In der digitalisierten Gesellschaft ist Cyber Security die Basis für eine stabile ­Wirtschaft. Das Thema Sicherheit umfasst aber nicht nur IT-Lösungen, waren sich ExpertInnen bei einem Publikumsgespräch im März einig.

Die jüngste Attacke auf Microsoft-Exchange-Server und ein verheerender Brand in einem Rechenzentrum in Frankreich haben heuer bereits gezeigt, wie verschiedenartig Bedrohungen für IT-Systeme sein können. Bei einem Online-Publikumsgespräch am 13. März, veranstaltet von MP2 IT-Solutions und EPS Electric Power Systems, wurden aktuelle Anforderungen an die Cybersicherheit diskutiert: bei der Rechenzentrumsplanung angefangen, über Gebäudesicherheit, Security im IT-Netzwerk und am Arbeitsplatz bis zur Organisation.

Ralf Ebenig, RZ-Planung.NET
»Alle jene, die auf ihr eigenes Rechenzentrum setzen, sollten Sicherheitskonzepte schon bei der Planung einfließen lassen. Das beginnt bereits bei der Frage nach dem Standort und welche Risiken und Ereignisse einwirken können – von Naturgewalten bis hin zu menschlichen Bedrohungen. Als Orientierung und Richtlinie gilt die Rechenzentrumsnorm DIN EN 50600. Es braucht einen ganzheitlichen Ansatz zur IT-Sicherheit in jedem Unternehmen.«

Peter Reisinger, EPS Electric Power Systems
»Jedes Unternehmen sollte eine Geschäftsrisikoanalyse durchführen. Welche Folgen hätte ein IT-Ausfall für das eigene Business und welche Kosten wären damit verbunden? Auch wir betrachten Datacenter-Infrastruktur als ganzheitliches System. Viele Gewerke wie Stromversorgung, Klimatisierung und Sicherheitstechnik müssen richtig zusammenspielen, um den gewünschten Schutzlevel zu gewährleisten.«



Bild: Peter Reisinger, EPS: »Wir betrachten Rechenzentrumsinfrastruktur als ganzheitliches System über alle ­Gewerke.«

Manfred Pascher, MP2 IT-Solutions
»Es stellt sich für viele mittlerweile gar nicht mehr die Frage, ob ein Sicherheitsvorfall auftritt, sondern wann und mit welchen Folgeschäden. Neben softwareseitigen Sicherheitsmaßnahmen wie Virenschutz, Firewall, Verschlüsselung und Datensicherung gibt es viele interessante Schutzmaßnahmen, von einfach einzurichtenden DNS-Filtern bis zu ausgefeilten SIEM-Lösungen (Anm. ›Security Information and Event Management‹), die das gesamte Netzwerk auf Anomalien überwachen und rechtzeitiges Reagieren ermöglichen. Wer diese Tools richtig kombiniert, kann den größten Nutzen daraus ziehen.«

Gerlinde Macho, MP2 IT-Solutions
»Neben der physischen und technischen Sicherheit wird die Rolle des Menschen in der Praxis meist unterschätzt. Viele Fehler passieren auf der organisatorischen Ebene, beispielsweise durch unsachgemäße Anwendung oder auch, wenn Bedrohungen nicht rechtzeitig gemeldet werden. Im Notfall müssen alle wissen, was zu tun ist und an wen sie sich wenden können. Hilfreiche Tools sind interne Hotlines, Guidelines, Checklisten sowie regelmäßige Notfall-Übungen. Ich appelliere, abteilungsübergreifend zu handeln und beispielsweise die Norm für Informationssicherheit als durchgängige Richtlinie zu sehen.«

Klaus Veselko, CIS – Certification & Information Security Services
»IT-Sicherheit ist eine Frage der Unternehmenskultur. Ein guter Weg ist hier die Etablierung eines Sicherheitsbewusstseins – wichtig dafür ist auch das Commitment des obersten Managements dazu. Eine Zertifizierung nach der international anerkannten Norm ISO 27001 zur Informationssicherheit dient nicht nur dem Selbstzweck. Diese kann als Guideline und Checkliste in der unternehmerischen Praxis dienen. Ergänzend zu dieser Norm hat auch die Anwendung der Rechenzentrumsnorm EN 50600 in den letzten Jahren stetig zugenommen.«



Bild: Klaus Veselko, CIS: »Eine Zertifizierung kann auch als Guideline und Checkliste in der unternehmerischen Praxis dienen.«