Als fünfte Dimension der IT-Sicherheit müsse der Schutz der Privatsphäre der Mitarbeiter in den Unternehmen eingeführt und zu den etablierten Faktoren Vertraulichkeit, Verbindlichkeit, Verfügbarkeit und Integrität hinzugezählt werden. Das jedenfalls betonte Hannes Lubich, Sicherheitsstratege bei Computer Associates (CA), in seinem Vortrag an der diesjährigen Swiss Infosec, die kürzlich im Zürcher Airport Conference Center über die Bühne ging. Der Einsatz von Sicherheits-Tools müsse entsprechend optimiert werden, forderte Lubich. Dass eine «sichere IT» am Ende immer mit dem letztlich unberechenbaren Faktor Mensch konfrontiert wird, verlor allerdings keiner der 21 Referenten an der dreitägigen Veranstaltung in Kloten aus den Augen.
Am ersten Tag standen Konzepte ganzheitlicher Sicherheitsbetrachtungen im Zentrum der Vorträge, die keinen Zweifel daran liessen, dass es die eine Lösung mit einem einzigen Gerät für alle Probleme schlicht nicht gibt und auch nicht geben wird. Dass nicht alles gut ist, was technisch gemacht werden kann, zeigten dann die Erfahrungsberichte am zweiten Tag. Der letzte Swiss-Infosec-Tag schliesslich fokussierte das junge Thema Social-Engineering. In den diversen Beiträgen ging es nicht nur um die Gegenüberstellung des «gläsernen» und des loyalen Mitarbeiters mit seinen Rechten. Vielmehr fragten die Spezialisten nach dem Umgang mit dem sich inzwischen sukzessive herausbildenden neuen Typ von Angreifer. Social Engineering heisst für diesen das Ausnutzen menschlicher Schwächen, um sich vertrauliche Daten erschleichen zu können.

Neben dem Risikofaktor Mensch wurde nur noch den IT-Kosten eine solche Aufmerksamkeit geschenkt. Heute verschlingt der IT-Betrieb laut Analysten von Merill Lynch 75 Prozent der IT-Kosten, noch vor 15 Jahren ging dieser Ausgabenbrocken in die Beschaffung der IT. Letztlich erklärt dieser Wandel teilweise das Phänomen, dass nichttechnische Risikofaktoren heute eine wachsende Bedeutung erfahren.