Ihr Partner für IT-Sicherheit und Datenschutz
18.02.2019 | von: eyeDsec Redaktion

Am 04.02. war die eyedsec an der Otto-Friedrich-Universität in Bamberg geladen, wo rund 120 Interessierte aus Forschung und Praxis im Rahmen der Veranstaltung „Mit sicherer IT im Wettbewerb voraus“ zusammenkamen. Neben einem Referentenbeitrag aus der aktuellen Forschung gab es auch zwei Vorträge aus der Unternehmenspraxis, einer dieser beiden von Richard Laqua, unserem Geschäftsführer.

Ziel dieser Gemeinschaftsinitiative der IHK für Oberfranken Bayreuth, der Otto-Friedrich-Universität Bamberg und der Handwerkskammer für Oberfranken ist der Brückenschlag zwischen Wissenschaft und Wirtschaft, der einem interessierten Publikum Einblicke in relevante Forschungsbereiche ermöglichen und durch den Einbezug von Unternehmern aus der freien Wirtschaft demonstrieren soll, dass eine erfolgreiche Umsetzung dieses Wissens auf allen Ebenen möglich ist. Denn wer die Notwendigkeit sicherer Infrastrukturen erkennt, kann sich nicht nur einen Wettbewerbsvorteil verschaffen, sondern auch das Vertrauen von Mitarbeitern und Kunden nachhaltig sichern.

Für mehr Zusammenarbeit zwischen Theorie und Praxis

Bernd Zeilmann, Geschäftsführer der Richter R&W Steuerungstechnik GmbH erläuterte im ersten Vortrag „IT-Sicherheit und Vernetzung im Alltag – aus der Praxis für die Praxis“ unterschiedliche IT-Lösungen der Zukunft. Ob Cloudlösungen, die Etablierung einer eigenen IT-Infrastruktur oder die Auslagerung in ein externes Rechenzentrum: die geeignete Lösung ist von unterschiedlichen Faktoren, wie Unternehmensführung- und Zielen, Firmengröße und Branche, Kundenanforderungen und interner Fachkompetenz abhängig. Der erste wichtige Schritt zur Umsetzung einer geeigneten Lösung ist die Feststellung und Dokumentation des IST-Zustandes. Denn ohne das Wissen über den Status Quo der eigenen IT-Systeme, können die richtigen Maßnahmen nur schwer ergriffen werden. Doch nicht selten fehlt es am nötigen Know How innerhalb der Unternehmen, berichtet Herr Zeilmann. Er plädiert daher für mehr gemeinsame Strukturen und nutzbare Ressourcen, wie beispielsweise eine Bayerncloud. Zusätzlich wünscht sich Herr Zeilmann mehr Zusammenarbeit zwischen Forschung und Praxis, der es zudem gelingt, die junge Generation rechtzeitig mit einzubeziehen und zu fördern.

Erfolgreich IT-Sicherheit im Unternehmen etablieren ist kein Hexenwerk

In seinem Vortrag „Strukturierte Vorgehensweise zur Etablierung der IT-Sicherheit im Unternehmen“ warf Richard Laqua, Geschäftsführer der eyeDsec GmbH und Unternehmensberater für IT-Sicherheit und Datenschutz, einen Blick auf seine eigene Arbeit. Er verfolgte dabei ein klares Ziel: den Teilnehmenden zu vermitteln, welche wenigen entscheidenden Schritte erforderlich sind, um die IT- und Informationssicherheit eines Unternehmens nachhaltig zu etablieren. Die gute Nachricht vorab lautete: dies sei gar nicht so schwer, wie oft befürchtet wird. Ein Unternehmen muss jedoch seine eigenen Ziele und Anforderungen kennen. Fordern etwa Kunden Nachweise über Sicherheitsstandards oder Zertifizierungen oder müssen Sie gesetzliche Vorgaben erfüllen? Herr Laqua betonte, wie wichtig zu Beginn eine grundsätzliche Priorisierung der eigenen Ziele ist. Bei seinen Kunden geht er, zur Erreichung des festgelegten Sicherheitsniveaus, in 3 klaren Schritten vor:
Eine IST-Aufnahme als ersten Schritt, die Durchführung einer Risikoanalyse als zweiten und die Umsetzung von notwendigen Maßnahmen als dritten Schritt. Dies erläuterte Herr Laqua zum besseren Verständnis der Teilnehmer anhand eines fiktiven Beispielprozesses. Beachtet man diese drei Schritte, gilt es nur noch die Unternehmensweite Initialisierung zu veranlassen, um auch die Mitarbeiter einzubeziehen und als letzte Maßnahme die stetige Kontrolle und Verbesserung der entwickelten Prozesse und Maßnahmen durchzuführen. Mit dieser einfachen Vorgehensweise ermutigt er seine Zuhörer, kann die Etablierung eines Informationssicherheitsmanagementsystems bereits sichergestellt werden.
Sein Fazit lautet also: erfolgreich IT-Sicherheit im Unternehmen zu etablieren ist kein Hexenwerk. Unternehmer sollten sich dabei auch nicht von umfangreichen Normen und Standards abschrecken lassen, sondern diese als nützliches Handwerkszeug wahrnehmen. Herr Laqua verwies u.a. auf den IT-Grundschutz des BSI, in welchem bereits eine Vielzahl an Hilfsmitteln angeboten werden.

eyeDsec Geschäftsführer Richard Laqua bei seinem Vortrag „Strukturierte Vorgehensweise zur Etablierung der IT-Sicherheit im Unternehmen“

Wie sich Betreiber motivieren lassen unsere Daten möglichst gut zu schützen

Herr Prof. Dr. Dominik Hermann vom Lehrstuhl für Privatsphäre und Sicherheit in Informationssystemen der Universität Bamberg befasste sich im dritten Vortrag mit der Frage, wie wir Betreiber motivieren können unsere Daten möglichst gut zu schützen. Die Wissenschaft hat dabei natürlich einen entscheidenden Vorteil: sie kann sich ausprobieren und ist unabhängig.
Zu Beginn stellte Herr Prof. Hermann die Frage, ob Datenschutz allein damit gewährleistet ist, Betreibern gesetzliche Pflichten aufzuerlegen und regelmäßige Kontrollen und Strafen zu erteilen. Er demonstrierte anhand des Webauftritts eines Hamburger Sozialhilfeanbieters die unkontrollierte Trackingproblematik, ohne ausreichendes Inkenntnissetzen der User. Aufgrund von Nachlässigkeit und fachlich schwer nachvollziehbarer Datenschutzerklärungen bleiben Benutzer weiterhin vielen Gefahren im Netz ausgesetzt. Sein Forschungsansatz ist daher ein anderer. Das Problem, so Herr Prof. Hermann, sei doch vor allem die fehlende Transparenz. Mit mehr Öffentlichkeit und Vergleichbarkeit der IT-Systeme will er Abhilfe schaffen. Wie das konkret funktioniert? Der Weg führt für Hermann ganz klar über die Empörungskultur, um mehr Sensibilisierung für das Thema zu erreichen. Er selbst spricht hier von der Strategie „privacy by disaster“. Sein Lehrstuhl entwickelte dafür das Open Source Angebot privacyscore, einen automatischen Webseiten-Scanner, der es ermöglicht, Webseiten auf Datenschutz- und Sicherheitsaspekte hin zu untersuchen und zu vergleichen. PrivacyScore will Nutzern, Aktivisten, Datenschutzbehörden und Datenschutzbeauftragten ein leicht zugängliches und flexibles Werkzeug anbieten, um das Sicherheits- und Datenschutzniveau von Websites zu bewerten. Er und sein Team untersuchen regelmäßig Internetseiten, die ihre Besucher tracken, veröffentlichen diese über PrivacyScore und informieren die Betreiber anschließend darüber. So auch die Internetseiten der größten deutschen Parteien vor und nach der Landtagswahl in Bayern 2018. Hier war die CDU laut Ergebnis Spitzenreiter im Tracking. Selbstverständlich ließ es sich das Team um Herrn Prof. Hermann nicht nehmen die Partei darüber in Kenntnis zu setzen. Mit Erfolg, denn die Tracking Rate ging im Anschluss quasi komplett zurück. Seine Methode der Sensibilisierung durch aktive und progressive Öffentlichkeit zeigt große Wirkung, so Hermann, und soll auch künftig vermehrt zum Einsatz kommen.

Im Anschluss an die Vorträge hatten alle Teilnehmenden die Möglichkeit bei einer Podiumsdiskussion mit den Referenten zu diskutieren. Moderatorin Caroline Oberleiter eröffnete die Diskussion mit der These, dass wir in Bezug auf sichere IT überhaupt nicht mehr von einem Wettbewerbsvorteil reden sollten, sondern nachweisbare Sicherheitsstandards längts ein absolutes Muss darstellen. Die staatliche Aufsicht allein reicht längst nicht mehr als Kontrollinstanz. Es braucht, da sind sich die Diskutanten einig, mehr Hilfe zur Selbsthilfe. In jedem Fall, so Zeilmann sind fehlende Standards ein extremer Wettbewerbsnachteil, da gerade Nachweise durch Zertifikate immer mehr an Bedeutung erlangen. Die Datensicherung auf deutschen Servern, mindestens aber innerhalb der EU, so Laqua, ist in Bezug auf sichere Cloudlösungen das Minimum.

Aber wer setzt eigentlich die Sicherheitsstandards, lautet eine Frage aus dem Publikum. Die Aufgabe der Wissenschaft ist es beispielsweise standardisierte Prozesse regelmäßig zu hinterfragen und innovative Alternativen zu entwickeln. Woran es dann oft noch scheitert sind das Einbeziehen und der nötige Wissenstransfer in die Wirtschaft und die breite Öffentlichkeit. Wir müssen folglich, so das Fazit der Veranstaltung, mehr miteinander reden – der Austausch zwischen Wissenschaft und Praxis in der Informationssicherheit muss in Zukunft mehr in den Vordergrund rücken. Ein erster Schritt in die richtige Richtung sind natürlich Gelegenheiten, wie die Tandem Reihe Wissenschaft und Praxis, eine für uns sehr gewinnbringende Abendveranstaltung, bei der auch nach der Podiumsdiskussion noch angeregte Gespräche geführt wurden und Netzwerke ausgebaut.

Die eyedsec bedankt sich bei den Organisatoren für die gelungene Veranstaltung. Besonderer Dank geht an Frau Dr. Henriette Neef (Dezernat Forschungsförderung & Transfer), Dr. Dominik P. Erhard (stellvertretender Leiter Bereich Innovation & Unternehmensförderung
IHK Bayreuth, Frau Caroline Oberleiter (Leitung Referat Marketing, IHK Bayreuth) und dem Fotografen (www.ochsenfoto.de für die IHK für Oberfranken Bayreuth).