IT-Security als Managementaufgabe

Es gibt kaum einen Unternehmensprozess, der heutzutage nicht durch IT-Lösungen unterstützt wird. Der Einsatz von IT macht Unternehmen entlang der gesamten Wertschöpfungskette effizienter – vom Einkauf über die Produktion bis zum Verkauf oder die Erbringung von Dienstleistungen. IT bietet auch viele Möglichkeiten für die Entwicklung neuer Geschäftsmodelle. All das gilt natürlich auch für die öffentliche Verwaltung und für die Betreiber von Energie- oder Verkehrsinfrastrukturen. Unsere Welt ist zunehmend vernetzt und mit der Vernetzung gewinnt auch die Sicherheit der dafür verwendeten Systeme an Bedeutung – sowohl auf technischer wie auch auf rechtlicher Ebene.

Es muss nicht immer Cyberkriminalität sein

Um die Bedeutung von IT-Security deutlich zu machen, werden zumeist sehr drastische Beispiele herangezogen. So etwa der Computerwurm Stuxnet, der das iranische Atomprogramm rund um das Jahr 2010 empfindlich gestört hat. In der Tat ist es heutzutage bedeutend einfacher, ein Land durch gezielte Angriffe auf die IT von Infrastrukturunternehmen lahmzulegen als durch einen Militärschlag. Das große Blackout ist die extremste Auswirkung von gezielten Angriffen auf IT-Systeme. Dabei sind die bislang festgestellten Auswirkungen schon dramatisch genug: Laut einer Studie des unabhängigen Center for Strategic and International Studies (CSIS) beträgt der Schaden, den Cyberkriminalität anrichtet, weltweit jährlich etwa 445 Milliarden Dollar (rund 330 Mrd. Euro). Der Schutz der eigenen Daten vor unberechtigten Zugriffen ist schon alleine aus diesen Gründen eine bedeutende Aufgabe geworden. Der Schutz vor Cyberkriminalität ist allerdings nicht der einzige Aspekt, den man dabei bedenken muss. Ein anderer Aspekt klingt weniger dramatisch: Die Geschäftsführer von Unternehmen sind persönlich haftbar für Schäden, die aus Mängeln bei der IT-Sicherheit entstehen.

Gesamtbetrachtung notwendig

Bei IT-Systemen sind derzeit zwei Entwicklungen zu beobachten: Einerseits werden immer mehr Geräte – Smartphones, Tablets oder andere Geräte, die Daten über Sensoren erfassen – in Netzwerke eingebunden. Andererseits werden Datenhaltung und die Rechenleistung immer öfter in die Cloud verlagert. Beides resultiert in höherer Komplexität für das Management von Security. Je mehr externe Geräte auf IT-Systeme zugreifen, desto mehr Angriffspunkte bieten sie. Je sensiblere Daten in die Cloud verlagert werden, desto mehr muss man sich Gedanken darüber machen, ob diese dort technisch und auch aus rechtlicher Sicht gut aufgehoben sind. Security ist längst zur Querschnittsmaterie geworden, mit der sich nicht nur IT-Abteilungen beschäftigen.

Datenhaltung in Österreich

In Österreich gelten vergleichsweise strenge Regeln für den Datenschutz. Wer die unbestreitbaren Vorteile von Cloud-Lösungen nutzen will und dabei auf entsprechende Rechtssicherheit Wert legt, wird darauf bestehen, dass die Daten im Land gehalten werden. Kapsch betreibt in einem Stollensystem, das 320 Meter in die steirischen Berge reicht, eines der sichersten Rechenzentren Europas. In diesem earthDATAsafe werden sowohl Cloud Services für Unternehmen betrieben als auch Plattformen, die für die Steuerung von Energie- und Verkehrsinfrastrukturen verwendet werden. Die dort eingeführten Sicherheitsmaßnahmen entsprechen den höchsten technischen, organisatorischen und rechtlichen Standards, die von Infrastrukturbetreibern genauso gefordert werden wie von Unternehmen.