Wirtschaftsministerium will mehr IT-Sicherheit in Deutschland

Anlässlich des Kongresses "Sicherheit von Netzen und Informationen" am 29. und 30. Januar 2002 in Berlin wird das Bundeswirtschaftsministerium die Unterstützung einer CERT-Infrastruktur für kleine und mittlere Unternehmen ankündigen, die vom Industrie-Verband BITKOM getragen wird. Noch immer fehlen bislang in kleinen und mittleren Unternehmen eigene Sicherheits- und Notfallteams nach dem Vorbild des US-amerikanischen, ursprünglich als Computer Emergency Response Teams bezeichneten CERT/CC, die diese Aufgabe wahrnehmen können. Das "CERT-Mittelstand" soll diese Lücke schließen, in dem es den Firmen Sicherheitsmaßnahmen empfiehlt, um Schäden zu vermeiden. Im Falle eines Schadens helfen sie, um einen schnellen Wiederanlauf der Systeme sicherzustellen. Ein Sponsorenkonzept wird derzeit noch erarbeitet.

Die Industrie-Initiative D21 wird einen eigenen Bericht zum "Aufbau eines vernetzten D21-CERT" vorstellen, der heise online vorab vorliegt. Demnach waren im Herbst zehn öffentliche und nicht-öffentliche CERTs in Deutschland aktiv, unter anderem der CERT Bund, DFN-CERT und CERTs von Siemens, der Telekom, der Sparkassen und von IBM. Bei Großunternehmen betreut ein CERT etwa 10.000 bis 20.000 IT-Nutzer beziehungsweise Anwendungssysteme. Diese wenigen CERTs sind jedoch personell und strukturell nicht oder nur bedingt in der Lage, eine gesellschaftliche oder wirtschaftliche CERT-Dienstleistung beispielsweise für kleine und mittlere Unternehmen anzubieten. Für Bürgerinnen und Bürger fehlt ebenfalls ein solches Angebot. Allein zwei CERTs bieten kommerzielle Dienstleistungen für Externe an. Allerdings existiert bis heute auch keine große Nachfrage für eingekaufte CERT-Dienstleistungen.

Bundesinnenminister Otto Schily will das Bundesamt für Sicherheit in der Informationstechnik (BSI) zum zentralen IT-Sicherheitsdienstleister der Bundesregierung ausbauen. Doch bislang liegt laut Bundeswirtschaftsministerium in Deutschland der Anteil der Ausgaben für die Sicherheit in der Informationstechnologie bisher bei unter einem Prozent der öffentlichen Aufwendungen. Mangelnde IT-Sicherheit ist aber nicht zwangsläufig auf ein zu knappes Budget zurückzuführen, sondern hat häufig seine Ursache im Fehlen einer expliziten Sicherheitspolitik. Während drei von vier Großunternehmen über ein schriftlich festgehaltenes Regelwerk zum Thema IT-Sicherheit verfügen, besitzen nur 27 Prozent der mittelständischen Unternehmen eine Sicherheits-Policy. In Kleinbetrieben mit weniger als 20 Mitarbeitern sinkt der Anteil auf knapp 17 Prozent.

Nach Aussage von Analysten der Gartner Group entstehen rund 90 Prozent aller Sicherheitslücken durch falsch konfigurierte oder nicht ausreichend gepatchte Software. Angriffen wie Denial-of-Service oder Datendiebstahl könnten in den meisten Fällen durch ordnungsgemäß installierte Tools ein Riegel vorgeschoben werden. Fehlender Überblick über die Sicherheitsinfrastruktur, verstreute Aktivitäten verschiedener Abteilungen oder der Verzicht auf eine regelmäßige Überprüfung der getroffenen Sicherheitsmaßnahmen verhindern ein gezieltes Vorgehen gegen Sicherheitsrisiken.

Der Kongress "Sicherheit von Netzen und Informationen" unter der Schirmherrschaft der Europäischen Kommission wird sich mit IT-Sicherheitsstrategien beschäftigen. Veranstalter sind das Bundeswirtschaftsministerium und die Berliner Firma Timekontor. In branchenorientierten Praxis-Workshops setzen sich Experten und Teilnehmer mit den Sicherheitsbelangen der Versorgungswirtschaft, des Gesundheitswesens und der Mobile Computing Security sowie für kleine und mittelständische Unternehmen auseinander. (Christiane Schulzki-Hadouti) / (jk)