Mitarbeiter sind Schlüssel zur Kommunikationssicherheit
VDI nachrichten, Düsseldorf, 7. 11. 08, ciu – Der Anteil von Informationstechnologie in Automatisierungstechnik und Produktion steigt kontinuierlich. Im Gespräch mit den VDI nachrichten erklärt Bernhard Tillmanns, Geschäftsführer der CashKit IT-Engineering GmbH aus Neukirchen-Vluyn, warum s daher bei der IT-Sicherheit wichtig ist, ganzheitlich zu denken.
Tillmanns: Vernachlässigt werden oft die Schnittstellen. Beispiel Voice over IP – kurz: VoIP. Für eine Sprachkonferenz wird dazu eine gängige Software aus dem Internet genutzt. Unbekümmert tauscht man Firmeninterna aus. Dabei können sich Dritte problemlos einklinken. Beim Dienstleister wird nicht hinterfragt, wie Leitung oder Server abgesichert sind. Besonders problematisch sind halböffentliche Instant-Messaging-Dienste. Hier ist Sicherheit gar nicht gegeben. Es wird einfach die Technik aus dem Privaten ins Geschäftliche übertragen, was fatale Konsequenzen haben kann.
VDI nachrichten: Auch E-Mail und Chats im Internet sind beliebte Kommunikationsmittel. Wie lassen sich hier die Risiken begrenzen?
Tillmanns: Die Datenübertragung über IP-Protokolle ist besonders anfällig für Angriffe von außen. Etwa wenn die Produktion Fertigungsunterlagen mit einem externen Ingenieurbüro per E-Mail austauscht. Bei der elektronischen Übertragung muss sichergestellt sein, dass z. B. eine gesicherte Plattform – ein Virtual Private Network, kurz VPN – genutzt wird. Hier braucht es konsequente Sicherheitsrichtlinien.
VDI nachrichten: Die technischen Fragen lassen sich wohl noch lösen, aber welche Rolle spielt der Mensch?
Tillmanns: Sicherheit im Unternehmen muss ganzheitlich betrachtet werden und der Mensch steht da im Mittelpunkt. Sie müssen ihre Mitarbeiter da abholen, wo diese mit Fragen der Kommunikationssicherheit in Berührung kommen. Das betrifft den Pförtner und die Bürokraft genauso wie den leitenden Ingenieur. Wichtig sind deshalb auf das individuelle Arbeitsumfeld bezogene, maßgeschneiderte Leitfäden. Damit jeder weiß, wie er sich kommunikativ zu verhalten hat, um die Sicherheit des Unternehmens nicht zu gefährden.
VDI nachrichten: Liegt das auch daran, dass die Technologien nicht ausreichend auf die Bedürfnisse der Benutzer eingehen?
Tillmanns: Die Technik muss dem Anwender Lösungen anbieten, die er einfach bedienen kann. Will ein Mitarbeiter auf Dienstreise am Bahnhof über einen Hot-Spot ins Firmennetz, darf er mit dem Anmeldeprozedere nicht lange beschäftigt sein. Da ist es z. B. besser, dass ihm eine zentral handhabbare Lösung die gesamten Regelprozesse der Sicherheitseinstellungen abnimmt.
VDI nachrichten: Werden die Risiken der IT in Deutschland anders bewertet als im Ausland?
Tillmanns: Wir haben hierzulande einen Vorteil: Die deutschen Security-Hersteller können Verschlüsselungstechnologien ohne „Backdoor“ entwickeln und anbieten. US-amerikanische Produkte müssen diese Hintertüren haben, damit Überwachungsinstitutionen wie die NSA auf IT-Systeme zugreifen können. Das erleichtert auch Kriminellen die Spionage. Mit unseren Produkten bleibt der Kunde wirklich im Privaten. Die Sensibilität für Themen der kommunikativen Sicherheit ist in Deutschland schon recht gut ausgeprägt. Allerdings: Unternehmen machen es Spionen einfach, wenn sie bei der Wahl der Produkte diese Backdoor-Thematik nicht berücksichtigen.
VDI nachrichten: Unterscheiden sich da große von kleinen Unternehmen?
Tillmanns: Die großen Unternehmen fordern von sich aus eine allumfassende Sicherheitspolitik. Diese Kunden wollen eine individuelle Lösung für die ganze Kommunikationsstruktur. Im Mittelstand ist der Sicherheitsgedanke oft nicht ganzheitlich entwickelt, Randbereiche werden ausgegrenzt. Hier setzt man mehr auf Standardlösungen, auch aus Kostengründen und mit allen damit verbundenen Risiken.
VDI nachrichten: Handeln Unternehmen, die sich auf Standardprodukte verlassen, nach Ihrer Ansicht fahrlässig?
Tillmanns: Natürlich haben Standardprodukte ihren Stellenwert und ihre Berechtigung am Markt. Und für kleinere Betriebe mögen sie reichen. Gedanken über eine ganzheitliche Sicherheitspolitik müssen sich aber jene machen, die im industriellen Bereich Entwicklungen vorantreiben oder mit sensiblen Design- oder Personendaten umgehen. Das sind Unternehmenswerte, die vor dem Zugriff Dritter geschützt werden müssen. Das betrifft Banken, Versicherungen und Automobilhersteller, aber auch Architekten, Ingenieurbüros oder Ärzte.
VDI nachrichten: Maximale Sicherheit ist mit maximaler Flexibilität nicht unbedingt zu vereinbaren. Wo liegt der praxisgerechte Kompromiss?
Tillmanns: Das muss jedes Unternehmen für sich immer wieder neu entscheiden. Wer Flexibilität haben will, wird Kompromisse bei der Sicherheit eingehen müssen. Im Zweifel ist der Sicherheit aber die höhere Bedeutung beizumessen.
VDI nachrichten: Viele Unternehmen senden sensible Daten über VPN-Tunnel. Was gilt es hier zu beachten?
Tillmanns: Auch hier kommt es auf die individuelle Anforderung an. Je dynamischer das Unternehmen ist, desto flexibler sollte die eingesetzte Software sein. Wer Mitarbeiter im Außendienst oder wechselnde Zulieferer ins Firmennetz integrieren muss, braucht eine voll administrierbare, zentrale Security-Lösung. Dann sind auch Collective-Service-Dienste über VPN, wie eine Telefonkonferenz über VoIP, kein Problem.
VDI nachrichten: Ein Geschäftsbereich von ihnen ist das Facility Management. Welche Sicherheitslücken gibt es hier?
Tillmanns: Die Komponenten der Gebäudetechnik entwickeln sich klar in Richtung IT-Welt. Aber für viele Hersteller ist die IT-Sicherheit gar kein Thema. Wird aber unsichere Gebäudetechnik mit dem Büronetz verbunden, bietet sich Spionen und Saboteuren eine offene Flanke. Unser Ziel ist es, die Gebäude- und Industrieautomation in die ganzheitliche Security-Strategie einzubeziehen. Dazu nutzen wir vorhandene Strukturen. So lässt sich die Investition für die Vernetzung der Gebäudetechnik deutlich senken.
VDI nachrichten: Seit 2007 ist CashKit an der vom Bundesministerium für Wirtschaft und Technologie geförderten Exportinitiative „IT-Security made in Germany“ beteiligt. Was erhoffen Sie sich von der Initiative?
Tillmanns: Es ist positiv, dass das Thema IT-Security so mehr Öffentlichkeit bekommt und bekannt wird, welche Entwicklungsvorteile wir Security-Hersteller hier in Deutschland haben. Vor allem im Nahen und Mittleren Osten ist das Interesse an Security-Produkten aus Deutschland sehr groß. M. BORRÉ
Ein Beitrag von:
