Teil 2 der Inforeihe Schutz vor Datenspionage
Frankfurt, 18.09.2014 – Annähernd 20 IT-Experten informierten sich auf Initiative der proRZ Rechenzentrumsbau GmbH im DE-CIX Meeting-Center Frankfurt über wirksame Schutzmechanismen vor Wirtschaftsspionage.
Die Veranstaltung am 18. September bildete nach dem Auftakt im Berliner eco Hauptstadtbüro am 17. Juni diesen Jahres den Abschluss der 2-teiligen Inforeihe.
„Wie kann ich mich vor Angriffen aus dem Netz oder dem direkten Umfeld meines Rechenzentrums schützen?“
Mit dieser zentralen Fragestellung eröffnete Markus Schäfer, proRZ, in seiner Anmoderation die Infoveranstaltung.
Wie lassen sich elektronische Infrastrukturen in Zeiten von Prism & Co. wirksam und sicher abschirmen?
Herbert Magstl, Spezialist für elektromagnetische Raumabschirmung bei der EMshield GmbH, ging zu Beginn seines Vortrages auf die wichtigsten Problemfälle ein. Neben den klassischen Gefährdungen wie Wasser, Feuer, Gas, Explosion und Einbruch zeigte er die weitreichende Gefahren auf, die durch Elektromagnetischen Pulse (EMP) entstehen können.
Mit dem DCS Data Center Shielding-Konzept zeigte er Lösungen auf, die eine elektromagnetische Abschirmung von 60-120 dB in Serverräumen erreichen können.
Welchen Gefahren ist die Industrie durch Wirtschaftsspionage ausgesetzt?
Michael Delhaes, Bundesamt für Verfassungsschutz, gab den Teilnehmern einen anschaulichen Überblick auf die Spionageabwehr und den deutschen Wirtschaftsschutz.
Welchen Gefahren ist der IT-Mittelstand ausgesetzt? – Die deutsche Wirtschaft zeichne sich immer noch durch ihren Ideenreichtum, Innovation, Spitzentechnologie, schnelle Umsetzung in marktfähige Produkte sowie Wissens- und Zeitvorsprung aus, so Delhaes.
Vielen klein- und mittelständischen Unternehmen seien diese Assets jedoch nicht ausreichend bewusst.
Bei der Informationsgewinnung unterschied der vorrangig die Bereich OSINT (Open Sources Intelligence; Informationen aus öffentlich zugänglichen Quellen) und HUMINT (Human Intelligence; Informationsgewinnung durch Innentäter).
Wie sehen Cyber Security Strategien und RZ-Sicherheitsmaßnahmen bezogen auf die aktuelle Bedrohungslage aus?
Marco Rechenberg, Paulus & Rechenberg, gab den teilnehmenden IT-Experten nach der Networking-Pause einen detaillierten Überblick auf Sicherheits-Aspekte im Cloud-Umfeld.
Schnell, flexibel, einfach, sicher und günstig – mit diesen Merkmalen werden cloudbasierte IT-Dienstleistungen in der Regel charakterisiert, so Rechenberg.
Hier plädierte er für mehr Awareness in diesen Bereichen.
Generell sei ein Dienstleister kritisch zu hinterfragen sowie Provider-Verträge im Blick auf Laufzeiten, Dokumentations-Pflichten, Datenschutz-, Urheber-, Straf- und Steuerrecht, sowie viele andere Bereiche mehr zu überprüfen.
Wie kann ich mich best möglichst vor physikalischen Risiken und elektronischen Attacken schützen?
Markus Schäfer, proRZ, zeigte aktuelle Trends & Entwicklungen bezogen auf den physikalischen IT-Betrieb auf.
Über 80% aller IT-Manager tolerierten keine Ausfallzeiten länger als 3 Stunden/Jahr. Gerade für den gehobenen Mittelstand sei deshalb die Funktionssicherheit übergeordnetes Ziel, so Schäfer.
Legten IT-Leiter bis zum Jahr 2005 Ihren Fokus im wesentlichen auf die technische, logische und physikalische Sicherheit, so stünden heute eine zertifizierte Sicherheit, die Skalierbarkeit bei Klima, Strom und Fläche, ein räumlich getrenntes Backup, ein hoher Grad von Energie-Effizienz, sowie ein höheres Umweltbewusstsein im Mittelpunkt der Betrachtung.
Unter dem Motto: „Security fitness – schlank organisieren“ schloss Robert Hellwig, mikado AG, die Informations-Nachmittag ab.
In seinem Vortrag „Zertifizierte Sicherheit: ISO 27000er Serie – warum zertifizierte Sicherheit so wichtig ist und Wege zur Zertifizierung“ gab Hellwig einen Überblick auf Gesetze und Verordnungen im Bezug auf Informationssicherheit wie z.B. ITIL, ISO 27001, COBIT, BSI-Standards und IT-Grundschutz.
In der sich anschliessenden Fragerunde mit den Teilnehmern konnten weitere Punkte im Bezug auf eine Sicherheits-Zertifizierung im Dialog erläutert werden.
So würden sich z.B. die eigentlichen Hürden einer 27001-Zertifizierung nach Meinung einiger Teilnehmern eher bei der Nachfolge-Zertifizierung ergeben, wenn das Unternehmen die Umsetzung der im Erstaudit dokumentierten Maßnahmen nachweisen muss.
Kritisch seien auch eher die Kosten für die Umsetzung von Sicherheits-Maßnahmen, weniger für deren Überprüfung durch einen Auditor.
Weitere Fotos finden Sie in unserem Flickr-Archiv.
