Wir verstehen IT-Sicherheit nicht als Selbstzweck, sondern als Querschnittsfunktion in jeder Organisation, die IT-gestützt Daten verarbeitet.

Das Kompetenzteam IT-Sicherheit des IKS betrachtet das Thema IT-Sicherheit ganzheitlich in all seinen Facetten. Neben den technischen Kernanwendungsfeldern stehen menschliche, organisatorische und juristische Aspekte im Fokus.

Die Brisanz des Themas IT-Sicherheit für die Arbeitsfähigkeit und die Schutzbedürfnisse eines Unternehmens liegen auf der Hand, die Risiken werden aber vielfach unterschätzt.

Dies zeigt exemplarisch eine breitgefächerte Analyse von Web-Auftritten im Rahmen eines Forschungsprojektes (durchgeführt in Kooperation mit der FernUniversität in Hagen, Center elektronische Weiterbildung CeW): von 1161 untersuchten Web-Auftritten waren 591 nicht vollständig sicher und 98 wiesen massive Sicherheitsmängel auf!

Zu den Ursachen zählen unter anderem aber nicht ausschließlich ein mangelhaftes oder gänzlich fehlendes Patch-Management oder fehlerhafte Konfigurationen. Dies ist nicht zuletzt der Komplexität und immer schnellerer Produktzyklen, selbst von einfachen Systemen und Infrastrukturen geschuldet. Während Systeme mit einem klar definierten und übersichtlichen Funktionsumfang durch ein strukturiertes Auditing vollständig erfasst und überprüft werden können, ist für Systeme höherer Komplexitätsstufen ausführliches Testen erforderlich. Diese Erkenntnis ist im Bereich der funktionalen Softwareprüfung nicht neu und beispielsweise in der Raumfahrtindustrie schon lange anerkannt.

Nicht nur die eigentlichen Systeme und Anwendungen sind ursächlich für die Komplexität zu sehen, sondern auch der Einsatz von Standardsoftware, die in der Regel eine Vielzahl von Möglichkeiten und Funktionen anbietet, die für den gewünschten Geschäftszweck nicht erforderlich sind.