© OCG

Zertifizierung

IT-Security: Nachholbedarf bei Österreichs Unternehmen

Wie fit sind Österreichs Unternehmen in Bezug auf Informations- und Datensicherheit? Schützen heimische Unternehmen ihre Ideen und ihr Know How wirklich ausreichend vor fremden Zugriffen? „Konzerne und große Unternehmen in Österreich sind sich der Bedeutung des Themas im Allgemeinen sehr gut bewusst und setzen entsprechende Maßnahmen“, sagte Ingrid Schaumüller-Bichl, Leiterin des Arbeitskreises „IT-Sicherheit“ der Österreichischen Computer Gesellschaft OCG und Professorin an der FH Hagenberg am Donnerstag im Rahmen eines Pressegesprächs der OCG in Wien.

Zertifizierung nur bei Großunternehmen

„Große Unternehmen aus der IT- und Telekommunikationsbranche, der Energiebranche, Banken und Versicherungen sowie aus dem Bereich der öffentlichen Verwaltung sind bereits ISO 27001-zertifiziert. Aber bei Klein‐ und Mittelbetrieben gibt es sicherlich noch Nachholbedarf – sowohl in der Bewusstseinsbildung für das Thema als auch in der konkreten Umsetzung“, so Schaumüller-Bichl.

Die ISO 27001-Norm wurde im Jahr 2005 erstmals publiziert und wird am 19. Oktober 2013 offiziell neu publiziert. Zertifizierte Unternehmen verfügen in der Regel über ein effektives Risikomanagement und können mit Gefahren im Bereich IT-Security wie Datendiebstahl oder Cybercrime besser umgehen als andere oder diese Gefahren großteils gar verhindern. „In Zahlen belegen lasst sich das freilich nicht“, sagt Schaumüller-Bichl.

"Es geht um das Kunden-Vertrauen"

Österreich steht aber gar nicht so schlecht da im internationalen Vergleich. Früher gab es mehr Skepsis bei den Firmen, doch das Bewusstsein steigt und das Thema Zertifizierung geht in die Breite“, erzählt die Professorin auf futurezone.at-Anfrage. Für Schaumüller-Bichl ist die ISO 27001-Zertifizierung „mehr als nur ein Papier“. Mit dem internationalen Standard werde genau festgelegt, was man im Krisenfall tun müsse. „Man kennt die Risiken, bewertet sie und weiß am Ende, was man tun muss.“ Am Ende gehe es auch um das Vertrauen, das einem Kunden als Unternehmen entgegen bringen. Durch den NSA-Überwachungsskandal sei hier das Bewusstsein in allen Branchen gestiegen.

Doch im direkten Vergleich mit Japan kann Österreich noch aufholen. Dort ist die Zahl der ISO 27001-zertifizierten Unternehmen wesentlich höher und liegt bei über 4000 (in Österreich sind es rund 45). Der IT-Experte Edward Humphrey erklärte dies folgendermaßen: „Der japanische Zugang ist hier einfach ein anderer. Dort sitzen die CEOS von Firmen bei den Security-Audits dabei. Sie nehmen die ganze Problematik sehr ernst. In Europa passiert das sehr, sehr selten, dass ein CEO an einem Audit teilnimmt. Im Gegenteil: Es ist sehr schwierig, bei einem CEO überhaupt einen Termin zu bekommen, wenn es um das Thema Sicherheit geht.“

Mobile Gefahren oft unterschätzt

Laut Humphrey werde vor allem der Bereich "Mobile" von Unternehmen oft unterschätzt. "Die eingebaute Smartness in mobile Geräte verursacht viele Probleme. Probleme, die Unternehmen erst verstehen lernen müssen." Doch gerade hier könne viel Betrug passieren.

Um Informationssicherheit im Unternehmen zu gewährleisten, muss es ein effektives Informationssicherheits-Managementsystem (ISMS) geben. Die Norm ISO 27001 beurteilt die Qualität eines solchen ISMS als international anerkannter Standard. „Ein Unternehmen, das sich aktiv um die Sicherheit von Informationen und Daten kümmert, hat am Markt einen klaren Vorteil. Eine zertifizierte Organisation kann für Kunden und Öffentlichkeit klar nachweisen, dass sie eine wirksame Policy zur Informationssicherheit implementiert hat“, ist Schaumüller-Bichl überzeugt.

Die Österreichische Computer Gesellschaft OCG bietet seit 2013 erstmals eine ISO 27001-Zertifizierung an.

Kommentare