenen Austausch an den «Secure-for-the-future»-Roundtable eingeladen. Zusammen mit Amnon Bar-Lev, Prsident von IT-Spezialist Check Point, diskutierten diese aktuelle Themen rund um ihre IT-Sicherheit.

Bar-Lev erklärte, dass Check Point eine massive Zunahme an Zero-Day-Attacken und unbekannter Malware beobachte. Dies deute auf gut organisierte Angreifer, die ihre Ziele mittels Kosten-Nutzen-Analyse auswählen und danach passende «Weapons of Attack» auffahren. Genau wie ein legaler Wettbewerber versuchen Cyberkriminelle so, ihre Innovation zu Geld zu machen. «Hacker sind vergleichbar mit Unternehmen, sie wollen Produkte verkaufen.» Eine komplette Risikoeliminierung sei unmöglich, eine sinnvolle Minimierung der Angriffsfläche hingegen schon, sagte Bar-Lev. Dies würden private und staatliche Stellen heute vor allem mit Sandboxing, Netzwerk-Segmentierung und einer sicheren Zugangskontrolle erreichen. Die Kunden von Check Point gaben dafür im letzten Jahr vier bis sechs Prozent ihres IT-Budgets aus.

«Kaufe keine Computer», scherzte Bar-Lev, «und wenn doch, schliesse ihn nicht ans Internet an». Die anwesenden IT-Berufskollegen waren mit ihm einig, dass komplette Sicherheit unmöglich zu erreichen ist. «Dieses Spiel lässt sich nicht gewinnen», so Bruno Schwager, Group CIO der Ammann Group. Ähnlich sah es Florian Büchting, CIO von Weidmann Infra AG, der wie Schwager mit dem Internet der Dinge konfrontiert wird. Die zunehmende Mobilität und Vernetzung von Dingen, Angestellten und Daten würde Cyberkriminellen immer neue Möglichkeiten bringen. Damit Sicherheit und Usability ausgewogen sind, ist für Jan Küpfer, Head Governance, Risk & Compliance bei Swiss Life, eine stetige und passende Risikoanalyse zentral. Jan Halvorsroed, CIO bei KPMG, meinte dazu: «Wir müssen eine Balance zwischen Sicherheit und Funktionalität finden.»  Es trotz aller Sicherheitsbedenken nicht zu übertreiben, mahnte Marc Henauer von Melani: «Man muss auch mal sagen, dass die Sicherheit hoch genug ist.» Mit diesem Schlusswort schienen alle Teilnehmer zufrieden gewesen zu sein. Beim anschliessenden Mittagessen wurde trotzdem angeregt weiter diskutiert. Die Themen werden den CXOs so schnell nicht ausgehen.