Zuviel Security-Panikmache ist kontraproduktiv

«Wir haben derzeit zuviel Awareness», kritisierte RSA-Chef Art Coviello in seiner Eröffnungsrede der RSA Conference Europe in London besonders die oberflächliche und unzureichende Berichterstattung über IT-Security-Vorfälle in den Massenmedien. Zwischen dem, was täglich über die Bedrohungslage bekannt werde und dem, was tatsächlich dahinterstecke, klaffe ein sehr grosses «PR-Loch». Coviello illustrierte das mit dem Bild eines Eisbergs anschaulich: Das wenige Bekannte schwimme über der Wasseroberfläche, der grosse Rest sei unsichtbar unter Wasser. «Es ist doch angsteinflössend, dass der Oktober in den USA unter das Motto 'Security Awareness Month' gestellt wird und dann am 31. ausgerechnet mit Halloween endet», bemängelte Coviello zudem den Aktionismus und die Lippenbekenntnisse vieler Beteiligter, die meist selbst gar nicht genau wüssten, wofür sie eigentlich sensibilieren sollten. «Nichts als schlimme Bedrohungen überall» sieht auch RSA-Vorstand Tom Heiser in den täglichen Schlagzeilen. Er rief gemeinsam mit Coviello Medien, Politik und Wirtschaft dazu auf, weniger panisch zu berichten und zu reagieren. Die beiden RSA-Vorstände machten deutlich, dass sie eine sachlichere und gehaltvollere Debatte um IT-Sicherheit befürworten würden. «Wir investieren viel zu wenig in proaktive Massnahmen», erneuerte Coviello seinen Aufruf von Anfang des Jahres, als er die reaktive Herangehensweise an IT-Sicherheits-Themen kritisierte und seinen Intelligence-driven Security-Ansatz vorstellte. Vier Fünftel ihrer Security-Ausgaben steckten Unternehmen immer noch in die Bedrohungsabwehr, anstatt vorbeugend tätig zu werden. Gefragt sei heute vielmehr, sich an den eigenen spezifischen Geschäftsanforderungen zu orientieren, Risiken zu identifizieren, Sicherheitsexperten auszubilden und aktiv die Bedrohungslandschaft zu scannen, um Gefahren und eigene Schwachstellen zu erkennen, bevor diese ausgenutzt werden könnten. Lesen Sie auf der nächsten Seite: Auch Regierungen verhalten sich falsch

Kritisch hinterfragten die RSA-Vorstände die Regierungen vieler Länder, die auf Bedrohungen meist nur eine Antwort kennen würden: die Überwachung der Bürger. «Warum müssen wir eigentlich Gefahren für unsere Privatsphäre in Kauf nehmen, nur um sicherer zu werden?», fragte Coviello in die Runde. Er forderte die Konferenzeteilnehmer auf, neue Denkansätze in Politik, Wirtschaft und Medien zu tragen. Als erste Handlungsempfehlung gab er den Unternehmen auf, alle Geschäftsprozesse an möglichen Cyber-Risiken neu auszurichten: «Nutzen Sie die Gefahren für ihr Kerngeschäft - ändern Sie Ihre Geschäftsmodelle, passen sie sie den Risiken an.» Um den Kontakt mit den «Bad Guys» komme so oder so niemand mehr herum, daher sei die Akzeptanz dieser Tatsache besser früher als später anzuraten, meint Coviello. Cloud-Infrastrukturen und mobile Geräte beispielsweise könnten das Business trotz aller Risiken einen grossen Schritt weiterbringen, wenn sie richtig eingesetzt würden. Tom Heiser unterstrich, dass RSA selbstim Zuge der Cyberattacke auf das eigene Netz vor rund 19 Monaten noch einmal dazugelernt habe, gerade auch, was den Erfahrungs- und Informationsaustausch mit Wettbewerbern, Anwendern und unabhängigen Sicherheitsspezialisten angehe. Er warnte davor, sich als Unbeteiligter in der Diskussion zu sehen, nur weil bisher keine Auffälligkeiten aufgetreten sind: «Die bösen Jungs sind schon in Ihren Netzen, verringern Sie also die Zeit, in der sie Schaden anrichten können.» Damit schlug er die Brücke zur Keynote von Art Coviello, der von der «PR-Lücke» sprach, weil sowohl firmenintern als auch in noch geringerem Masse auch öffentlich die «Spitze des Eisbergs» der Bedrohungeslage bekannt sei.

Heiser appellierte an die IT-Entscheider, ihre Vorstände zu erziehen, damit diese das Thema IT-Security endlich in ihre Geschäftsprozesse aufnehmen und nicht als Problem der IT-Abteilung und als Belastung für das Budget ansähen. Sicherheit müssen erst Business-Standard werden, damit sie auch politisch und gesellschaftlich als unproblematisch angesehen werden könne. Das Ziel sei, nicht mehr soviel darüber sprechen und schreiben zu müssen, weil es nicht mehr als «Problem» identifizierbar sei. Proaktiv tätige Unternehmenseinheiten - Heiser lobte den vermehrten Um- und Aufbau vieler interner «Security Analysis Center» - könnten helfen, das Thema an die Spitze der strategischen Agenda zu setzen.