In welchen Bereichen im Unternehmen ist die Vertraulichkeit von Daten besonders gefährdet? Mit dieser Frage beschäftigte sich die Tagung „ISO/IEC 27001“ der Österreichischen Computer Gesellschaft OCG Ende September in Wien.

Risiken besonders ausgesetzt sind Daten und Informationen laut der "KPMG eCrime Studie 2013", wenn sie auf mobilen Datenträgern gespeichert werden (68%), gefolgt von mobiler Kommunikation wie zum Beispiel über Smartphones (65%), dienstlichen E‐Mails (49%) und Informationsaustausch in Sozialen Netzwerken (43%). „Bring Your Own Device“, wenn also Mitarbeiter eigene, ins Unternehmen mitgebrachte Laptops und Ähnliches nutzen, halten nur 21% der Unternehmen für problematisch. Bei der zitierten Studie, die Georg Beham von KMPG im Rahmen seines Vortrags präsentierte, wurden Unternehmen in
Deutschland, Österreich und der Schweiz befragt, rund 100 davon in Österreich.

„Die europäische Wirtschaft kümmert sich nicht so sehr um Informationssicherheit, wie es notwendig wäre“, resümiert Beham, der auch Lead Auditor für ISO/IEC 27001 bei der Österreichischen Computer Gesellschaft OCG ist. Die Norm ISO/IEC 27001 beurteilt, wie gut Informationssicherheit im Unternehmen gemanagt wird. Die Österreichische Computer Gesellschaft OCG bietet nun erstmals eine ISO/IEC 27001‐Zertifizierung an. „Die ISO/IEC 27001‐Zertifizierung hilft, das Thema Informationssicherheit in die Unternehmen hineinzutragen“, betonte auch OCG-Vorstandsmitglied und IT-Sicherheits‐Expertin Ingrid Schaumüller‐Bichl, Professorin an der FH OÖ, Campus Hagenberg, im Rahmen der Tagung: „Denn Sicherheit ist kein Produkt, und auch kein Projekt. Sicherheit ist ein Prozess.“

Oft wenig Bekenntnis zu Informationssicherheit
Bei der Tagung, bei der auch der international renommierte Informationssicherheits‐Experte Edward Humphreys, Markus Klemen von SBA Research und Wolfgang Prentner von ZT Prentner IT sprachen, wurden daher die wesentlichen Probleme im Zusammenhang mit Informationssicherheit in den Unternehmen diskutiert: „Das fehlende Bekenntnis des Top‐Managements ist ein großes Problem. Es gibt oft eine gute Policy, wie die Mitarbeiter sich verhalten sollten, um Informations‐ und Datensicherheit zu gewährleisten. Diese Mitarbeiter sollten aber auch wissen, wie wichtig das ist – und deshalb ist das Commitment des Top‐Managements ganz entscheidend“, so OCG‐Lead Auditor Georg Beham.

Ein weiterer häufiger Fehler der Betriebe: „Es fehlen oft Vereinbarungen mit Drittfirmen und externen Dienstleistern. Wenn die Reinigungsfirma ihre Mitarbeiter nicht zu denselben Standards verpflichtet, entsteht eine Sicherheitslücke“, illustriert Beham das Problem.

Ein Unternehmen, das in Hinblick auf Informationssicherheit vorbildliche Arbeit geleistet hat, wurde bei der OCG‐Tagung daher auch vor den Vorhang geholt: Dem Welser Unternehmen ITandTEL Business IT‐Lösungen wurde das Zertifikat für die ISO/IEC 27001‐Rezertifizierung vom OCG-Zertifizierungsteam übergeben. Bei der OCG‐Tagung zu den Themen Informationssicherheit und ISO/IEC 27001, die in Wien stattfand, nahmen rund 80 Führungskräfte und Experten der heimischen IT‐Branche teil.