CIO: Steckt Sparpotenzial in der IT-Security, oder müssen Unternehmen die Kosten akzeptieren?
Klaus Brunnstein: Unternehmen sind Produzenten von Informationen. In die Produktionsprozesse ist Sicherheit als Produktivfaktor eingebaut. Das muss ebenso für die IT-Prozesse gelten; sie veredeln Information, um Mehrwert zu erzeugen. Die Qualität der Prozesse sichert die Existenz.
Welche Rolle spielen die Anbieter?
Keine rühmliche. Es fehlen formale Ingenieurtechniken, die woanders längst gelten: Autos werden unter härtesten Bedingungen getestet, und kein Benutzer einer Maschine würde akzeptieren, für Schäden durch Fehlfunktionen selbst haften zu müssen. Auch Software ist ein industrielles Produkt; aber die Anbieter reden sich mit dem Argument heraus, die Qualität ihrer Produkte könne nicht so gerechnet werden wie bei Industrieprodukten.
Zahlt sich IT-Sicherheit aus?
Ja, etwa bei der so genannten Authentisierungsfabrik, die einige Versicherungen und Versicherungsmakler planen. Damit muss sich ein Makler nicht gegenüber jeder Versicherung ausweisen, sondern nur bei einer zentralen Instanz. Die identifiziert ihn und verbindet weiter. Der Sicherheitsstandard steigt, und es ergeben sich Skaleneffekte, weil die Ausrüstung zentral eingekauft wird.
Wie muss IT-Sicherheit im Unternehmen organisiert sein?
Ich sehe zwei Wege. Jürgen Schröder von Schering zum Beispiel sagt: Der CIO hat das Geld und entscheidet; deshalb gehört IT-Sicherheit in seine Verantwortung. Ich stimme dem zu, wenn der CIO den Schutz nicht zugunsten von Performance, Flexibilität und Finanzierbarkeit vernachlässigt. Die andere Lösung: Helmut Rhefus, IT-Sicherheitsbeauftragter bei Henkel, leitet ein weltweites Sicherheits-Panel - durch Überzeugungsarbeit.
Wie sieht Ihr Risikoszenario aus?
Ungelöst ist das Problem der Denial-of-Service-Attacken mit Erpressung: Wenn du nicht zahlst, lege ich deine Website lahm! Dagegen gibt es kein Mittel, vor allem nicht bei verteilten Angriffen aus vielen Quellen. Schuld sind die Hersteller; die Verwundbarkeit steckt im Systemkonzept.
Was können Unternehmen tun?
Sie brauchen Incident Response Teams, die flexibel auf Krisenfälle reagieren können. Das müssen Interne sein, die das Vertrauen des Vorstands genießen: Fachbereichs- und IT-Vertreter, aber auch forensische Informatiker - Experten in der Aufklärung einzelner Vorfälle.
Wer soll das bezahlen?
Ich habe nicht berechnet, wie sich das tragen kann. Die Unternehmen geben mir diese Möglichkeit nicht, weil man der Uni nicht so weit traut, ihr konkrete Daten zu liefern.