IT-Sicherheit in NRW - Horst Görtz Institut für IT-Sicherheit - Ruhr ...
IT-Sicherheit in NRW - Horst Görtz Institut für IT-Sicherheit - Ruhr ...
IT-Sicherheit in NRW - Horst Görtz Institut für IT-Sicherheit - Ruhr ...
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
<strong>IT</strong>-<strong>Sicherheit</strong> <strong>in</strong> <strong>NRW</strong><br />
verantwortlich:<br />
Dr. Philipp Klempt<br />
<strong>Institut</strong> <strong>für</strong> <strong>Sicherheit</strong> im E-Bus<strong>in</strong>ess<br />
Prof. Dr.-Ing. Christof Paar<br />
<strong>Horst</strong>-<strong>Görtz</strong> <strong>Institut</strong> <strong>für</strong> <strong>IT</strong>-<strong>Sicherheit</strong><br />
HGI Technical Report 4/2007
Autoren<br />
An der Erstellung des vorliegenden Berichtes zur <strong>IT</strong>-<strong>Sicherheit</strong> <strong>in</strong> <strong>NRW</strong> haben neben<br />
den Verantwortlichen Dr. Philipp Klempt und Prof. Dr.-Ing. Christof Paar die<br />
nachfolgenden Personen mitgewirkt:<br />
• Dipl.-Ök. Klaus Rüdiger<br />
• Dr. Christoph Wegener<br />
• Dr. Christopher Wolf<br />
• Pia Düsenberg<br />
• Ralf L<strong>in</strong>dert
Inhaltsverzeichnis .................................................................................. I<br />
Abbildungsverzeichnis...............................................................................................III<br />
Tabellenverzeichnis...................................................................................................III<br />
Abkürzungsverzeichnis............................................................................................. IV<br />
1 E<strong>in</strong>leitung ..........................................................................................................1<br />
1.1 Problemstellung und Ziele des Berichts .....................................................1<br />
1.2 Gang der Untersuchung .............................................................................2<br />
2 Grundlagen zur <strong>IT</strong>-<strong>Sicherheit</strong> ..........................................................................3<br />
2.1 Def<strong>in</strong>ition u. Systematisierung des <strong>Sicherheit</strong>sbegriffs ...............................3<br />
2.2 Schutzziele von Informationssystemen ......................................................5<br />
2.3 <strong>IT</strong>-<strong>Sicherheit</strong> als Pflichtfach der Unternehmensführung gemäß KonTraG .7<br />
2.4 <strong>IT</strong>-<strong>Sicherheit</strong>slage <strong>in</strong> Deutschland..............................................................9<br />
2.4.1 <strong>IT</strong>-<strong>Sicherheit</strong>slage im privaten Umfeld...............................................9<br />
2.4.2 <strong>IT</strong>-<strong>Sicherheit</strong>slage im Unternehmensbereich...................................11<br />
3 Hochschul- und Forschungse<strong>in</strong>richtungen .................................................14<br />
3.1 Übersicht der identifizierten E<strong>in</strong>richtungen ...............................................14<br />
3.2 Hochschul- und Forschungse<strong>in</strong>richtungen <strong>in</strong> <strong>NRW</strong> ..................................16<br />
3.2.1 Übersicht der E<strong>in</strong>richtungen...........................................................16<br />
3.2.2 <strong>Horst</strong> <strong>Görtz</strong> <strong>Institut</strong> <strong>für</strong> <strong>IT</strong>-<strong>Sicherheit</strong> ..............................................17<br />
4 Markt <strong>für</strong> <strong>IT</strong>-<strong>Sicherheit</strong>sleistungen................................................................20<br />
4.1 Ausgaben <strong>für</strong> <strong>IT</strong>-<strong>Sicherheit</strong>sleistungen.....................................................20<br />
4.2 Anbieter von <strong>IT</strong>-<strong>Sicherheit</strong>sleistungen <strong>in</strong> <strong>NRW</strong>.........................................23<br />
4.2.1 Übersicht der Anbieter von <strong>IT</strong>-<strong>Sicherheit</strong>sleistungen .....................23<br />
4.2.2 Hersteller von <strong>IT</strong>-<strong>Sicherheit</strong>shardware...........................................26<br />
4.2.3 Hersteller von <strong>IT</strong>-<strong>Sicherheit</strong>ssoftware ............................................27<br />
4.2.4 Anbieter von <strong>IT</strong>-<strong>Sicherheit</strong>sdienstleistungen..................................28<br />
4.3 <strong>IT</strong>-<strong>Sicherheit</strong> als Wettbewerbsfaktor...........................................................29<br />
4.3.1 Gesundheitswesen ........................................................................29<br />
4.3.2 Bankensektor.................................................................................31<br />
4.3.3 Automobilsektor .............................................................................34<br />
I
5 <strong>Institut</strong>ionen aus dem <strong>IT</strong>-<strong>Sicherheit</strong>sbereich ...............................................39<br />
5.1 Übersicht der identifizierten <strong>Institut</strong>ionen..................................................39<br />
5.2 <strong>Institut</strong>ionen mit Sitz <strong>in</strong> <strong>NRW</strong> ....................................................................41<br />
5.2.1 Bundesamt <strong>für</strong> <strong>Sicherheit</strong> <strong>in</strong> der Informationstechnik.....................41<br />
5.2.2 Europäisches Kompetenzzentrum <strong>für</strong> <strong>IT</strong>-<strong>Sicherheit</strong>.......................41<br />
5.2.3 Industrie und Handelskammer .......................................................43<br />
5.2.4 Networker <strong>NRW</strong> e.V. .....................................................................43<br />
5.2.5 Landes<strong>in</strong>itiative secure-it.nrw.........................................................44<br />
5.3 <strong>Institut</strong>ionen mit Sitz außerhalb von <strong>NRW</strong> (und bundesweiten Aktivitäten) 46<br />
5.3.1 Bundesverband Informationswirtschaft, Telekommunikation ........46<br />
und neue Medien e.V.<br />
5.3.2 Deutschland sicher im Netz e.V.....................................................47<br />
5.3.3 Darmstädter Zentrum <strong>für</strong> <strong>IT</strong>-<strong>Sicherheit</strong> ..........................................47<br />
5.3.4 Initiative D21 e.V............................................................................49<br />
5.3.5 Nationale Initiative <strong>für</strong> Informations- und Internet-<strong>Sicherheit</strong> e.V. ..49<br />
5.3.6 Teletrust Deutschland e.V..............................................................50<br />
6 Fazit und Zusammenfassung .............................................................................51<br />
Literaturverzeichnis ..................................................................................................54<br />
Anhang 1: Hochschulen und Forschungse<strong>in</strong>richtungen ...........................................59<br />
Anhang 2: Anbieter von <strong>IT</strong>-<strong>Sicherheit</strong>sleistungen.....................................................72<br />
II
Abbildungsverzeichnis<br />
Abb. 2.1: Zusammenhang von Safety, Security und Computer Security<br />
Abb. 2.2: E<strong>in</strong>satz von Virenscanner und Firewall bei Privatnutzern<br />
Abb. 2.3: Entwicklung des gesamten <strong>IT</strong>-Budgets im Vergleich zum Budget von<br />
2006<br />
Abb. 2.4: Anteil der jährlichen <strong>IT</strong>-<strong>Sicherheit</strong>sausgaben am gesamten <strong>IT</strong>-Budget<br />
Abb. 3.1: Verteilung der Hochschul- und Forschungse<strong>in</strong>richtungen<br />
Abb. 3.2: Standorte der Universitäten, Fachhochschulen und Forschungs<strong>in</strong>stitute<br />
Abb. 3.3: <strong>IT</strong>-<strong>Sicherheit</strong>sforschung <strong>in</strong> <strong>NRW</strong><br />
Abb. 3.4: Aufbau des HGI<br />
Abb. 4.1: Die Top-Geschäftsbereiche nach Schulnoten <strong>in</strong> den kommenden Jahren<br />
Abb. 4.2: Weltweite Ausgaben <strong>für</strong> <strong>IT</strong>-<strong>Sicherheit</strong> <strong>in</strong> Milliarden Euro, 2002-2007<br />
Abb. 4.3: Deutsche Ausgaben <strong>für</strong> <strong>IT</strong>-<strong>Sicherheit</strong>sleistungen<br />
Abb. 4.4: Markt <strong>für</strong> <strong>IT</strong>-<strong>Sicherheit</strong>sleistungen <strong>in</strong> <strong>NRW</strong><br />
Abb. 4.5: Anzahl Städte mit M<strong>in</strong>destanzahl an Unternehmen<br />
Abb. 4.6: Städte mit m<strong>in</strong>destens 5 <strong>IT</strong>-<strong>Sicherheit</strong>sunternehmen<br />
Abb. 4.7: Regionale Verteilung der <strong>IT</strong>-<strong>Sicherheit</strong>sunternehmen<br />
Abb. 4.8: Überblick <strong>IT</strong>-<strong>Sicherheit</strong>shardware<br />
Abb. 4.9: Überblick <strong>IT</strong>-<strong>Sicherheit</strong>ssoftware<br />
Abb. 4.10: Überblick <strong>IT</strong>-<strong>Sicherheit</strong>sdienstleistungen<br />
Abb. 4.11: <strong>IT</strong> Ausgaben im Gesundheitswesen 2006 – 2008<br />
Abb. 4.12: <strong>IT</strong> Ausgaben im Bankensektor 2006 – 2008<br />
Abb. 4.13 <strong>IT</strong> Ausgaben <strong>in</strong> der Automobilbranche 2006 – 2008.<br />
Abb. 5.1: Übersicht und Lage der identifizierten <strong>Institut</strong>ionen.<br />
Abb. 5.2: Aufbau von eurobits e.V.<br />
Tabellenverzeichnis<br />
Tab. 5.1: <strong>Institut</strong>ionen mit <strong>IT</strong>-<strong>Sicherheit</strong>saktivitäten<br />
III
Abkürzungsverzeichnis<br />
B2B Bus<strong>in</strong>ess to Bus<strong>in</strong>ess<br />
B2C Bus<strong>in</strong>ess to Consumer<br />
B2G Bus<strong>in</strong>ess to Government<br />
B2E Bus<strong>in</strong>ess to Employee<br />
BIP Brutto<strong>in</strong>landsprodukt<br />
B<strong>IT</strong>KOM Bundesverband Informationswirtschaft, Telekommunikation und<br />
neue Medien e.V.<br />
BSI Bundesamt <strong>für</strong> <strong>Sicherheit</strong> <strong>in</strong> der Informationstechnik<br />
BT-Dr.s Bundestag-Drucksache<br />
CRM Customer Relationship Management<br />
DZI Darmstädter Zentrum <strong>für</strong> <strong>IT</strong>-<strong>Sicherheit</strong><br />
EAI Enterprise Application Integration<br />
EDI Electronic Data Interchange<br />
ERP Enterprise Ressource Plann<strong>in</strong>g<br />
HGI <strong>Horst</strong> <strong>Görtz</strong> <strong>Institut</strong> <strong>für</strong> <strong>IT</strong>-<strong>Sicherheit</strong><br />
IHK Industrie- und Handelskammer<br />
IIE <strong>Institut</strong>e for Information Economics<br />
ISEB <strong>Institut</strong> <strong>für</strong> <strong>Sicherheit</strong> im E-Bus<strong>in</strong>ess<br />
<strong>IT</strong> Informationstechnik<br />
IuK Informations- und Kommunikationstechnik<br />
IFIS <strong>Institut</strong> <strong>für</strong> Internet-<strong>Sicherheit</strong><br />
NIFIS Nationale Initiative <strong>für</strong> Internetsicherheit<br />
NoE Network of Excellence<br />
<strong>NRW</strong> Nordrhe<strong>in</strong>-Westfalen<br />
RFID Radio Frequency Identification<br />
SOX Sarbanes Oxley Act<br />
IV
1 E<strong>in</strong>leitung<br />
1.1 Problemstellung und Ziele des Berichts<br />
Die rasante Entwicklung der Informations- und Kommunikationstechniken, auf der<br />
der Wandel zur Informationsgesellschaft fußt, hat zu e<strong>in</strong>em bedeutenden<br />
Innovations- und Wachstumsschub <strong>in</strong>nerhalb der Wirtschaft und der öffentlichen<br />
Verwaltung geführt. So erwirtschaftete die <strong>IT</strong>-Branche nach Angaben des<br />
Bundesverbandes B<strong>IT</strong>KOM im Jahre 2005 mit fast 75 Milliarden Euro die höchste<br />
Wertschöpfung aller klassischen Industriezweige. Die Ausschöpfung der Potentiale,<br />
die der Wandel zur Informationsgesellschaft eröffnet, schien anfänglich alle<strong>in</strong> durch<br />
den technischen Fortschritt im Bereich der Informations- und Kommunikationstechniken<br />
bestimmt zu werden (z. B. durch höhere Übertragungsraten bei Internetund<br />
Mobilfunkkommunikation (Stichwort: Breitband), gestiegene Leistungsfähigkeit<br />
von Prozessoren und Speichermedien oder RFID-Tags mit verbesserten<br />
Funktionalitäten). Mittlerweile rückt aber zunehmend e<strong>in</strong> weiterer Aspekt <strong>in</strong> der<br />
Blickw<strong>in</strong>kel: die <strong>IT</strong>-<strong>Sicherheit</strong>. Mit der zunehmenden Verbreitung von Informationsund<br />
Kommunikationstechniken haben natürlich auch die Abhängigkeiten und Risiken<br />
durch ihren E<strong>in</strong>satz zugenommen. <strong>IT</strong>-<strong>Sicherheit</strong>srisiken gefährden und<br />
bee<strong>in</strong>trächtigen dabei nicht nur bereits bestehende Anwendungen, sondern sie<br />
verh<strong>in</strong>dern auch, dass sich Innovationen und darauf basierende Geschäftsmodelle<br />
und neuartige Leistungsangebote nachhaltig durchsetzen können. Das Ausmaß der<br />
Wohlfahrtseffekte, die durch den Wandel zur Informationsgesellschaft erzielt werden<br />
können, wird folglich maßgeblich durch das Know-how im Bereich der <strong>IT</strong>-<strong>Sicherheit</strong><br />
mitbestimmt und <strong>IT</strong>-<strong>Sicherheit</strong> ist somit zu e<strong>in</strong>em bedeutsamen Standortfaktor<br />
geworden – auf nationaler, aber auch auf regionaler Ebene. Darüber h<strong>in</strong>aus erzielt<br />
der Bereich <strong>IT</strong>-<strong>Sicherheit</strong> aber auch <strong>in</strong>direkt Wohlfahrtseffekte, die vor allem aus dem<br />
Schutz von sensiblen Informationen <strong>in</strong> Unternehmen und öffentlichen <strong>Institut</strong>ionen,<br />
dem Schutz kritischer Infrastrukturen, dem Aufbau von Vertrauen bei Transaktionen<br />
über elektronische Netze und auch durch die Verh<strong>in</strong>derung von Krim<strong>in</strong>alität<br />
resultieren.<br />
Die Analyse verfolgt die zwei Hauptziele, (1) die nordrhe<strong>in</strong>-westfälische <strong>IT</strong>-<strong>Sicherheit</strong>slandschaft<br />
darzustellen, um darauf aufbauend (2) die Bedeutung und möglichen<br />
Entwicklungsperspektiven des Bereichs <strong>IT</strong>-<strong>Sicherheit</strong> <strong>in</strong> <strong>NRW</strong> zu ermitteln.<br />
Ergänzend sollen erste konkrete Vorschläge benannt werden, die die <strong>IT</strong>-<br />
<strong>Sicherheit</strong>slandschaft <strong>in</strong> <strong>NRW</strong> stärken und weiter ausbauen könnten.<br />
1
1.2 Gang der Untersuchung<br />
Im zweiten Kapitel erfolgt zunächst e<strong>in</strong>e Abgrenzung zentraler Begriffe aus dem<br />
Themenbereich der <strong>IT</strong>-<strong>Sicherheit</strong>. Im Anschluss wird die <strong>IT</strong>-<strong>Sicherheit</strong>slage <strong>in</strong><br />
Deutschland anhand verschiedener Studien und Statistiken dargestellt, um die<br />
Aktualität und Entwicklungsperspektiven des <strong>IT</strong>-<strong>Sicherheit</strong>ssektors zu verdeutlichen.<br />
Im dritten Kapitel wird untersucht, welche Forschungse<strong>in</strong>richtungen sich bundesweit<br />
und speziell <strong>in</strong> <strong>NRW</strong> mit Fragestellungen der <strong>IT</strong>-<strong>Sicherheit</strong> befassen und wor<strong>in</strong> die<br />
e<strong>in</strong>zelnen Forschungsschwerpunkte liegen. Darüber h<strong>in</strong>aus werden potentiell<br />
vorhandene Forschungsnetzwerke und Kooperationen mit der Wirtschaft aufgezeigt.<br />
Das vierte Kapitel widmet sich zunächst den Unternehmen, die sich orig<strong>in</strong>är mit <strong>IT</strong>-<br />
<strong>Sicherheit</strong> beschäftigen. Es wird analysiert, welche Unternehmen <strong>in</strong> <strong>NRW</strong> <strong>IT</strong>-<br />
<strong>Sicherheit</strong>ssoftware und/oder <strong>IT</strong>-<strong>Sicherheit</strong>shardware herstellen bzw. <strong>IT</strong>-<br />
<strong>Sicherheit</strong>sdienstleistungen anbieten. Zudem wird untersucht, wie sich die regionale<br />
Verteilung der Unternehmen darstellt und ob lokale Konzentrationen von<br />
Unternehmen erkennbar s<strong>in</strong>d. Außerdem werden im Rahmen dieses Kapitels mit der<br />
Automobilbranche, dem Bankensektor und dem Gesundheitswesen verschiedene<br />
Branchen beleuchtet, <strong>für</strong> die <strong>IT</strong>-<strong>Sicherheit</strong> e<strong>in</strong>e enabl<strong>in</strong>g technology darstellt.<br />
Im fünften Kapitel wird analysiert, welche Behörden, Verbände, E<strong>in</strong>richtungen etc.<br />
sich bundesweit, regional und speziell <strong>in</strong> <strong>NRW</strong> mit dem Themenfeld der <strong>IT</strong>-<strong>Sicherheit</strong><br />
befassen. Neben der Darstellung der verfolgten Ziele und der entfalteten Aktivitäten<br />
wird untersucht, <strong>in</strong>wieweit die <strong>Institut</strong>ionen mit Unternehmen und<br />
Forschungse<strong>in</strong>richtungen kooperieren bzw. vernetzt s<strong>in</strong>d.<br />
Im abschließenden sechsten Kapitel werden die gewonnenen Erkenntnisse<br />
zusammengefasst und konkrete Vorschläge gemacht, wie die <strong>IT</strong>-<br />
<strong>Sicherheit</strong>slandschaft <strong>in</strong> <strong>NRW</strong> weiter gestärkt und ausgebaut werden kann.<br />
Zur Erhebung der aufgeführten Informationen und Statistiken wurde im Rahmen<br />
dieses Berichtes auf existierende empirische Untersuchungen, Fachliteratur,<br />
Internetquellen sowie auf persönliche Kontakte zurückgegriffen. Zusätzlich wurden<br />
im Untersuchungszeitraum stattf<strong>in</strong>dende Messen und Fachtagungen besucht, um<br />
den direkten Kontakt zu e<strong>in</strong>er Vielzahl von Akteuren herstellen zu können. Durch<br />
Expertengespräche wurden die erhobenen Informationen ergänzt und validiert.<br />
2
2 Grundlagen zur <strong>IT</strong>-<strong>Sicherheit</strong><br />
2.1 Def<strong>in</strong>ition und Systematisierung des <strong>Sicherheit</strong>sbegriffs<br />
In der Literatur f<strong>in</strong>den sich verschiedene Ansätze, den Bereich der<br />
Informationstechnik (<strong>IT</strong>) e<strong>in</strong>zugrenzen. Nach dem Errichtungsgesetz des<br />
Bundesamtes <strong>für</strong> <strong>Sicherheit</strong> <strong>in</strong> der Informationstechnik (BSI) umfasst <strong>IT</strong> alle<br />
technischen Mittel, die der Verarbeitung oder Übertragung von Informationen dienen.<br />
Zur Verarbeitung von Informationen zählt die Erhebung, Erfassung, Nutzung,<br />
Speicherung, Übermittlung, programmgesteuerte Weiterverarbeitung, <strong>in</strong>terne<br />
Darstellung sowie die Ausgabe. 1<br />
Die Begriffe Informationen und Daten werden <strong>in</strong> der <strong>IT</strong> häufig synonym gebraucht,<br />
obgleich sie grundsätzlich verschiedene Bedeutungen haben. Daten s<strong>in</strong>d Zeichen,<br />
die zum Zweck der Verarbeitung zusammengefasst s<strong>in</strong>d und aufgrund bekannter<br />
oder unterstellter Abmachungen zu Informationen werden. 2 In der <strong>IT</strong> wird der Begriff<br />
Information dann <strong>für</strong> Daten verwendet, wenn diesen bestimmte Attribute wie z.B. e<strong>in</strong><br />
Autor oder e<strong>in</strong> Zeitpunkt der Erstellung zugeordnet werden können. 3<br />
Bislang existiert weder e<strong>in</strong>e deutsche noch e<strong>in</strong>e <strong>in</strong>ternationale Norm, die<br />
grundlegende wesentliche Begriffe aus dem Bereich der <strong>Sicherheit</strong> der<br />
Informationsverarbeitung def<strong>in</strong>iert. 4 In der deutschen Literatur wird der Begriff<br />
<strong>Sicherheit</strong> <strong>in</strong> Bezug auf Daten, Informationen, Informationstechnik,<br />
Informationsverarbeitung, Informations- und Kommunikationstechnik (IuK)<br />
une<strong>in</strong>heitlich gebraucht. So existieren unterschiedliche Spezialisierungen des<br />
Begriffs <strong>Sicherheit</strong>, z.B. <strong>in</strong> Form von Informationssicherheit, IuK-<strong>Sicherheit</strong>,<br />
Datensicherheit, <strong>IT</strong>-<strong>Sicherheit</strong> oder auch <strong>Sicherheit</strong> <strong>in</strong> der Informationstechnik. 5<br />
Hierbei werden die Begriffe häufig synonym verwendet, so dass e<strong>in</strong>e klare Trennung<br />
nicht möglich ersche<strong>in</strong>t. 6 Klasen/Rosenbaum verstehen beispielsweise unter<br />
<strong>IT</strong>-<strong>Sicherheit</strong> den Schutz gegen absichtliche Angriffe, durch die verarbeitete<br />
Informationswerte bedroht s<strong>in</strong>d. 7 Das BSI def<strong>in</strong>iert <strong>IT</strong>-<strong>Sicherheit</strong> als den Zustand<br />
e<strong>in</strong>es <strong>IT</strong>-Systems, <strong>in</strong> dem sich die Risiken, die beim E<strong>in</strong>satz dieses Systems<br />
aufgrund von Gefährdungen vorhanden s<strong>in</strong>d, durch angemessene Maßnahmen auf<br />
1<br />
Vgl. BSI (2005d), S. 41.<br />
2<br />
Vgl. Hoppe/Prieß (2003), S. 18.<br />
3<br />
Vgl. BSI (2006a), S. 8.<br />
4<br />
Vgl. Pohl (2004), S. 678.<br />
5<br />
Vgl. Hoppe/Prieß (2003), S. 22.<br />
6<br />
Vgl. BSI (2005a), S. 8.<br />
7<br />
Vgl. Klasen/Rosenbaum (1996), S. 16.<br />
3
e<strong>in</strong> tragbares Maß beschränken lassen. 8 Begründet durch die Wortlänge der oben<br />
aufgeführten Spezialisierungen des <strong>Sicherheit</strong>sbegriffs haben sich die jeweiligen<br />
Abkürzungen e<strong>in</strong>gebürgert, so dass <strong>in</strong> der deutschen Literatur vorwiegend von <strong>IT</strong>-<br />
<strong>Sicherheit</strong> gesprochen wird. Da <strong>in</strong> nahezu allen Lebensbereichen e<strong>in</strong>e Verarbeitung<br />
von Informationen stattf<strong>in</strong>det, ist es nicht mehr zeitgemäß zu unterscheiden, ob<br />
Informationen mit Informationstechnik, Kommunikationstechnik oder bspw. auf<br />
Papier verarbeitet werden. Die Verwendung des Begriffes Informationssicherheit<br />
anstelle von <strong>IT</strong>-<strong>Sicherheit</strong> wäre aus diesem Grund umfassender und nachvollziehbarer,<br />
wenn es um den Schutz von Informationen geht, unabhängig davon, <strong>in</strong><br />
welcher Form sie verarbeitet oder gespeichert s<strong>in</strong>d. 9 Da aber <strong>in</strong> der Literatur immer<br />
noch überwiegend der Begriff <strong>IT</strong>-<strong>Sicherheit</strong> Verwendung f<strong>in</strong>det, wird er auch im<br />
Rahmen dieses Berichtes weiterh<strong>in</strong> benutzt, wobei der Schutz der Vertraulichkeit,<br />
der Integrität und der Verfügbarkeit die Grundlage <strong>für</strong> die <strong>Sicherheit</strong> darstellen. 10<br />
In der <strong>in</strong>ternationalen Literatur f<strong>in</strong>det e<strong>in</strong>e Unterscheidung zwischen security und<br />
safety statt. Safety beschreibt den Zustand e<strong>in</strong>es Systems, <strong>in</strong> dem Maßnahmen zum<br />
Schutz vor Schäden wirksam s<strong>in</strong>d. Safety ist e<strong>in</strong> übergreifender Begriff, der die<br />
Umwelt be<strong>in</strong>haltet und als Schutz der Rechnerumgebung vor unerwünschtem<br />
Verhalten des Rechners (Output) verstanden werden kann. Security h<strong>in</strong>gegen<br />
bezeichnet den Zustand e<strong>in</strong>es <strong>IT</strong>-Systems, <strong>in</strong> dem Maßnahmen zu dessen Schutz<br />
wirksam s<strong>in</strong>d, d.h. security bezeichnet den Schutz des Rechners vor unerwünschtem<br />
Verhalten der Rechnerumgebung (Input). 11<br />
Die folgende Abbildung stellt die Zusammenhänge und Auswirkungen der<br />
<strong>IT</strong>-Systeme über die <strong>in</strong>formationsverarbeitenden Systeme auf die Umwelt und<br />
umgekehrt dar.<br />
8 Vgl. BSI (2005d), S. 42.<br />
9 Vgl. BSI (2005a), S. 8.<br />
10 Auch das BSI verwendet <strong>in</strong> den BSI Standards und <strong>IT</strong>-Grundschutzkatalogen weiterh<strong>in</strong> den<br />
Begriff <strong>IT</strong>-<strong>Sicherheit</strong>, unter anderem deshalb, weil der Begriff kürzer ist als<br />
Informationssicherheit, vgl. BSI (2005a), S.8.<br />
11 Vgl. Pohl (2004), S. 678f.<br />
4
Safety<br />
Security<br />
Informationssicherheit<br />
Computer Security<br />
<strong>IT</strong>-<strong>Sicherheit</strong><br />
Umwelt<br />
Abb. 2.1: Zusammenhang von Safety, Security und Computer Security<br />
Quelle: <strong>in</strong> Anlehnung an Pohl (2004), S. 679.<br />
2.2 Schutzziele von Informationssystemen<br />
Obwohl <strong>in</strong> der Literatur bislang ke<strong>in</strong>e allgeme<strong>in</strong> anerkannte Def<strong>in</strong>ition von<br />
<strong>IT</strong>-<strong>Sicherheit</strong> existiert, besteht jedoch E<strong>in</strong>igkeit über die wichtigsten Schutzziele von<br />
Informations- und Kommunikationssystemen. Diese s<strong>in</strong>d: 12<br />
• Vertraulichkeit: Informationen werden vor unberechtigter Kenntnisnahme<br />
geschützt. Das System muss so aufgebaut se<strong>in</strong>, dass e<strong>in</strong> Zugriff nur <strong>für</strong><br />
befugte Personen oder Dienste möglich ist.<br />
• Integrität: Informationen, Systeme und Netze können nicht unbemerkt<br />
verändert werden. Das System muss so beschaffen se<strong>in</strong>, dass e<strong>in</strong>e<br />
Veränderung offensichtlich wird. Die Sicherstellung der Integrität be<strong>in</strong>haltet die<br />
Komponenten Übere<strong>in</strong>stimmung, Genauigkeit, Korrektheit und Vollständigkeit.<br />
• Verfügbarkeit: Informationen, Systeme und Netze müssen verfügbar se<strong>in</strong>.<br />
Das System muss bei e<strong>in</strong>em Zugriff <strong>in</strong> e<strong>in</strong>em def<strong>in</strong>ierten Zeitraum antworten<br />
bzw. bestimmte Aktionen ausführen. Zum Schutzziel der Verfügbarkeit werden<br />
die Komponenten Fehlertoleranz, Zuverlässigkeit, Robustheit und<br />
Wiederherstellbarkeit gezählt.<br />
Neben diesen drei Schutzzielen gibt es <strong>in</strong> der Literatur e<strong>in</strong>e Vielzahl weiterer Begriffe<br />
zur Charakterisierung von Zielsetzungen im Zusammenhang mit der sicheren<br />
Gestaltung von <strong>IT</strong>-Systemen. Exemplarisch seien hier folgende genannt: 13<br />
12<br />
Vgl. z.B. BSI (2005d), S. 41ff.; B<strong>IT</strong>KOM (2003), S.14; Klasen/Rosenbaum (1996), S. 17.;<br />
<strong>Görtz</strong>/Stolp (1999), S. 35ff.<br />
13<br />
Vgl. z.B. Pohl (2004), S. 680ff.; B<strong>IT</strong>KOM (2003), S.15; Klasen/Rosenbaum (1996), S. 17.<br />
5
• Verb<strong>in</strong>dlichkeit: Die Nachweisbarkeit des Sendens und Empfangens von<br />
Informationen <strong>in</strong> Verb<strong>in</strong>dung mit dem Identitätsnachweis des<br />
Kommunikationspartners schafft e<strong>in</strong>e Verb<strong>in</strong>dlichkeit von Informationen, die<br />
z.B. <strong>für</strong> elektronische Vertragsabschlüsse erforderlich ist. Die Verb<strong>in</strong>dlichkeit<br />
be<strong>in</strong>haltet die Authentizität und die Beherrschbarkeit. 14<br />
• Authentizität: Die Echtheit der Identität von Kommunikationspartnern und<br />
deren Informationen ist nachgewiesen. Es muss beweisbar se<strong>in</strong>, dass<br />
Informationen von der angegebenen Quelle stammen und die Identität korrekt<br />
ist.<br />
• Zurechenbarkeit: Aktionen und Informationen können e<strong>in</strong>er auslösenden<br />
Instanz (Person oder System) zugerechnet werden. Die Zurechenbarkeit folgt<br />
mitunter aus der Authentizität.<br />
• Rechtssicherheit und Revisionsfähigkeit: Alle <strong>für</strong> den Rechtsverkehr <strong>in</strong><br />
Systemen und Netzen verwendeten Informationen und Vorgänge gegenüber<br />
Dritten s<strong>in</strong>d nachweisbar.<br />
Andere Autoren bezeichnen die oben genannten Schutzziele auch als<br />
<strong>Sicherheit</strong>saspekte, Schutzbedürfnisse, Grundwerte oder Bedrohungsklassen. 15 Die<br />
aufgeführten Schutzziele zeigen, dass <strong>IT</strong>-<strong>Sicherheit</strong> nicht nur technische, sondern<br />
auch juristische, organisatorische und nicht zuletzt personelle Aspekte umfasst. 16<br />
14 In verschiedenen Publikationen wird das Schutzziel Verb<strong>in</strong>dlichkeit neben den drei<br />
erstgenannten Schutzzielen als vierte Säule anerkannt, vgl. z.B. Konrad (1998), S. 14 oder Pohl<br />
(2004), S. 680. E<strong>in</strong>e detaillierte Beschreibung der aufgeführten Komponenten liefert Pohl<br />
(2004), S. 679ff.<br />
15 Vgl. Hoppe/Prieß (2003), S. 24.<br />
16 Vgl. B<strong>IT</strong>KOM (2003), S. 15.<br />
6
2.3 <strong>IT</strong>-<strong>Sicherheit</strong> als Pflichtfach der Unternehmensführung gemäß KonTraG<br />
E<strong>in</strong>e Reihe spektakulärer Unternehmenskrisen 17 und prom<strong>in</strong>enter Betrugsfälle haben<br />
zu massiver Kritik am Risikomanagement deutscher Unternehmen geführt. Nach<br />
Auffassung des Gesetzgebers wurden diese Krisen <strong>in</strong>sbesondere durch fehlendes<br />
Risikobewusstse<strong>in</strong> und nicht ausreichende Kontroll- und Informationsmechanismen<br />
<strong>in</strong> den Unternehmen herbeigeführt. 18 Der Gesetzgeber reagierte auf diese<br />
Entwicklung mit dem Gesetz zur Kontrolle und Transparenz im<br />
Unternehmensbereich, das am 6. März 1998 vom Deutschen Bundestag<br />
verabschiedet wurde und am 1. Mai 1998 <strong>in</strong> Kraft trat. 19<br />
Das KonTraG ist ke<strong>in</strong> selbständiges Gesetz, sondern e<strong>in</strong> Artikelgesetz, das<br />
verschiedene Gesetze ändert, ergänzt und präzisiert. Das KonTraG enthält nicht nur<br />
Festlegungen <strong>für</strong> alle börsennotierten Aktiengesellschaften, sondern auch <strong>für</strong> alle<br />
Kapitalgesellschaften bzw. Unternehmen, die den Vorschriften <strong>für</strong><br />
Kapitalgesellschaften unterliegen, und Gesellschaften, die e<strong>in</strong>en Aufsichtsrat haben.<br />
Obwohl die Verpflichtung des Vorstandes zur E<strong>in</strong>richtung e<strong>in</strong>es<br />
Überwachungssystems zur Risikofrüherkennung nur im Aktiengesetz geregelt ist, hat<br />
das KonTraG auch Ausstrahlungswirkung auf den Pflichtenrahmen der<br />
Geschäftsleitung anderer Gesellschaftsformen, wie der entsprechenden<br />
Regierungsbegründung entnommen werden kann. Demnach soll <strong>für</strong> GmbHs je nach<br />
Größe, Komplexität und Struktur auch ohne entsprechende Neuregelung im GmbH-<br />
Gesetz nichts anderes gelten. 20<br />
Konkret werden die Vorstände durch § 91 Abs. 2 AktG verpflichtet, „geeignete<br />
Maßnahmen zu treffen, <strong>in</strong>sbesondere e<strong>in</strong> Überwachungssystem e<strong>in</strong>zurichten, damit<br />
den Fortbestand der Gesellschaft gefährdende Entwicklungen frühzeitig erkannt<br />
werden“. 21 Des Weiteren fordert der Gesetzgeber im Rahmen des KonTraG die<br />
E<strong>in</strong>führung e<strong>in</strong>es Risikomanagementsystems, das sich im Wesentlichen aus drei<br />
Subsystemen zusammensetzt: e<strong>in</strong>em Früherkennungssystem, e<strong>in</strong>em<br />
Controll<strong>in</strong>gsystem und e<strong>in</strong>em <strong>in</strong>ternen Überwachungssystem, wobei weder der<br />
Gesetzestext noch die Gesetzesbegründung Auskunft über die konkrete<br />
17 Spektakuläre Unternehmenszusammenbrüche waren bspw. die Konkurse der Balsam AG,<br />
COOP AG, Südmilch AG, Metallgesellschaft und der Schneider-Gruppe, vgl. Picot (2001), S. 5.<br />
18 Vgl. Kajüter (2004), S. 12ff.; Schöne (2003), S. 91.<br />
19 Vgl. BGBI. I (1998), S. 786ff.<br />
20 Vgl. BT-Drs. 13/9712, S. 15; von Hohnhorst (2002), S. 91ff..<br />
21 Vgl. § 91 Abs. 2 AktG<br />
7
Ausgestaltung der Systeme gibt. Die genaue Ausgestaltung richtet sich vielmehr<br />
nach den <strong>in</strong>dividuellen Eigenschaften und konkreten Erfordernissen des betreffenden<br />
Unternehmens. 22<br />
Gemäß KonTraG müssen <strong>in</strong> e<strong>in</strong>em Risikomanagementsystem sämtliche Risiken<br />
vollständig erfasst und bewertet werden. 23 Hierunter fallen <strong>in</strong>sbesondere die <strong>IT</strong>-<br />
Risiken, da diese den Fortbestand der Gesellschaft ernsthaft gefährden können. So<br />
haben e<strong>in</strong>er amerikanischen Studie zufolge 68 % aller Unternehmen <strong>in</strong> den USA, die<br />
e<strong>in</strong>en <strong>IT</strong>-Ausfall von mehr als sieben Tagen zu beklagen hatten, den Betrieb nie<br />
wieder aufnehmen können. 24 Angesichts dieser Zahlen ist es umso erstaunlicher,<br />
dass <strong>in</strong> den Unternehmen massive Defizite bei der Wahrnehmung und Kontrolle der<br />
<strong>IT</strong>-Risiken bestehen wie bspw. die /Microsoft-<strong>Sicherheit</strong>sstudie 2006 belegt. 25<br />
Dabei liegt es auch im Eigen<strong>in</strong>teresse der <strong>IT</strong>-Verantwortlichen <strong>für</strong> e<strong>in</strong> angemessenes<br />
<strong>IT</strong>-<strong>Sicherheit</strong>sniveau zu sorgen, da mit dem Inkrafttreten des KonTraG strafrechtlich<br />
relevante Verstöße im Aufgabenkreis e<strong>in</strong>es <strong>IT</strong>-Verantwortlichen neben der Haftung<br />
mit dem Privatvermögen auch e<strong>in</strong>e Haftstrafe nach sich ziehen können. 26<br />
Oftmals ist den <strong>IT</strong>-Verantwortlichen jedoch nicht bewusst, wie weit ihre persönliche<br />
Haftung tatsächlich geht. So haben 52 % der befragten <strong>IT</strong>-Entscheider im Rahmen<br />
der /Microsoft <strong>Sicherheit</strong>sstudie 2004 angegeben, dass ihnen die Inhalte des<br />
KonTraG bekannt seien aber nur 35 %, dass dieses Gesetz <strong>für</strong> ihren<br />
Aufgabenbereich relevant ist. Bei der <strong>Sicherheit</strong>sstudie von 2006 waren es immerh<strong>in</strong><br />
schon 70 % bzw. 54 % der Befragten. 27<br />
Um den Anforderungen des KonTraG zu genügen und die Gefahr der persönlichen<br />
Haftung auszuschließen, ist es <strong>für</strong> die <strong>IT</strong>-Verantwortlichen unumgänglich, sich mit<br />
der Gesetzeslage zu befassen, bei Defiziten im eigenen Zuständigkeitsbereich die<br />
Vorgesetzten zu <strong>in</strong>formieren und bezüglich erforderlicher Gegenmaßnahmen<br />
umfassend zu beraten. 28<br />
22<br />
Vgl. Romeike (2003c), S. 79; Schöne (2003), S. 93.<br />
23<br />
Vgl. Schäffter (2002), S. 10ff.<br />
24<br />
Vgl. Công Bùi (2005), S. 12.<br />
25<br />
Vgl. /Microsoft (2006a), S. 24ff.<br />
26<br />
Vgl. Schäffter (2002), S. 10ff.<br />
27<br />
Vgl. /Microsoft (2004b), S. 6ff.; /Microsoft (2006b), S. 40ff.<br />
28 Vgl. Schäffter (2002), S. 13.<br />
8
2.4 <strong>IT</strong>-<strong>Sicherheit</strong>slage <strong>in</strong> Deutschland<br />
Der schnelle Austausch von Informationen über e<strong>in</strong>e wachsende Zahl von<br />
Übertragungswegen, die Kommunikation mit dem Handy oder das mobile Arbeiten<br />
mit dem Laptop s<strong>in</strong>d im täglichen Leben zu e<strong>in</strong>er Selbstverständlichkeit geworden.<br />
Für Unternehmen ist die Gestaltung moderner Arbeits- und Geschäftsprozesse heute<br />
ohne <strong>IT</strong>-Unterstützung nicht mehr realisier- und vorstellbar.<br />
Durch die Verbreitung des Internets und den daraus resultierenden Möglichkeiten<br />
des Informationsaustausches s<strong>in</strong>d <strong>in</strong> den Bereichen B2C, B2B, B2G und B2E neue<br />
Geschäftsmodelle entstanden, wie sie vor wenigen Jahren noch unvorstellbar<br />
gewesen wären. 29 Mit der wachsenden Abhängigkeit der Unternehmen von<br />
Informationssystemen gew<strong>in</strong>nt die <strong>Sicherheit</strong> dieser Systeme zunehmend an<br />
Bedeutung. Somit stellen Schwachstellen bezüglich der Stabilität und Zuverlässigkeit<br />
von Informationssystemen e<strong>in</strong>en Risikofaktor dar, der <strong>für</strong> Unternehmen unter<br />
Umständen existenzbedrohend se<strong>in</strong> kann. Im Folgenden wird auf verschiedene<br />
Studien e<strong>in</strong>gegangen, die e<strong>in</strong>en E<strong>in</strong>druck über die Präsenz des Themas <strong>IT</strong>-<br />
<strong>Sicherheit</strong> bei Privatnutzern und <strong>in</strong> Unternehmen vermitteln.<br />
2.4.1 <strong>IT</strong>-<strong>Sicherheit</strong>slage im privaten Umfeld<br />
Nach e<strong>in</strong>er repräsentativen Umfrage des BSI von 2004 zur <strong>IT</strong>-<strong>Sicherheit</strong> <strong>in</strong> der<br />
deutschen Bevölkerung verfügte die Hälfte der Internetnutzer über gute bis sehr gute<br />
<strong>IT</strong>-Fachkenntnisse. Neun von zehn Internetnutzern war damals bekannt, dass durch<br />
die Verb<strong>in</strong>dung mit dem Internet der eigene Computer von Fremden missbraucht<br />
werden kann und 70 % der Nutzer war bewusst, dass die Absenderadressen von E-<br />
Mails gefälscht se<strong>in</strong> können. Lediglich 10 % gaben an, wenige bis gar ke<strong>in</strong>e<br />
<strong>IT</strong>-Fachkenntnisse zu besitzen. 30 Angesichts dieses verme<strong>in</strong>tlich positiven<br />
Umfrageergebnisses ist es umso erstaunlicher, dass <strong>IT</strong>-<strong>Sicherheit</strong> <strong>in</strong> der Praxis e<strong>in</strong>e<br />
untergeordnete Rolle spielt. Während bei der Befragung 2004 e<strong>in</strong> knappes Viertel<br />
29 B2C steht <strong>für</strong> Bus<strong>in</strong>ess to Consumer und bezeichnet das Geschäftsverhältnis zwischen e<strong>in</strong>em<br />
Unternehmen und e<strong>in</strong>em Endkunden. B2B (Bus<strong>in</strong>ess to Bus<strong>in</strong>ess) beschreibt den Handel<br />
zwischen Unternehmen, B2G (Bus<strong>in</strong>ess to Government) beschreibt die<br />
Informationsbereitstellung, Abwicklung von Verwaltungsvorgängen etc. über elektronische<br />
Medien. B2E (Bus<strong>in</strong>ess to Employee) steht <strong>für</strong> den Informationsaustausch über<br />
Mitarbeiterportale etc., vgl. Romeike (2004a), S. 335.<br />
30 Vgl. BSI (2005e). Der Schutz des Betriebssystems und der Anwendungen wird ebenfalls<br />
vernachlässigt. Nur e<strong>in</strong> Drittel der Befragten führte regelmäßige Updates durch und 80 % der<br />
Nutzer aktualisierten die Virensoftware nur e<strong>in</strong>mal im Monat, vgl. BSI (2005f), S. 11f.<br />
9
der Nutzer auf den E<strong>in</strong>satz von Virenschutzprogrammen verzichtete und nur 46 %<br />
der Befragten e<strong>in</strong>e Firewall e<strong>in</strong>setzte und regelmäßige Datensicherungen<br />
durchführte, verzichteten 2006 immerh<strong>in</strong> noch 10 % der Befragten auf den E<strong>in</strong>satz<br />
e<strong>in</strong>es Virenscanners und 48% auf den E<strong>in</strong>satz e<strong>in</strong>er Firewall wie die folgende<br />
Abbildung veranschaulicht.<br />
100<br />
80<br />
60<br />
40<br />
20<br />
76 %<br />
+ 14 %<br />
90 %<br />
+ 6 %<br />
46 %<br />
52 %<br />
2004 2006 2004 2006<br />
E<strong>in</strong>satz Virenscanner E<strong>in</strong>satz Personal Firewall<br />
Abb. 2.2: E<strong>in</strong>satz von Virenscanner und Firewall bei Privatnutzern<br />
Quelle: <strong>in</strong> Anlehnung an BSI (2007), S. 12.<br />
Dieser positive Trend ist vermutlich darauf zurückzuführen, dass der Studie von 2006<br />
zufolge 80 % der Nutzer schon e<strong>in</strong>mal mit Gefährdungen wie Viren, Würmern und<br />
Trojanischen Pferden <strong>in</strong> Kontakt gekommen s<strong>in</strong>d. Zudem wird das Thema <strong>IT</strong>-<br />
<strong>Sicherheit</strong> verstärkt <strong>in</strong> den Medien diskutiert und von verschiedenen <strong>Institut</strong>ionen wie<br />
bspw. dem BSI oder <strong>in</strong> <strong>NRW</strong> der secure-it.nrw.de Aufklärungsarbeit betrieben. 31 All<br />
diese Faktoren haben dazu geführt, dass Privatnutzer ihre <strong>IT</strong>-Kompetenz im<br />
Vergleich zu 2004 realistischer e<strong>in</strong>schätzen und bei der Umfrage 2006 nur noch 17<br />
% der Befragten angaben, über gute bis sehr gute Kenntnisse zu verfügen. 32<br />
Die Hälfte der befragten Nutzer äußerte bei der BSI-Studie von 2006 e<strong>in</strong>e erhöhte<br />
Zahlungsbereitschaft <strong>für</strong> <strong>IT</strong>-<strong>Sicherheit</strong>sprodukte unter der Voraussetzung, dass<br />
deren Qualität durch e<strong>in</strong>e neutrale <strong>Institut</strong>ion bestätigt wird. Zusammenfassend lässt<br />
sich feststellen, dass e<strong>in</strong>erseits das Bewusstse<strong>in</strong> <strong>für</strong> <strong>IT</strong>-<strong>Sicherheit</strong> und die<br />
Zahlungsbereitschaft <strong>für</strong> sichere Produkte bei den Privatnutzern vorhanden ist.<br />
Andererseits besteht die Tendenz, die Lösung der Probleme <strong>in</strong>sbesondere an<br />
Internetanbieter und die Hersteller von <strong>IT</strong>-<strong>Sicherheit</strong>slösungen delegieren zu wollen<br />
31 Vgl. hierzu auch Kapitel 5.<br />
32 Vgl. BSI (2007), S. 12.<br />
10
und <strong>IT</strong>-<strong>Sicherheit</strong> verstärkt als e<strong>in</strong>e notwendige Produkteigenschaft von Systemen<br />
und Diensten e<strong>in</strong>zufordern. 33<br />
2.4.2 <strong>IT</strong>-<strong>Sicherheit</strong>slage im Unternehmensbereich<br />
In deutschen Unternehmen hat die <strong>IT</strong>-<strong>Sicherheit</strong> e<strong>in</strong>en bedeutsamen Stellenwert.<br />
Nach e<strong>in</strong>er 2007 durchgeführten Studie von Capgem<strong>in</strong>i unter <strong>IT</strong>-Verantwortlichen zur<br />
Rangfolge von 8 verschiedenen <strong>IT</strong>-Themen nimmt die <strong>IT</strong>-<strong>Sicherheit</strong> mit 83 % den<br />
ersten Platz e<strong>in</strong>. 34<br />
Gefragt nach den Veränderungen <strong>für</strong> das gesamte <strong>IT</strong>-Budget geht e<strong>in</strong> Großteil der<br />
befragten <strong>IT</strong>-Verantwortlichen zukünftig von Steigerungen im Vergleich zum Budget<br />
von 2006 aus, wie Abbildung 2 verdeutlicht. Zudem sche<strong>in</strong>t die Planungssicherheit<br />
im Vergleich zum Vorjahr gestiegen zu se<strong>in</strong>, da nahezu alle Teilnehmer Angaben<br />
zum Budget <strong>für</strong> 2007 machen konnten, was e<strong>in</strong> Indiz <strong>für</strong> bereits geplante Projekte<br />
und verteilte Ressourcen darstellt.<br />
steigt<br />
bleibt gleich<br />
s<strong>in</strong>kt<br />
weiss nicht<br />
ke<strong>in</strong>e Angabe<br />
0<br />
1<br />
14<br />
6<br />
11<br />
2007 2008 2009<br />
21<br />
32<br />
35<br />
41<br />
39<br />
3<br />
7<br />
8<br />
13<br />
Basis: Alle Befragten (n=83) - Prozentangaben<br />
2007 2006<br />
25<br />
22<br />
22<br />
22<br />
42<br />
36<br />
6<br />
9<br />
12<br />
13<br />
16<br />
19<br />
33<br />
33<br />
31<br />
26<br />
Abb. 2.3: Entwicklung des gesamten <strong>IT</strong>-Budgets im Vergleich zum Budget von 2006<br />
Quelle: veränderte Darstellung nach Capgem<strong>in</strong>i (2007), S. 10.<br />
Gefragt nach den zukünftigen Budgetveränderungen <strong>in</strong> den e<strong>in</strong>zelnen Bereichen<br />
gaben 54 % der Befragten an, dass sich das Budget <strong>für</strong> <strong>IT</strong>-<strong>Sicherheit</strong>s<strong>in</strong>vestitionen <strong>in</strong><br />
den kommenden 5 Jahren erhöhen wird. Nur e<strong>in</strong> Prozent geht von s<strong>in</strong>kenden<br />
33 Vgl. BSI (2007), S. 13.<br />
34 Die Wichtigkeit folgender <strong>IT</strong>-Themen wurde analysiert: <strong>IT</strong>-<strong>Sicherheit</strong>, Enterprise Ressource<br />
Plann<strong>in</strong>g (ERP), Customer Relationship Management (CRM), Bus<strong>in</strong>ess Intelligence, Portale, <strong>IT</strong>-<br />
Infrastruktur, Mobility/Wireless, Enterprise Application Integration (EAI), vgl. Capgem<strong>in</strong>i (2007),<br />
S. 6. Bei der gleichen im Jahre 2006 durchgeführten Studie waren es 81 %, im Jahre 2005 83<br />
%, vgl. Capgem<strong>in</strong>i (2006), S. 7; Capgem<strong>in</strong>i (2005), S. 6.<br />
11
Budgets <strong>in</strong> diesem Bereich aus. 35 Trotz verme<strong>in</strong>tlich steigender<br />
<strong>IT</strong>-<strong>Sicherheit</strong>sbudgets sahen e<strong>in</strong>er BSI-Umfrage von 2004 zufolge 89 % der<br />
<strong>IT</strong>-Verantwortlichen die Wirtschaftlichkeit der Unternehmen <strong>in</strong> Deutschland durch<br />
mangelnde <strong>IT</strong>-<strong>Sicherheit</strong> gefährdet. Gebeten um e<strong>in</strong>e E<strong>in</strong>schätzung der<br />
<strong>IT</strong>-<strong>Sicherheit</strong>slage <strong>in</strong> der eigenen Organisation gab jedoch nur knapp e<strong>in</strong> Viertel der<br />
Befragten an, aktuellen Gefährdungen ausgesetzt zu se<strong>in</strong>. 36<br />
Bei e<strong>in</strong>er Betrachtung der tatsächlichen Budgets <strong>für</strong> <strong>IT</strong>-<strong>Sicherheit</strong> wird jedoch<br />
deutlich, dass nur knapp e<strong>in</strong> Fünftel der befragten Unternehmen im Jahre 2006 mehr<br />
als 7,5 % des gesamten <strong>IT</strong>-Budgets <strong>in</strong> <strong>IT</strong>-<strong>Sicherheit</strong> <strong>in</strong>vestiert hat – 2004 waren das<br />
mit 40 % noch mehr als doppelt so viele Unternehmen wie Abbildung 2.4 zeigt. 37<br />
49 %<br />
52 %<br />
53 %<br />
18 %<br />
17 %<br />
bis zu 7,5 % über 7,5 %<br />
2006 2005 2004<br />
40 %<br />
12 %<br />
Abb. 2.4: Anteil der jährlichen <strong>IT</strong>-<strong>Sicherheit</strong>sausgaben am gesamten <strong>IT</strong>-Budget<br />
Quelle: veränderte Darstellung nach Capgem<strong>in</strong>i (2006), S. 20.<br />
9 %<br />
7 %<br />
21 %<br />
22 %<br />
0 %<br />
weiss nicht ke<strong>in</strong>e Angabe %<br />
Als Konsequenz e<strong>in</strong>es Verlustes aller elektronisch gespeicherten Daten gaben 10 %<br />
der /Microsoft-Studienteilnehmer von 2004 den Bankrott bzw. Geschäftsverlust<br />
an. Der <strong>Sicherheit</strong>sstudie von 2006 zufolge liegt der geschätzte Datenwert bei<br />
kle<strong>in</strong>en und mittelständischen Unternehmen im Durchschnitt bei 3,8 Mio. €, bei<br />
Unternehmen mit mehr als 500 Mitarbeitern bei knapp 1,6 Mrd. €, was den<br />
immensen Wert der gespeicherten Informationen verdeutlicht. Als wesentliche<br />
Faktoren, die e<strong>in</strong>e Verbesserung der Informationssicherheit beh<strong>in</strong>dern, wurden<br />
sowohl <strong>in</strong> der Studie von 2004 als auch <strong>in</strong> der Studie von 2006 vor allem<br />
Budgetrestriktionen und das fehlende Bewusstse<strong>in</strong> der Mitarbeiter und des Top-<br />
35<br />
45 % gehen von e<strong>in</strong>em gleich bleibenden Budget aus und 1 % der Befragten konnten ke<strong>in</strong>e<br />
Angabe machen, vgl. Capgem<strong>in</strong>i (2007), S. 11.<br />
36<br />
Vgl. BSI (2004)<br />
37 Vgl. BSI (2007), S. 14.<br />
12
Managements ausgemacht. So ist auch zu erklären, warum <strong>in</strong> den befragten<br />
Unternehmen nur gelegentlich Schulungen zu Fragen und Themen der <strong>IT</strong>-<strong>Sicherheit</strong><br />
stattf<strong>in</strong>den. 38 Insgesamt haben 94 % der deutschen Unternehmen im Jahre 2006<br />
Vorkehrungen <strong>in</strong> die <strong>IT</strong>-<strong>Sicherheit</strong> getroffen, womit die deutschen Unternehmen im<br />
Durchschnitt der EU25-Länder liegen und geme<strong>in</strong>sam mit Belgien und Tschechien<br />
den 6. Platz belegen. 39<br />
38 Vgl. /Microsoft (2004a), S. 10ff.; /Microsoft (2006a), S. 29ff.<br />
39 Vgl. TNS (2007a), S. 47.<br />
13
3. Hochschul- und Forschungse<strong>in</strong>richtungen<br />
3.1 Übersicht der identifizierten E<strong>in</strong>richtungen<br />
Im Rahmen dieses Berichtes wurden die Hochschul- und Forschungse<strong>in</strong>richtungen<br />
erhoben, die sich mit dem Themengebiet <strong>IT</strong>-<strong>Sicherheit</strong> <strong>in</strong> Deutschland befassen. Um<br />
e<strong>in</strong>e möglichst vollständige Auflistung der E<strong>in</strong>richtungen zu erhalten, wurde auf<br />
verschiedene Quellen zurückgegriffen. Als Ausgangspunkt der Analyse diente die <strong>IT</strong>-<br />
<strong>Sicherheit</strong>s-Hochschul-Landkarte von B<strong>IT</strong>KOM aus dem Jahre 2005. Hierauf<br />
aufbauend konnten mittels Internetrecherche unter Nutzung verschiedener<br />
Suchmasch<strong>in</strong>en und Schlagwörter weitere E<strong>in</strong>richtungen identifiziert werden. Die so<br />
erhobenen Informationen wurden durch das Studium entsprechender<br />
Fachzeitschriften ergänzt und durch persönlich geführte Interviews und Gespräche<br />
validiert.<br />
Insgesamt wurden 54 E<strong>in</strong>richtungen (Lehrstühle, <strong>Institut</strong>e) an 39 Universitäten,<br />
Fachhochschulen und Forschungse<strong>in</strong>richtungen <strong>in</strong> 33 verschiedenen Städten<br />
erhoben, die Lehr- und Forschungsaktivitäten im Bereich <strong>IT</strong>-<strong>Sicherheit</strong> entfalten. Bis<br />
auf Mecklenburg-Vorpommern und Sachsen-Anhalt konnten <strong>in</strong> sämtlichen<br />
Bundesländern die fokussierten Hochschul- und Forschungse<strong>in</strong>richtungen<br />
identifiziert werden. Die folgende Abbildung zeigt die Verteilung der E<strong>in</strong>richtungen<br />
auf die Bundesländer.<br />
Anzahl<br />
20<br />
15<br />
10<br />
5<br />
0<br />
1<br />
5<br />
Hochschul- und Forschungse<strong>in</strong>richtungen<br />
6<br />
Abb. 3.1: Verteilung der Hochschulen- und Forschungse<strong>in</strong>richtungen<br />
3<br />
1<br />
6<br />
1<br />
3<br />
19<br />
4<br />
1<br />
2<br />
1 1<br />
Brandenburg<br />
Berl<strong>in</strong><br />
Baden W ürrtemberg<br />
Bayern<br />
Bremen<br />
Hessen<br />
Hamburg<br />
Niedersachsen<br />
Nodrhe<strong>in</strong>-Westfalen<br />
Rhe<strong>in</strong>land-Pfalz<br />
Schleswig-Holste<strong>in</strong><br />
Saarland<br />
Sachsen<br />
Thür<strong>in</strong>gen<br />
14
Wie aus Abbildung 3.1 ersichtlich, s<strong>in</strong>d <strong>in</strong> <strong>NRW</strong> mit weitem Abstand die meisten<br />
Lehrstühle und <strong>Institut</strong>e zu f<strong>in</strong>den, die sich mit <strong>IT</strong>-<strong>Sicherheit</strong> befassen. Die folgende<br />
Abbildung zeigt die Standorte der Universitäten, Fachhochschulen und<br />
Forschungse<strong>in</strong>richtungen, an denen die Lehrstühle und <strong>Institut</strong>e ansässig s<strong>in</strong>d.<br />
1<br />
17 11<br />
13 6<br />
19<br />
39<br />
34 33<br />
15<br />
7<br />
37<br />
35 36<br />
18<br />
26<br />
23<br />
27<br />
14<br />
9 10<br />
28<br />
29<br />
8<br />
24<br />
38<br />
20<br />
25<br />
21 22<br />
16<br />
32<br />
2 3<br />
4<br />
31<br />
5<br />
Abb. 3.2: Standorte der Universitäten, Fachhochschulen und Forschungs<strong>in</strong>stitute<br />
30<br />
12<br />
1. RWTH Aachen<br />
2. Freie Universität Berl<strong>in</strong><br />
3. Humboldt-Universität Berl<strong>in</strong><br />
4. Technische Fachhochschule Berl<strong>in</strong><br />
5. Technische Universität Berl<strong>in</strong><br />
6. <strong>Ruhr</strong>-Universität Bochum<br />
7. Universität Bremen<br />
8. International University <strong>in</strong> Germany<br />
Bruchsal<br />
9. Fraunhofer-<strong>Institut</strong> <strong>für</strong> Sichere<br />
Informationstechnologie (S<strong>IT</strong>)<br />
Darmstadt<br />
10. Technische Universität Darmstadt<br />
11. Universität Dortmund<br />
12. TU Dresden<br />
13. Universität Duisburg-Essen<br />
14. Johann Wolfgang Goethe-Universität<br />
Frankfurt<br />
15. Albert-Ludwigs-Universität Freiburg<br />
16. Technische Universität Garch<strong>in</strong>g<br />
17. Fachhochschule Gelsenkirchen<br />
18. Justus-Liebig-Universität Gießen<br />
19. Fern-Universität Hagen<br />
20. Technische Universität Hamburg-<br />
Harburg<br />
21. Fachhochschule Hannover<br />
22. Leibniz Universität Hannover<br />
23. Technische Universität Kaiserslautern<br />
24. Universität Karlsruhe<br />
25. Christian-Albrechts-Universität Kiel<br />
26. Universität Koblenz Landau<br />
27. Johannes Gutenberg-Universität<br />
Ma<strong>in</strong>z<br />
28. Universität Mannheim<br />
29. Universität Paderborn<br />
30. Universität Passau<br />
31. University Potsdam<br />
32. Universität Regensburg<br />
33. Hochschule <strong>für</strong> Technik und<br />
Wirtschaft Saarbrücken<br />
34. Saarland University<br />
35. Fachhochschule Bonn-Rhe<strong>in</strong>-Sieg<br />
36. Fachhochschule Schmalkalden<br />
37. Universität Siegen<br />
38. Universität Stuttgart<br />
39. Universität Trier<br />
In Anhang 1 s<strong>in</strong>d die identifizierten Lehrstühle und <strong>Institut</strong>e alphabetisch nach<br />
Städten aufgelistet. Neben den Kontaktdaten wurden (soweit verfügbar) die<br />
speziellen Lehr- und Forschungsaktivitäten sowie die Kooperationspartner<br />
zusammengetragen.<br />
15
3.2 Hochschul- und Forschungse<strong>in</strong>richtungen <strong>in</strong> <strong>NRW</strong><br />
3.2.1 Übersicht der E<strong>in</strong>richtungen<br />
Im Folgenden liegt der Fokus auf den Lehrstühlen und <strong>Institut</strong>en, die <strong>in</strong> <strong>NRW</strong> im <strong>IT</strong>-<br />
<strong>Sicherheit</strong>sbereich forschen und lehren. Insgesamt wurden im Rahmen des<br />
vorliegenden Berichtes 19 Lehrstühle und <strong>Institut</strong>e ausgemacht, die sich auf die <strong>in</strong><br />
Abbildung 3.3 e<strong>in</strong>gezeichneten Städte verteilen.<br />
Aachen<br />
Essen<br />
Gelsenkirchen<br />
Bochum<br />
Bonn / Sankt<br />
August<strong>in</strong><br />
Abb. 3.3: <strong>IT</strong>-<strong>Sicherheit</strong>sforschung <strong>in</strong> <strong>NRW</strong><br />
Dortmund<br />
Hagen<br />
Siegen<br />
Paderborn<br />
Wie aus Abbildung 3.3 ersichtlich, liegt der Schwerpunkt der <strong>IT</strong>-<strong>Sicherheit</strong>sforschung<br />
<strong>in</strong> Bochum. Die Bochumer Forschungsaktivitäten werden im <strong>Horst</strong> <strong>Görtz</strong> <strong>Institut</strong> <strong>für</strong><br />
<strong>IT</strong>-<strong>Sicherheit</strong> gebündelt, das separat <strong>in</strong> Kapitel 3.2.2 vorgestellt wird.<br />
16
Die anderen Lehrstühle und <strong>Institut</strong>e <strong>in</strong> <strong>NRW</strong> verteilen sich auf die folgenden<br />
Standorte (nach Städten sortiert):<br />
• Prof. Dr. rer. nat. Dr. h. c. Otto Spaniol, (RWTH Aachen)<br />
• Prof. Dr. Joachim von zur Gathen (Bonn-Aachen International Center<br />
for Information Technology)<br />
• Prof. Dr. Jens Franke (Universität Bonn)<br />
• Prof. Dr. Joachim Biskup (Universität Dortmund)<br />
• Prof. Dr. Dr. h. c. Gerhard Frey (Universität Duisburg-Essen)<br />
• Prof. Dr. Norbert Pohlmann (Fachhochschule Gelsenkirchen)<br />
• Prof. Dr. Dr. Wolfgang A. Halang (FernUniversität Hagen)<br />
• Prof. Dr. rer.nat. Johannes Blömer (Universität Paderborn)<br />
• Prof. Dr. Hartmut Pohl (Fachhochschule Bonn-Rhe<strong>in</strong>-Sieg <strong>in</strong> Sankt August<strong>in</strong>)<br />
• Prof. Dr. Manfred Grauer (Universität Siegen)<br />
• Prof. Dr. Christoph Ruland (Universität Siegen)<br />
3.2.2 <strong>Horst</strong> <strong>Görtz</strong> <strong>Institut</strong> <strong>für</strong> <strong>IT</strong>-<strong>Sicherheit</strong><br />
Das <strong>Horst</strong>-<strong>Görtz</strong> <strong>Institut</strong> (HGI) ist mit sechs Professoren - jeweils drei an der Fakultät<br />
<strong>für</strong> Elektrotechnik und Informationstechnik und an der Fakultät <strong>für</strong> Mathematik - und<br />
ca. 40 Wissenschaftlern die größte Hochschule<strong>in</strong>richtung dieser Fachrichtung <strong>in</strong><br />
Europa. Das HGI deckt nahezu alle Bereiche der modernen <strong>IT</strong>-<strong>Sicherheit</strong> ab,<br />
<strong>in</strong>sbesondere e<strong>in</strong>gebettete <strong>Sicherheit</strong>, theoretische und angewandte Kryptographie,<br />
<strong>Sicherheit</strong> <strong>in</strong> mobilen und festen Netzen und Schutz digitaler Inhalte (Trusted<br />
Comput<strong>in</strong>g, Digital Rights Management).<br />
Wie Abbildung 3.4 verdeutlicht, besteht das HGI im E<strong>in</strong>zelnen aus:<br />
• Lehrstuhl <strong>für</strong> Kommunikationssicherheit (Prof. Dr.-Ing. Christof Paar),<br />
• Lehrstuhl <strong>für</strong> Systemsicherheit (Prof. Dr.-Ing Ahmad-Reza Sadeghi),<br />
• Lehrstuhl <strong>für</strong> Netz- und Datensicherheit (Prof. Dr. Jörg Schwenk),<br />
• Mathematische und Algorithmische Aspekte der Angewandten Kryptologie<br />
(Dr. Roberto Avanzi, Juniorprofessor),<br />
• Lehrstuhl <strong>für</strong> Stochastik (Prof. Dr. Holger Dette),<br />
• Lehrstuhl <strong>für</strong> Kryptologie und <strong>IT</strong> <strong>Sicherheit</strong> (Prof. Dr. Alexander May),<br />
17
• <strong>Institut</strong> <strong>für</strong> <strong>Sicherheit</strong> im E-Bus<strong>in</strong>ess ((ISEB), Prof. Dr. Roland Gabriel<br />
(Geschäftsführender Direktor), Prof. Dr. Brigitte Werners, Prof. Dr. Georg<br />
Borges)<br />
<strong>Horst</strong> <strong>Görtz</strong> <strong>Institut</strong> <strong>für</strong> <strong>IT</strong> <strong>Sicherheit</strong><br />
Elektro- und Informationstech.<br />
Prof. Christof Paar<br />
Prof. Ahmad-Reza Sadeghi<br />
Prof. Jörg Schwenk<br />
Wirtschaft (ISEB)<br />
Prof. Roland Gabriel<br />
Prof. Brigitte Werners<br />
Abb. 3.4: Aufbau des HGI<br />
Mathematik<br />
Prof. Avanzi<br />
Prof. Dette<br />
Prof. May<br />
Recht<br />
Prof. Georg Borges<br />
Die e<strong>in</strong>zelnen Lehrstühle decken jeweils unterschiedliche Aspekte von <strong>IT</strong>-<strong>Sicherheit</strong><br />
ab. Dabei f<strong>in</strong>det e<strong>in</strong>e enge Kooperation zwischen den beteiligten Lehrstühlen statt,<br />
so dass Fragestellungen aus verschiedenen, sich ergänzenden Blickw<strong>in</strong>keln<br />
behandelt werden können. Dies zeigt sich auch durch die zahlreichen nationalen und<br />
<strong>in</strong>ternationalen Fachpublikationen auf Tagungen und <strong>in</strong> wissenschaftlichen<br />
Journalen.<br />
Darüber h<strong>in</strong>aus ist das HGI e<strong>in</strong>er der drei Initiatoren von ECRYPT, dem European<br />
Network of Excellence (NoE) <strong>in</strong> Kryptography. Die <strong>in</strong>ternationale Anerkennung, die<br />
das HGI schon kurz nach se<strong>in</strong>er Gründung genoss, spiegelt sich auch <strong>in</strong> den<br />
zahlreichen führenden Konferenzen wider, die das HGI organisiert hat. Hierzu<br />
gehören u. a. die AES 4 (Advanced Encryption Standard), CHES 2003<br />
(Cryptographic Hardware and Embedded Systems) und die ECC 2004 (Elliptic Curve<br />
Cryptography) sowie 2009 die weltweit größte Kryptologie-Konferenz, die Eurocrypt.<br />
Zentrale Aktivitäten des HGI werden durch den Geschäftsführenden Direktor (z.Zt.<br />
Prof. Jörg Schwenk) koord<strong>in</strong>iert. Durch den eurobits-Vere<strong>in</strong> sowie se<strong>in</strong> Kuratorium<br />
hält das <strong>Horst</strong>-<strong>Görtz</strong> <strong>Institut</strong> den Kontakt zur Praxis.<br />
18
Ergänzt wird die Forschung <strong>in</strong>nerhalb des <strong>Horst</strong>-<strong>Görtz</strong> <strong>Institut</strong>s durch e<strong>in</strong>e<br />
grundständige sowie fortführende Ausbildung. Diese ist <strong>in</strong> folgenden Programmen<br />
organisiert:<br />
• den 6-semestriger Studiengang „Bachelor <strong>in</strong> <strong>IT</strong>-<strong>Sicherheit</strong> /<br />
Informationstechnik“ als grundständiges Studium mit wissenschaftlichem<br />
Hochschulabschluss,<br />
• den 4-semestriger Studiengang „Master <strong>in</strong> <strong>IT</strong> Security / Informationstechnik“<br />
als konsekutiven Masterstudiengang,<br />
• den 4-semestriger Studiengang „Master <strong>in</strong> <strong>IT</strong>-<strong>Sicherheit</strong> / Netze und Systeme”<br />
als Aufbaustudiengang <strong>für</strong> Personen mit Erstudium sowie<br />
• den Fernstudiengang „Master <strong>in</strong> Applied <strong>IT</strong> Security“ (<strong>in</strong> Zusammenarbeit mit<br />
der gits AG)<br />
Damit ist das Programm sehr breit gefächert und erlaubt sowohl Studienanfängern<br />
wie auch Seitene<strong>in</strong>steigern e<strong>in</strong>e fundierte Ausbildung <strong>in</strong> der <strong>IT</strong>-<strong>Sicherheit</strong>. Dies zeigt<br />
sich auch daran, dass <strong>in</strong>zwischen alle am und um das HGI angebotenen<br />
Studiengänge akkreditiert s<strong>in</strong>d. Dies erlaubt e<strong>in</strong>e e<strong>in</strong>fachere europäische und<br />
<strong>in</strong>ternationale Vergleichbarkeit. Mit ca. 130 Studienanfängern pro Jahr wird das<br />
Programm sehr gut angenommen. Die ersten Absolventen wurden bereits <strong>in</strong> den<br />
Arbeitsmarkt entlassen und hatten ke<strong>in</strong>e Schwierigkeiten, <strong>in</strong>teressante und<br />
verantwortungsvolle Anstellungen zu f<strong>in</strong>den.<br />
19
4 Markt <strong>für</strong> <strong>IT</strong>-<strong>Sicherheit</strong>sleistungen<br />
4.1 Ausgaben <strong>für</strong> <strong>IT</strong>-<strong>Sicherheit</strong>sleistungen<br />
Wie die obigen Ausführungen gezeigt haben, kommt der <strong>IT</strong>-<strong>Sicherheit</strong> <strong>in</strong><br />
Privathaushalten und Unternehmen e<strong>in</strong>e wachsende Bedeutung zu. Der damit<br />
gestiegene Bedarf an <strong>IT</strong>-<strong>Sicherheit</strong>sleistungen spiegelt sich auch <strong>in</strong> der Umfrage des<br />
<strong>Institut</strong>e for Information Economics (IIE) wider. 40<br />
<strong>IT</strong>-<strong>Sicherheit</strong> im Internet<br />
<strong>IT</strong>-<strong>Sicherheit</strong> unternehmens<strong>in</strong>tern<br />
VoIP<br />
Medienkonvergenz<br />
RFID<br />
E-Commerce (B2B)<br />
Mobilkommunikation<br />
E-Commerce (B2C)<br />
E-Government<br />
E-Bus<strong>in</strong>ess<br />
Informationsdienste<br />
Softw are<br />
Abb. 4.1: Die Top-Geschäftsbereiche nach Schulnoten <strong>in</strong> den kommenden Jahren<br />
Quelle: <strong>Institut</strong>e for Information Economics (2006a), S. 58.<br />
Nach Ansicht der <strong>in</strong>sgesamt ca. 250 befragten Experten nimmt die <strong>IT</strong>-<strong>Sicherheit</strong> im<br />
dritten Jahr <strong>in</strong> Folge die Spitzenposition unter den aussichtsreichen<br />
<strong>in</strong>formationswirtschaftlichen Geschäftsbereichen <strong>in</strong> den kommenden Jahren e<strong>in</strong> (vgl.<br />
Abb. 4). 41 Diese E<strong>in</strong>schätzung wird durch e<strong>in</strong>e aktuelle Umfrage der IHK im mittleren<br />
<strong>Ruhr</strong>gebiet bestätigt. Gefragt nach den technologischen Trends, die die Branche <strong>in</strong><br />
den nächsten Jahren besonders bee<strong>in</strong>flussen werden, gaben 50 % der befragten<br />
Unternehmen aus dem <strong>IT</strong>-Bereich an, dass die <strong>IT</strong>-<strong>Sicherheit</strong> <strong>in</strong> den kommenden<br />
Jahren den entscheidenden Wirtschaftsfaktor darstellen wird. 42<br />
Die weltweiten <strong>IT</strong>-<strong>Sicherheit</strong>sausgaben <strong>für</strong> 2007 werden Ergebnissen von IDC<br />
zufolge auf <strong>in</strong>sgesamt 41,8 Mrd. € prognostiziert. Davon entfallen 50 % auf <strong>IT</strong>-<br />
40 Vgl. <strong>Institut</strong>e for Information Economics (2006a), S. 58.<br />
41 Vgl. <strong>Institut</strong>e for Information Economics (2006b), S. 177. Insgesamt wurden mehr als 5.300<br />
Bewertungen abgegeben. Das bedeutet, dass sich zwischen 222 und 264 Experten an der<br />
Bewertung von Geschäftsbereichen beteiligten. Das s<strong>in</strong>d zwischen 75 % und 89 % aller<br />
Befragten.<br />
42 Zur Auswahl standen die Bereiche Archivierung/DMS, e-commerce, e-government, e-Health,<br />
embedded systems, <strong>IT</strong>-<strong>Sicherheit</strong>, mobile comput<strong>in</strong>g, Outsourc<strong>in</strong>g, RFID und Server-Hous<strong>in</strong>g,<br />
vgl. IHK (2007).<br />
2,02<br />
2,02<br />
2,06<br />
2,34<br />
2,35<br />
2,4<br />
2,5<br />
2,53<br />
2,57<br />
2,59<br />
2,62<br />
2,63<br />
20
<strong>Sicherheit</strong>sdienstleistungen, 31 % auf <strong>IT</strong>-<strong>Sicherheit</strong>ssoftware und 19 % auf <strong>IT</strong>-<br />
<strong>Sicherheit</strong>shardware. Seit 2002 entspricht dies e<strong>in</strong>em Anstieg der Gesamtausgaben<br />
von mehr als 130 %. Die folgende Abbildung zeigt die Entwicklung der <strong>IT</strong>-<br />
<strong>Sicherheit</strong>sausgaben getrennt nach Dienstleistungen, Soft- und Hardware.<br />
Milliarden Euro<br />
45<br />
40<br />
35<br />
30<br />
25<br />
20<br />
15<br />
10<br />
5<br />
0<br />
18,2<br />
3,1<br />
6,6<br />
8,5<br />
<strong>IT</strong>-<strong>Sicherheit</strong>sdienstleistungen <strong>IT</strong>-<strong>Sicherheit</strong>ssoftw are <strong>IT</strong>-<strong>Sicherheit</strong>shardw are<br />
21,7<br />
3,9<br />
7,7<br />
10,1<br />
25,9<br />
4,8<br />
8,9<br />
12,1<br />
30,5<br />
5,7<br />
10,2<br />
14,5<br />
35,8<br />
6,8<br />
11,6<br />
17,5<br />
41,8<br />
8<br />
12,9<br />
20,9<br />
2002 2003 2004 2005 2006 2007<br />
Abb. 4.2: Weltweite Ausgaben <strong>für</strong> <strong>IT</strong>-<strong>Sicherheit</strong> <strong>in</strong> Milliarden Euro, 2002-2007<br />
Quelle: tns (2007b), S. 326.<br />
Dieser positive Markttrend <strong>für</strong> die Anbieter von <strong>IT</strong>-<strong>Sicherheit</strong>sprodukten und <strong>IT</strong>-<br />
<strong>Sicherheit</strong>sdienstleistungen wird bestätigt durch e<strong>in</strong>e Untersuchung von Ernst &<br />
Young aus dem Jahre 2004. Demnach waren 70 % der 1233 befragten Unternehmen<br />
bereit, mehr <strong>in</strong> die <strong>IT</strong>-<strong>Sicherheit</strong> zu <strong>in</strong>vestieren als im Vorjahr. 43<br />
In Deutschland lag der Markt <strong>für</strong> <strong>IT</strong>-<strong>Sicherheit</strong>sleistungen im Jahr 2006 bei 3,5 Mrd.<br />
€. Für das laufende Jahr 2007 wird laut aktuellster verfügbarer Studie der Experton<br />
Group AG mit e<strong>in</strong>em Anstieg der <strong>IT</strong>-<strong>Sicherheit</strong>sausgaben auf 3,94 Mrd. € gerechnet.<br />
Den Schätzungen zufolge entfallen davon 47 % (1,86 Mrd. €) auf den Bereich der <strong>IT</strong>-<br />
Dienstleistungen, während die restlichen 53 % (2,08 Mrd. €) des gesamten <strong>IT</strong>-<br />
<strong>Sicherheit</strong>sumsatzes mit dem Verkauf von Hard- und Software erzielt werden (vgl.<br />
43 Vgl. tns (2006), S. 473.<br />
21
Abb. 4.3). Den Prognosen zufolge wird der Markt im Zeitraum von 2006 bis 2009 e<strong>in</strong><br />
jährliches durchschnittliches Wachstum von 12,7 % aufweisen. 44<br />
Milliarden Euro<br />
6<br />
5<br />
4<br />
3<br />
2<br />
1<br />
0<br />
3,50<br />
1,67<br />
1,83<br />
Hardw are und Softw are Dienstleistungen<br />
3,94<br />
1,86<br />
2,08<br />
4,45<br />
2,1<br />
2,35<br />
5.02<br />
2,37<br />
2,65<br />
2006 2007 2008 2009<br />
Abb. 4.3: Deutsche Ausgaben <strong>für</strong> <strong>IT</strong>-<strong>Sicherheit</strong>sleistungen<br />
Quelle: Experton Group AG (2007).<br />
Die steigenden Umsätze wurden durch e<strong>in</strong>e Befragung der Nationalen Initiative <strong>für</strong><br />
Internetsicherheit (NIFIS e.V.) bestätigt. Bei e<strong>in</strong>er Befragung von 100 Personen, die<br />
sich im Rahmen ihrer täglichen Arbeit im Unternehmen mit Internet- und <strong>IT</strong>-<br />
<strong>Sicherheit</strong>saspekten beschäftigen, gaben 31 % der Befragten an, dass die <strong>IT</strong>-<br />
<strong>Sicherheit</strong>sausgaben <strong>in</strong> 2007 zunehmen werden. 93 % der Befragten beabsichtigen<br />
zum<strong>in</strong>dest höhere Investitionen <strong>in</strong> <strong>IT</strong>-<strong>Sicherheit</strong>sprodukte, während knapp e<strong>in</strong> fünftel<br />
der Befragten davon ausgeht, dass ihre Unternehmen die Ausgaben verdoppeln<br />
werden. 45<br />
Auf separate Statistiken <strong>für</strong> den Umsatz von <strong>IT</strong>-<strong>Sicherheit</strong>sleistungen <strong>in</strong> Nordrhe<strong>in</strong>-<br />
Westfalen konnte im Rahmen dieser Analyse nicht zurückgegriffen werden. Um<br />
jedoch e<strong>in</strong>en Anhaltspunkt <strong>für</strong> den <strong>IT</strong>-<strong>Sicherheit</strong>smarkt <strong>in</strong> Nordrhe<strong>in</strong>-Westfalen zu<br />
erlangen, wurde anders verfahren: Das Brutto<strong>in</strong>landsprodukt (BIP) Nordrhe<strong>in</strong>-<br />
Westfalens wurde auf das gesamte BIP der BRD umgerechnet und dieser Faktor auf<br />
die deutschen Ausgaben <strong>für</strong> <strong>IT</strong>-<strong>Sicherheit</strong>sleistungen (vgl. Abb. 4.3) angewendet. So<br />
44 Vgl. Experton Group (2007)<br />
45 Vgl. tns (2007b), S. 327.<br />
22
erhält man <strong>für</strong> Nordrhe<strong>in</strong>-Westfalen als guten Näherungswert den <strong>in</strong> der Abbildung<br />
4.4 dargestellten Umsatz von <strong>IT</strong>-<strong>Sicherheit</strong>sleistungen. 46<br />
Milliarden Euro<br />
1,2<br />
1<br />
0,8<br />
0,6<br />
0,4<br />
0,2<br />
0<br />
0,76<br />
0,36<br />
0,40<br />
Hardw are und Softw are Dienstleistungen<br />
0,85<br />
0,40<br />
0,45<br />
0,97<br />
0,46<br />
0,51<br />
1,10<br />
0,52<br />
0,58<br />
2006 2007 2008 2009<br />
Abb. 4.4: Markt <strong>für</strong> <strong>IT</strong>-<strong>Sicherheit</strong>sleistungen <strong>in</strong> <strong>NRW</strong><br />
Quelle: Experton Group AG, 2007<br />
Nach der Erhebung der welt-, bundes- und landesweiten (<strong>NRW</strong>) Umsätze <strong>für</strong> <strong>IT</strong>-<br />
<strong>Sicherheit</strong>sleistungen, wird im Folgenden analysiert, welche Akteure <strong>in</strong> <strong>NRW</strong> diese<br />
Leistungen erbr<strong>in</strong>gen.<br />
4.2 Anbieter von <strong>IT</strong>-<strong>Sicherheit</strong>sleistungen <strong>in</strong> <strong>NRW</strong><br />
4.2.1 Übersicht der Anbieter von <strong>IT</strong>-<strong>Sicherheit</strong>sleistungen<br />
Im Rahmen dieses Berichtes wurden die Hersteller von <strong>IT</strong>-<strong>Sicherheit</strong>shardware, <strong>IT</strong>-<br />
<strong>Sicherheit</strong>ssoftware und Anbieter von <strong>IT</strong>-<strong>Sicherheit</strong>sdienstleistungen erfasst. In den<br />
folgenden Ausführungen wird e<strong>in</strong> Unternehmen als Anbieter e<strong>in</strong>er <strong>IT</strong>-<br />
<strong>Sicherheit</strong>sleistung verstanden, wenn es entweder Hard- oder Software herstellt oder<br />
e<strong>in</strong>e <strong>IT</strong>-<strong>Sicherheit</strong>sdienstleistung erbr<strong>in</strong>gt. Unternehmen, die <strong>IT</strong>-<strong>Sicherheit</strong>shardware<br />
oder <strong>IT</strong>-<strong>Sicherheit</strong>ssoftware nicht herstellen sondern nur anbieten - wie bspw. Media-<br />
Markt (Antivirensoftware etc.) - wurden im Rahmen der Erhebung nicht<br />
46 Zur Berechnung des Faktors wurde <strong>für</strong> die BRD e<strong>in</strong> BIP von 2207200 Mio. €, <strong>für</strong> <strong>NRW</strong> e<strong>in</strong> BIP<br />
von 480171 Mio. € zugrunde gelegt, vgl. Eurostat (2007). Hieraus resultiert e<strong>in</strong><br />
Umrechnungsfaktor von 1: 4,60.<br />
23
erücksichtigt. Um e<strong>in</strong>e möglichst vollständige Liste der Anbieter von <strong>IT</strong>-<br />
<strong>Sicherheit</strong>sleistungen <strong>in</strong> <strong>NRW</strong> zu erhalten, wurde auf verschiedene Quellen<br />
zurückgegriffen:<br />
• Branchenbuch <strong>IT</strong>-<strong>Sicherheit</strong> (vgl. dazu auch Kapitel 5.2.5)<br />
• Branchen- und Bus<strong>in</strong>essleitfaden <strong>IT</strong>-<strong>Sicherheit</strong> <strong>NRW</strong><br />
• Branchenführer <strong>IT</strong>-<strong>Sicherheit</strong><br />
• Internetrecherche unter Gebrauch verschiedener Suchmasch<strong>in</strong>en und<br />
Schlagwörter<br />
• Teilnehmerlisten von Veranstaltungen, Kongressen, Konferenzen etc.<br />
• Webseiten von Klicktel.de und Gelbeseiten.de<br />
• Persönliche Interviews, Gespräche<br />
Auf Grundlage dieser Quellen und gemäß obiger Festlegung konnten <strong>in</strong>sgesamt 297<br />
Unternehmen <strong>in</strong> 93 verschiedenen Städten bzw. Orten identifiziert werden, die <strong>IT</strong>-<br />
<strong>Sicherheit</strong>sleistungen erbr<strong>in</strong>gen. Anhang 2 gibt e<strong>in</strong>en vollständigen Überblick der<br />
erhobenen Unternehmen. Die folgende Abbildung zeigt an, <strong>in</strong> wie vielen Städten<br />
bzw. Orten e<strong>in</strong>e variierende M<strong>in</strong>destanzahl an Unternehmen ausgemacht werden<br />
konnte.<br />
Anzahl Städte/Orte<br />
100<br />
90<br />
80<br />
70<br />
60<br />
50<br />
40<br />
30<br />
20<br />
10<br />
0<br />
93<br />
39<br />
26<br />
18 15<br />
11 8 8 7 7 7 7 6 6 5 5 5 4 4 3 3 3 2 2 1 1 1<br />
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27<br />
M<strong>in</strong>destanzahl an Unternehmen<br />
Abb. 4.5: Anzahl Städte mit M<strong>in</strong>destanzahl an Unternehmen<br />
Wie obige Abbildung veranschaulicht, existieren 15 Städte, <strong>in</strong> denen m<strong>in</strong>destens 5<br />
Unternehmen <strong>IT</strong>-<strong>Sicherheit</strong>sleistungen erbr<strong>in</strong>gen. In der folgenden Abbildung s<strong>in</strong>d<br />
diese Städte mit der jeweiligen Anzahl aufgeführt.<br />
24
Anzahl Unternehmen<br />
30<br />
25<br />
20<br />
15<br />
10<br />
5<br />
0<br />
Aachen<br />
12<br />
Bielefeld<br />
6<br />
Bochum<br />
19<br />
17<br />
Abb. 4.6: Städte mit m<strong>in</strong>destens 5 <strong>IT</strong>-<strong>Sicherheit</strong>sunternehmen<br />
27<br />
5<br />
22<br />
14<br />
8<br />
5<br />
24<br />
6<br />
5 5<br />
Bonn<br />
Dortmund<br />
Duisburg<br />
Düsseldorf<br />
Essen<br />
Gelsenkirchen<br />
Herne<br />
Köln<br />
Mönchengladbach<br />
Paderborn<br />
Siegen<br />
Wuppertal<br />
„Spitzenreiter“ ist demnach Dortmund mit <strong>in</strong>sgesamt 27 Unternehmen, gefolgt von<br />
Köln mit 24, Düsseldorf mit 22, Bochum mit 19 und Bonn mit 17 Unternehmen. Damit<br />
ergibt sich im <strong>Ruhr</strong>gebiet und im Rhe<strong>in</strong>land die größte Anhäufung und Dichte von<br />
Unternehmen, die <strong>IT</strong>-<strong>Sicherheit</strong>sleistungen erbr<strong>in</strong>gen, wie Abb. 4.7 veranschaulicht.<br />
Duisburg<br />
Mönchengladbach<br />
Aachen<br />
Düsseldorf<br />
Bochum<br />
Wuppertal<br />
Siegen<br />
Bielefeld<br />
Gelsen-<br />
Herne Paderborn<br />
Essen<br />
krichen<br />
Köln<br />
Bonn<br />
Dortmund<br />
Abb. 4.7: Regionale Verteilung der <strong>IT</strong>-<strong>Sicherheit</strong>sunternehmen<br />
6<br />
25
Von den 297 identifizierten Unternehmen, die <strong>IT</strong>-<strong>Sicherheit</strong>sleistungen erbr<strong>in</strong>gen,<br />
stellen 16 Hardware und 110 Software her. Zudem bieten 282 der 297 Unternehmen<br />
<strong>IT</strong>-<strong>Sicherheit</strong>sdienstleistungen an. Dies ist <strong>in</strong>sofern ke<strong>in</strong> Widerspruch, da zahlreiche<br />
Unternehmen mehr als e<strong>in</strong>e der fokussierten <strong>IT</strong>-<strong>Sicherheit</strong>sleistungen erbr<strong>in</strong>gen. In<br />
den folgenden Ausführungen werden die Unternehmen <strong>in</strong> Hersteller von <strong>IT</strong>-<br />
<strong>Sicherheit</strong>shardware, <strong>IT</strong>-<strong>Sicherheit</strong>ssoftware und Anbieter von <strong>IT</strong>-<br />
<strong>Sicherheit</strong>sdienstleistungen differenziert.<br />
4.2.2 Hersteller von <strong>IT</strong>-<strong>Sicherheit</strong>shardware<br />
Insgesamt wurden 16 Unternehmen aus 14 verschiedenen Städten bzw. Orten <strong>in</strong><br />
<strong>NRW</strong> identifiziert, die <strong>IT</strong>-<strong>Sicherheit</strong>shardware herstellen.<br />
Anzahl Unternehmen<br />
2<br />
1<br />
0<br />
Aachen<br />
2<br />
Bad Oeynhausen<br />
1 1 1<br />
Bielefeld<br />
Bochum<br />
<strong>IT</strong>-<strong>Sicherheit</strong>shardware<br />
Bonn<br />
2<br />
Gladbeck<br />
Abb. 4.8: Überblick <strong>IT</strong>-<strong>Sicherheit</strong>shardware<br />
1 1 1 1 1 1 1 1 1<br />
Herne<br />
Köln<br />
Mönchengladbach<br />
Münster<br />
Wie Abbildung 4.8 zeigt, wurden sowohl <strong>in</strong> Aachen als auch <strong>in</strong> Bonn jeweils zwei<br />
Unternehmen ausgemacht, die <strong>IT</strong>-<strong>Sicherheit</strong>shardware herstellen. Die identifizierten<br />
Unternehmen s<strong>in</strong>d Anhang 2 zu entnehmen.<br />
Rhe<strong>in</strong>e<br />
Troisdorf<br />
Waltrop<br />
Warste<strong>in</strong><br />
26
4.2.3 Hersteller von <strong>IT</strong>-<strong>Sicherheit</strong>ssoftware<br />
Es wurden <strong>in</strong>sgesamt 110 Unternehmen aus 52 verschiedenen Städten bzw. Orten<br />
erhoben, die <strong>in</strong> <strong>NRW</strong> <strong>IT</strong>-<strong>Sicherheit</strong>ssoftware zum Schutz der Vertraulichkeit,<br />
Integrität und Verfügbarkeit von Informationen herstellen. In 34 der 52 Städte bzw.<br />
Orte konnte jeweils nur e<strong>in</strong> Unternehmen ausgemacht werden. Die folgende<br />
Abbildung zeigt die 18 Städte, <strong>in</strong> denen m<strong>in</strong>destens zwei Unternehmen <strong>IT</strong>-<br />
<strong>Sicherheit</strong>ssoftware herstellen.<br />
Anzahl Unternehmen<br />
12<br />
10<br />
8<br />
6<br />
4<br />
2<br />
0<br />
5<br />
3<br />
6<br />
9 9<br />
Abb. 4.9: Überblick <strong>IT</strong>-<strong>Sicherheit</strong>ssoftware<br />
2<br />
<strong>IT</strong>-<strong>Sicherheit</strong>ssoftware<br />
6<br />
2<br />
3 3<br />
4<br />
10<br />
3<br />
2 2<br />
3<br />
2 2<br />
Aachen<br />
Bielefeld<br />
Bochum<br />
Bonn<br />
Dortmund<br />
Duisburg<br />
Düsseldorf<br />
Essen<br />
Gelsenkirchen<br />
Gronau<br />
Herne<br />
Köln<br />
Mönchengladbach<br />
Münster<br />
Neuss<br />
Paderborn<br />
Rhe<strong>in</strong>e<br />
Wuppertal<br />
Wie aus Abbildung 4.9 ersichtlich, s<strong>in</strong>d die meisten Hersteller von <strong>IT</strong>-<br />
<strong>Sicherheit</strong>ssoftware <strong>in</strong> Köln, Bonn und Dortmund ansässig. Mit e<strong>in</strong>igem Abstand<br />
folgen Düsseldorf, Bochum und Aachen.<br />
27
4.2.4 Anbieter von <strong>IT</strong>-<strong>Sicherheit</strong>sdienstleistungen<br />
Insgesamt bieten 282 bzw. 95 % der 297 <strong>IT</strong>-<strong>Sicherheit</strong>sleistungen erbr<strong>in</strong>genden<br />
Unternehmen e<strong>in</strong>e Dienstleistung im <strong>IT</strong>-<strong>Sicherheit</strong>sumfeld an. Die 282 Unternehmen<br />
verteilen sich dabei auf <strong>in</strong>sgesamt 91 verschiedene Städte bzw. Orte. Insgesamt<br />
existieren 14 Städte, <strong>in</strong> denen m<strong>in</strong>destens 5 Unternehmen <strong>IT</strong>-<strong>Sicherheit</strong>sleistungen<br />
erbr<strong>in</strong>gen. In der folgenden Abbildung s<strong>in</strong>d diese Städte mit der jeweiligen Anzahl<br />
aufgeführt.<br />
Anzahl Städte/Orte<br />
30<br />
25<br />
20<br />
15<br />
10<br />
5<br />
0<br />
Aachen<br />
12<br />
Bielefeld<br />
5<br />
Bochum<br />
18<br />
Bonn<br />
16<br />
<strong>IT</strong>-<strong>Sicherheit</strong>sdienstleistungen<br />
Dortmund<br />
26<br />
Duisburg<br />
5<br />
Düsseldorf<br />
Abb. 4.10: Überblick <strong>IT</strong>-<strong>Sicherheit</strong>sdienstleistungen<br />
21<br />
Essen<br />
12<br />
Gelsenkirchen<br />
8<br />
23<br />
6<br />
Köln<br />
Mönchengladbach<br />
Paderborn<br />
5 5<br />
Siegen<br />
Wuppertal<br />
Die aufgeführten Städte s<strong>in</strong>d identisch mit den Städten aus Abb. 4.6 mit der e<strong>in</strong>zigen<br />
Ausnahme, dass Herne nicht mit aufgeführt wird, da hier nur 4 <strong>IT</strong>-<br />
<strong>Sicherheit</strong>sdienstleister ansässig s<strong>in</strong>d.<br />
6<br />
28
4.3 <strong>IT</strong>-<strong>Sicherheit</strong> als Wettbewerbsfaktor<br />
Neben den vorgestellten Unternehmen, deren Geschäftstätigkeit <strong>in</strong> der Herstellung<br />
von <strong>IT</strong>-<strong>Sicherheit</strong>ssoftware, <strong>IT</strong>-<strong>Sicherheit</strong>shardware oder im Erbr<strong>in</strong>gen von <strong>IT</strong>-<br />
<strong>Sicherheit</strong>sdienstleistungen liegt, stellt die Gewährleistung der <strong>IT</strong>-<strong>Sicherheit</strong> <strong>für</strong><br />
nahezu alle Branchen e<strong>in</strong>e zw<strong>in</strong>gende Voraussetzung dar. Dies bedeutet, dass erst<br />
durch die Sicherstellung der Vertraulichkeit, Integrität und Verfügbarkeit von<br />
Informationen und Systemen der Geschäftsbetrieb ermöglicht wird und neue<br />
Geschäftsfelder und –bereiche ausgeschöpft werden können. In den folgenden<br />
Kapiteln wird anhand der Gesundheitsbranche, dem Bankensektor und der<br />
Automobilbranche gezeigt, dass die <strong>IT</strong>-<strong>Sicherheit</strong> e<strong>in</strong>en entscheidenden<br />
Wettbewerbsfaktor darstellt.<br />
4.3.1 Gesundheitswesen<br />
Das Gesundheitswesen ist mit 11 % des Brutto<strong>in</strong>landproduktes e<strong>in</strong>er der größten<br />
Bereiche der deutschen Volkswirtschaft, womit Deutschland im europäischen<br />
Vergleich nach der Schweiz an zweiter Stelle liegt. Auch wenn <strong>in</strong> den vergangenen<br />
zehn Jahren der Anteil der Gesundheitsausgaben am Brutto<strong>in</strong>landsprodukt<br />
annähernd konstant geblieben ist, herrscht im Gesundheitswesen dennoch e<strong>in</strong><br />
starker Optimierungsdruck. Dieser resultiert aus der zunehmenden Überalterung der<br />
Gesellschaft und durch strukturell bed<strong>in</strong>gte F<strong>in</strong>anzierungsprobleme. 47<br />
Durch den massiven E<strong>in</strong>satz von <strong>in</strong>novativer Informations- und<br />
Kommunikationstechnik können zum e<strong>in</strong>en die mediz<strong>in</strong>ische Versorgung qualitativ<br />
verbessert und zum anderen die Kosten weiter gesenkt werden. Die folgende<br />
Auflistung gibt e<strong>in</strong>en Überblick über die möglichen E<strong>in</strong>satzbereiche der Informationsund<br />
Kommunikationstechnik im Gesundheitswesen: 48<br />
• Gesundheitskarte<br />
• Gesundheitsmanagement<br />
• Patienten<strong>in</strong>formationssysteme<br />
• Patientenversorgung im Krankenhaus bzw. <strong>in</strong> der Arztpraxis<br />
• Televisite<br />
• Mobile Health (eHomecare)<br />
• Mediz<strong>in</strong>ische Großgeräte<br />
47 Vgl B<strong>IT</strong>KOM/BERGER (2007), S. 6ff.<br />
48 Vgl. B<strong>IT</strong>KOM/BERGER (2007), S. 52.<br />
29
• Mediz<strong>in</strong>ische Forschung<br />
• eLearn<strong>in</strong>g<br />
Die ab 2008 geplante E<strong>in</strong>führung der Gesundheitskarte stellt das wichtigste Projekt<br />
<strong>für</strong> die Modernisierung des deutschen Gesundheitswesens dar. Mit der Karte<br />
können die Kosten bei der Ausstellung und Abrechnung von Rezepten gesenkt, die<br />
Gefahr von Falschbehandlungen verr<strong>in</strong>gert und der Missbrauch von<br />
Versichertenkarten verh<strong>in</strong>dert werden. Berechnungen von B<strong>IT</strong>KOM zufolge können<br />
mit der Karte jährliche E<strong>in</strong>sparungen von mehreren hundert Millionen Euro im<br />
Gesundheitswesen erzielt werden. Zudem könnte Deutschland bei der E<strong>in</strong>führung<br />
der Gesundheitskarte e<strong>in</strong>e Vorreiterrolle <strong>in</strong> Europa e<strong>in</strong>nehmen. Davon könnten<br />
deutsche Unternehmen der <strong>IT</strong>-Branche profitieren, wenn andere Länder <strong>in</strong> Europa<br />
ebenfalls beabsichtigen, die Effizienz ihrer Gesundheitssysteme durch den E<strong>in</strong>satz<br />
moderner Informations- und Telekommunikationstechnik zu erhöhen und hierzu auf<br />
erfahrene deutsche Unternehmen zurückgreifen. 49<br />
Die folgende Abbildung gibt e<strong>in</strong>en Überblick über die <strong>IT</strong>K-Ausgaben im<br />
Gesundheitswesen von 2006 und die Prognosen <strong>für</strong><br />
2008.<br />
%<br />
100,0<br />
90,0<br />
80,0<br />
70,0<br />
60,0<br />
50,0<br />
40,0<br />
30,0<br />
20,0<br />
10,0<br />
0,0<br />
100 % = 3,7 Mrd € 100 % = 4,0 Mrd €<br />
29,6 29,3<br />
35,2 36,9<br />
6,2 5,9<br />
17,9 17,4<br />
11,1 10,6<br />
2006 2008<br />
<strong>IT</strong>-Hardw are Softw are Kommunikationsausstattung und <strong>IT</strong>-<strong>Sicherheit</strong> <strong>IT</strong>-Services TK-Dienste<br />
Abb. 4.11: <strong>IT</strong> Ausgaben im Gesundheitswesen 2006 – 2008<br />
Quelle: veränderte Darstellung nach B<strong>IT</strong>KOM/BERGER (2007), S. 52.<br />
49 Vgl. B<strong>IT</strong>KOM (2006), S. 12.<br />
30
Auch wenn der Anteil der Ausgaben <strong>für</strong> Kommunikationsausstattung und <strong>IT</strong>-<br />
<strong>Sicherheit</strong> den Prognosen zufolge von 6,2 % auf 5,9 % zurückgehen wird, kommt<br />
der <strong>IT</strong>-<strong>Sicherheit</strong> <strong>in</strong>sbesondere im Gesundheitswesen e<strong>in</strong>e entscheidende<br />
Bedeutung zu. So setzt die E<strong>in</strong>führung der Gesundheitskarte bspw. voraus, dass<br />
sich Arztpraxen, Apotheken, Kl<strong>in</strong>iken und Krankenversicherungen vernetzen und<br />
ihre <strong>IT</strong>-Systeme und Prozesse entsprechend anpassen. Hierbei muss die<br />
Vertraulichkeit, Integrität und Verfügbarkeit der ausgetauschten Informationen und<br />
e<strong>in</strong>gesetzten <strong>IT</strong>-Systeme sichergestellt se<strong>in</strong>. E<strong>in</strong> Missbrauch sensibler<br />
Patientendaten - hervorgerufen durch unzureichende <strong>IT</strong>-<strong>Sicherheit</strong>smaßnahmen -<br />
würde z.B. dazu führen, dass neben rechtlichen Konsequenzen <strong>für</strong> die<br />
entsprechende Arztpraxis, Apotheke etc. die Gesundheitskarte <strong>in</strong> der Bevölkerung<br />
nicht akzeptiert werden würde.<br />
Neben diesen datenschutzrechtlichen Aspekten, bei denen das Schutzziel der<br />
Vertraulichkeit im Fokus steht, muss <strong>in</strong>sbesondere im Gesundheitswesen die<br />
Verfügbarkeit und Integrität von Informationen und <strong>IT</strong>-Systemen gewährleistet se<strong>in</strong>,<br />
da bspw. der Ausfall oder die Manipulation von mediz<strong>in</strong>ischem Gerät unter<br />
Umständen lebensbedrohliche Konsequenzen nach sich ziehen kann.<br />
4.3.2 Bankensektor<br />
Banken und Unternehmen des F<strong>in</strong>anzdienstleistungssektors stellen aufgrund ihres<br />
Umgangs mit sehr vertrauensempf<strong>in</strong>dlichem Wissen und hohen<br />
Transaktionssummen beim Leistungsobjekt „Geld“ e<strong>in</strong> attraktives Ziel <strong>für</strong> Angreifer<br />
dar. Wie die folgende Auflistung zeigt, existieren <strong>für</strong> diese Branche zahlreiche<br />
Spezifika des <strong>IT</strong>-<strong>Sicherheit</strong>srisikos: 50<br />
• Zunehmende <strong>IT</strong>-Abhängigkeit der Bankwirtschaft bspw. bei <strong>in</strong>ternen<br />
Handels- und Abwicklungssystemen.<br />
• Extreme Abhängigkeit von besonders kritischen Infrastrukturen wie<br />
bankexternen Zahlungsverkehrssystemen.<br />
• Zunehmende Komplexität der <strong>IT</strong>-Infrastruktur aufgrund heterogener<br />
Systemlandschaften und proprietärer Alt-Systeme bed<strong>in</strong>gt durch partielle<br />
Neuentwicklungen (z.B. Onl<strong>in</strong>e-Bank<strong>in</strong>g) oder Fusionen.<br />
• Verstärkte Öffnung der <strong>IT</strong>-Systeme nach außen (Onl<strong>in</strong>e-Bank<strong>in</strong>g) und damit<br />
Gefährdung durch Hacker, Phisher, Viren, DDoS-Attacken etc.<br />
50 Vgl. E<strong>in</strong>haus (2006), S. 23; E<strong>in</strong>haus (2004), S. 6.<br />
31
• Erhöhte Komplexität der „gewöhnlichen“ Geschäftstätigkeit durch<br />
komplizierte F<strong>in</strong>anzprodukte, verstärkten Wettbewerb, organisatorische<br />
Umgestaltungen, Konzentrationsprozesse, gestiegene<br />
Abwicklungsgeschw<strong>in</strong>digkeit etc.<br />
• Besondere Vertrauensempf<strong>in</strong>dlichkeit der Kunden gegenüber der<br />
Bankdienstleistung.<br />
Nicht nur aufgrund der aufgeführten bankspezifischen <strong>IT</strong>-Risiken, sondern ebenso<br />
<strong>in</strong>folge von gesetzlichen Regulierungen wie der neuen Baseler<br />
Eigenkapitalvere<strong>in</strong>barung (Basel II) oder dem Sarbanes Oxley Act (SOX), <strong>in</strong>vestieren<br />
<strong>in</strong>sbesondere die Unternehmen dieser Branche verstärkt <strong>in</strong> Informationstechnik und<br />
sichere <strong>IT</strong>-Produkte. 51 Während der Bankensektor nur gut 3 % zur<br />
gesamtwirtschaftlichen Bruttowertschöpfung <strong>in</strong> Deutschland beiträgt und gerade mal<br />
2 % der Erwerbstätigen beschäftigt, entfallen 8 % des gesamten <strong>IT</strong>-Umsatzes mit<br />
Geschäftskunden auf diesen Sektor. Die folgende Abbildung zeigt die Ausgaben <strong>für</strong><br />
Informationstechnik im Bankensektor von 2006 und die Prognosen <strong>für</strong> 2008. 52<br />
%<br />
100,0<br />
90,0<br />
80,0<br />
70,0<br />
60,0<br />
50,0<br />
40,0<br />
30,0<br />
20,0<br />
10,0<br />
0,0<br />
100 % = 7,2 Mrd. € 100 % = 7,7 Mrd. €<br />
14,2 13,0<br />
40,9 42,3<br />
6,8 7,2<br />
18,7 18,4<br />
19,4 19,0<br />
2006 2008<br />
<strong>IT</strong>-Hardware Software Kommunikationsausstattung und <strong>IT</strong>-<strong>Sicherheit</strong> <strong>IT</strong>-Services TK-Dienste<br />
Abb. 4.12: <strong>IT</strong> Ausgaben im Bankensektor 2006 – 2008<br />
Quelle: veränderte Darstellung nach B<strong>IT</strong>KOM/BERGER (2007), S. 38.<br />
51 Vgl. www.cio.de<br />
52 Vgl. B<strong>IT</strong>KOM/BERGER (2007), S. 38.<br />
32
Wie die Abbildung verdeutlicht, werden den Prognosen zufolge die Ausgaben <strong>für</strong> die<br />
Bereiche Kommunikationsausstattung und <strong>IT</strong>-<strong>Sicherheit</strong> sowie <strong>für</strong> <strong>IT</strong>-Services<br />
steigen, während sie <strong>in</strong> den übrigen Bereichen bis 2008 s<strong>in</strong>ken werden.<br />
Die im Vergleich zu anderen Branchen hohen Investitionen <strong>in</strong> moderne Informationsund<br />
Kommunikationssysteme s<strong>in</strong>d erforderlich, um neue Geschäftsbereich zu<br />
erschließen bzw. die Produktivität im Bankensektor zu steigern. Als Beispiel seien<br />
hier die nahezu vollständige Automatisierung des Zahlungsverkehrs, die Abwicklung<br />
von Wertpapiertransaktionen ohne manuelle E<strong>in</strong>griffe, automatisierte Prozesse im<br />
Kreditgeschäft oder die Optimierung der Schnittstelle zum Kunden genannt. 53 Der <strong>IT</strong>-<br />
<strong>Sicherheit</strong> kommt <strong>in</strong> diesem Zusammenhang e<strong>in</strong> besonderer Stellenwert zu, da diese<br />
Effizienzsteigerungen nur möglich s<strong>in</strong>d, wenn die Vertraulichkeit, Integrität und<br />
Verfügbarkeit von Informationen und Systemen sichergestellt s<strong>in</strong>d.<br />
Zudem wird mit dem Inkrafttreten von Basel II die <strong>IT</strong>-<strong>Sicherheit</strong> zu e<strong>in</strong>em<br />
wettbewerbsbestimmenden Faktor. 54 Die seit Anfang 2007 <strong>in</strong> Kraft getretenen<br />
Neuerungen nach Basel II (im Vergleich zu Basel I) stellen zwar zunächst nur<br />
Vorschriften <strong>für</strong> Kredit<strong>in</strong>stitute dar, dennoch wird es erhebliche<br />
Ausstrahlungswirkungen auf Unternehmen anderer Branchen geben, da jeder Kredit,<br />
entsprechend der Bonität des Kreditnehmers, mit Eigenkapital unterlegt werden<br />
muss. Dies wird zur Folge haben, dass sich mit Inkrafttreten von Basel II die<br />
Fremdkapitalf<strong>in</strong>anzierung <strong>für</strong> Unternehmen mit e<strong>in</strong>em guten Rat<strong>in</strong>g verbilligen und <strong>für</strong><br />
Unternehmen mit e<strong>in</strong>em schlechten Rat<strong>in</strong>g verteuern wird. 55<br />
In diesem Zusammenhang kommt den <strong>IT</strong>-Risiken bei der Kreditvergabe im<br />
Rat<strong>in</strong>gprozess nach Basel II e<strong>in</strong>e besondere Bedeutung zu, da die <strong>IT</strong>-Infrastruktur <strong>in</strong><br />
der Wertschöpfungskette vieler Unternehmen e<strong>in</strong>en überlebenswichtigen Faktor<br />
darstellt. Die Gewichtung des <strong>IT</strong>-<strong>Sicherheit</strong>saspekts im Rahmen des Rat<strong>in</strong>gs nach<br />
Basel II hängt davon ab, wie abhängig e<strong>in</strong> Unternehmen von se<strong>in</strong>er <strong>IT</strong> ist. Bis zum<br />
Inkrafttreten von Basel II hatte der Nachweis etablierter <strong>IT</strong>-<strong>Sicherheit</strong> nur marg<strong>in</strong>ale<br />
Auswirkungen auf die Verbesserung der Kreditkonditionen, da der Stellenwert von<br />
<strong>IT</strong>-<strong>Sicherheit</strong> <strong>in</strong>nerhalb e<strong>in</strong>es Gesamtrat<strong>in</strong>gs nur e<strong>in</strong>e untergeordnete Rolle e<strong>in</strong>nahm.<br />
Mit dem Inkrafttreten von Basel II haben die Banken <strong>in</strong>dividuelle Analyse<strong>in</strong>strumente<br />
<strong>für</strong> den Bereich <strong>IT</strong>-<strong>Sicherheit</strong> entwickelt, um diesen <strong>in</strong>zwischen anerkanntermaßen<br />
53 Vgl. B<strong>IT</strong>KOM/BERGER (2007), S. 39f.<br />
54 Für e<strong>in</strong>e ausführliche Beschreibung der Neuerungen nach Basel II und der Bedeutung der <strong>IT</strong>-<br />
<strong>Sicherheit</strong> <strong>in</strong> diesem Kontext, vgl. Klempt (2007), S. 40 ff.<br />
55 Vgl. Romeike (2004a), S. 336ff.; Reichl<strong>in</strong>g (2003b), S. 9.<br />
33
zentralen Aspekt im Rahmen des Rat<strong>in</strong>gprozesses angemessen zu<br />
berücksichtigen. 56 Dies hat zur Folge, dass e<strong>in</strong> strukturiertes <strong>IT</strong>-<br />
<strong>Sicherheit</strong>smanagement <strong>in</strong> den Unternehmen e<strong>in</strong>en wichtigen Faktor <strong>für</strong> günstige<br />
Kreditkonditionen darstellt.<br />
Nicht nur auf Seiten der Unternehmen setzt Basel II Anreize zur Implementierung<br />
e<strong>in</strong>es effizienten Risikomanagements und Schaffung e<strong>in</strong>es angemessenen <strong>IT</strong>-<br />
<strong>Sicherheit</strong>sniveaus, auch auf Seiten der Banken werden die Qualität des<br />
Risikomanagements und das erreichte <strong>IT</strong>-<strong>Sicherheit</strong>sniveau zu<br />
wettbewerbsbestimmenden Faktoren. Die Limitierung des operationellen Risikos mit<br />
Hilfe der Eigenkapitalunterlegung hat nämlich zur Folge, dass die Bank mit dem<br />
effektivsten Risikomanagement am wenigsten Kapital <strong>für</strong> operationelle Risiken<br />
unterlegen muss und dieses freigewordene Kapital <strong>für</strong> andere Risikoarten verwendet<br />
und ertragsbr<strong>in</strong>gend e<strong>in</strong>gesetzt werden kann. 57 Vor diesem H<strong>in</strong>tergrund kommt den<br />
<strong>IT</strong>-Risiken wie beim Kreditvergabeprozess e<strong>in</strong>e besondere Bedeutung zu, da sie<br />
e<strong>in</strong>en zentralen Bestandteil der operationellen Risiken ausmachen. 58<br />
4.3.3 Automobilsektor<br />
Die Automobilbranche stellt von jeher e<strong>in</strong>en bedeutenden Wirtschaftszweig <strong>in</strong><br />
Deutschland dar. Der weltweite <strong>in</strong>tensive Wettbewerb zw<strong>in</strong>gt die deutschen<br />
Hersteller und Zulieferer zu laufenden Effizienzsteigerungen bei wachsender<br />
Variantenvielfalt und verkürzten Produktlebenszyklen. 59<br />
Der Informationstechnik kommt <strong>in</strong> diesem Zusammenhang <strong>in</strong> zweifacher H<strong>in</strong>sicht e<strong>in</strong><br />
bedeutender Stellenwert zu. Zum e<strong>in</strong>en als Treiber von Produkt<strong>in</strong>novationen – so<br />
basieren 80 % aller Innovationen im Automobil auf <strong>IT</strong>-Hardware oder -Software. 60<br />
Zum anderen können durch den E<strong>in</strong>satz moderner <strong>IT</strong>-Systeme die Prozesse der<br />
Hersteller und Zulieferer optimiert und die Produktionseffizienz gesteigert werden.<br />
Die <strong>IT</strong>-Ausgaben der Automobilbranche beliefen sich im Jahre 2006 auf 4,6 Mrd. €<br />
und werden <strong>für</strong> 2008 auf 5,0 Mrd. € prognostiziert wie die folgende Abbildung<br />
veranschaulicht. 61<br />
56<br />
Vgl. Công Bùi (2005), S. 12.<br />
57<br />
Vgl. van den Br<strong>in</strong>k (2003), S. 27f.<br />
58<br />
Für mögliche Schadensformen, die aus operationellen Risiken resultieren können, vgl. E<strong>in</strong>haus<br />
(2002), S. 489.<br />
59<br />
Vgl. B<strong>IT</strong>KOM/BERGER (2007), S. 44.<br />
60<br />
Vgl. Bundesm<strong>in</strong>isterium <strong>für</strong> Bildung und Forschung (2007), S. 12; B<strong>IT</strong>KOM (2005), S. 12.<br />
61<br />
Vgl. B<strong>IT</strong>KOM/BERGER (2007), S. 44f.<br />
34
%<br />
100,0<br />
90,0<br />
80,0<br />
70,0<br />
60,0<br />
50,0<br />
40,0<br />
30,0<br />
20,0<br />
10,0<br />
0,0<br />
100 % = 4,6 Mrd. € 100 % =5,0 Mrd. €<br />
16,7 16,0<br />
15,9<br />
4,9<br />
53,3<br />
15,7<br />
4,5<br />
55,0<br />
9,2 8,9<br />
2006 2008<br />
<strong>IT</strong>-Hardw are Softw are Kommunikationsausstattung und <strong>IT</strong>-<strong>Sicherheit</strong> <strong>IT</strong>-Serv ices TK-Dienste<br />
Abb. 4.13: <strong>IT</strong> Ausgaben <strong>in</strong> der Automobilbranche 2006 – 2008<br />
Quelle: veränderte Darstellung nach B<strong>IT</strong>KOM/BERGER (2007), S. 44.<br />
Produkt<strong>in</strong>novationen im Fahrzeug basieren heutzutage fast ausschließlich auf<br />
elektronischen Komponenten. Funktionen, die früher mechanisch betrieben wurden,<br />
werden <strong>in</strong> modernen Fahrzeugen <strong>in</strong> vielen Fällen elektronisch unterstützt - e<strong>in</strong><br />
Fahrzeug der Oberklasse enthält heute mehr als 70 Mikroprozessoren.<br />
Mit dem gestiegenen Anteil der <strong>in</strong> modernen Autos e<strong>in</strong>gebauten Informationstechnik,<br />
nimmt der Bedarf nach deren Schutz vor systematischer Manipulation gravierend zu.<br />
Der Großteil der <strong>IT</strong>-Komponenten, die <strong>in</strong> den Autos der heutigen Zeit verwendet<br />
werden, ist gegen Manipulationen jedoch nicht geschützt. Dies liegt zum e<strong>in</strong>en<br />
daran, dass die <strong>in</strong> älteren Autos e<strong>in</strong>gesetzten <strong>IT</strong>-Systeme ke<strong>in</strong>e Schutzfunktionen<br />
benötigen, da nur ger<strong>in</strong>ger Anreiz <strong>für</strong> schädliche Manipulationen besteht (wer hätte<br />
bspw. Interesse an der Manipulation e<strong>in</strong>er elektronischen E<strong>in</strong>spritzpumpe?). Zudem<br />
steht bei der Entwicklung e<strong>in</strong>es Systems zunächst die Funktionalität im Vordergrund.<br />
<strong>Sicherheit</strong>svorkehrungen werden meist erst nachträglich implementiert und s<strong>in</strong>d<br />
dementsprechend fehleranfällig wie zum Beispiel die <strong>Sicherheit</strong>sschwächen des<br />
Internets belegen. 62<br />
62 Vgl. Wolf/Weimerskirch/Woll<strong>in</strong>ger (2007), S. 1.<br />
35
Die <strong>in</strong> modernen Autos e<strong>in</strong>gebaute Informationstechnik liefert e<strong>in</strong>en erhöhten Anreiz<br />
zur Manipulation kritischer Komponenten. Das Umgehen der elektronischen<br />
Wegfahrsperre bspw. kann zum Diebstahl e<strong>in</strong>es Autos führen. Aus e<strong>in</strong>er<br />
Manipulation des Kilometerzählers kann e<strong>in</strong> erhöhter Erlös beim Verkauf e<strong>in</strong>es<br />
Wagens oder e<strong>in</strong>e unberechtigte Steuerrückerstattung erzielt werden. Der Schutz der<br />
Vertraulichkeit, Integrität und Verfügbarkeit der <strong>IT</strong>-Systeme wird zukünftig<br />
<strong>in</strong>sbesondere <strong>für</strong> die Automobilbranche e<strong>in</strong>e immer bedeutendere Rolle spielen.<br />
Zudem wird die <strong>IT</strong>-<strong>Sicherheit</strong> im Automobilbereich zur enabl<strong>in</strong>g technology, d.h.<br />
zukünftige Anwendungen und neue Geschäftsmodelle (z.B. das Bereitstellen von<br />
zeitlich begrenzten Funktionen im Auto oder pay-per-use von Infota<strong>in</strong>ment-Inhalten)<br />
werden erst durch die Gewährleistung von <strong>IT</strong>-<strong>Sicherheit</strong> ermöglicht. 63<br />
Neben den aufgeführten Aspekten kommt der <strong>IT</strong>-<strong>Sicherheit</strong> im Rahmen des<br />
Informationsaustausches und bei der Optimierung der Produktionsprozesse von<br />
Herstellern und Zulieferern e<strong>in</strong>e besondere Bedeutung zu. Der zeitnahe Austausch<br />
von Informationen über die Unternehmensgrenzen h<strong>in</strong>weg stellt e<strong>in</strong>en wesentlichen<br />
Erfolgsfaktor e<strong>in</strong>er Versorgungskette (Supply Cha<strong>in</strong>) dar. Der <strong>in</strong>ternetbasierte<br />
Informationsaustausch ermöglicht heute - im Gegensatz zu proprietären Electronic<br />
Data Interchange (EDI) Beziehungen <strong>in</strong> der Vergangenheit - auch kle<strong>in</strong>en und<br />
mittelständischen Unternehmen die kostengünstige E<strong>in</strong>b<strong>in</strong>dung <strong>in</strong> die Supply Cha<strong>in</strong>.<br />
Durch den <strong>in</strong>ternetbasierten Informationsaustausch steigen <strong>für</strong> die beteiligten Unternehmen<br />
jedoch auch die Risiken im Falle e<strong>in</strong>er Verletzung der Vertraulichkeit,<br />
Verfügbarkeit oder Integrität der Informationen und Systeme. 64<br />
Das Supply Cha<strong>in</strong> Management erschließt unternehmensübergreifend<br />
Erfolgspotentiale durch die ganzheitliche Gestaltung der gesamten<br />
Wertschöpfungskette mit den zugehörigen Güter-, Geld- und Informationsflüssen. 65<br />
Gerade die frühzeitige, umfassende Information der Beteiligten ermöglicht den<br />
Abbau von Lagerbeständen, e<strong>in</strong>e verbesserte Kapazitätsausnutzung und e<strong>in</strong>e<br />
Erhöhung der Lieferbereitschaft, <strong>in</strong>sbesondere abgeleitet aus der Vermeidung des<br />
Bullwhip-Effektes, ebenfalls bekannt als Forrester- oder Peitschenschlageffekt. 66<br />
63 Für e<strong>in</strong>en Überblick zu zukünftigen Anwendungen und Schutzmechanismen vgl.<br />
Wolf/Weimerskirch/Woll<strong>in</strong>ger (2007), S. 6ff.<br />
64 Vgl. Werners/Klempt (2007), S. 287.<br />
65 E<strong>in</strong>e umfangreiche Übersicht über SCM-Def<strong>in</strong>itionen gibt Freiwald 2005, S. 9.<br />
66 Vgl. Göpfert 2002, S. 32 ff.<br />
36
Zur Realisierung dieser Ziele ist e<strong>in</strong> medienbruchfreier und kont<strong>in</strong>uierlicher<br />
Austausch von Informationen über die Unternehmensgrenzen h<strong>in</strong>weg notwendig,<br />
wodurch sich - bezogen auf die zuvor genannten Schutzziele - exemplarisch die<br />
folgenden Störfaktoren und <strong>Sicherheit</strong>smaßnahmen <strong>in</strong> e<strong>in</strong>er Supply Cha<strong>in</strong> ergeben<br />
könnten: 67<br />
• Vertraulichkeit: Vertrauliche Po<strong>in</strong>t-of-Sale Informationen werden beim<br />
Austausch zwischen zwei Partnern <strong>in</strong>nerhalb der Supply Cha<strong>in</strong> von<br />
Unbefugten mitgelesen. E<strong>in</strong> möglicher Ausweg zur Wahrung der<br />
Vertraulichkeit der Informationen besteht <strong>in</strong> dem E<strong>in</strong>satz von<br />
Verschlüsselungstechniken.<br />
• Integrität: Informationen werden <strong>in</strong>nerhalb des Unternehmens oder<br />
während der Übermittlung zu e<strong>in</strong>em Supply Cha<strong>in</strong> Partner unbefugt<br />
verändert. Durch entsprechende Zugriffsberechtigungen kann erreicht<br />
werden, dass nur autorisierte Benutzer Zugang zu schützenswerten<br />
Informationen erlangen. Durch den E<strong>in</strong>satz von E<strong>in</strong>weg-Hash-<br />
Funktionen kann e<strong>in</strong>e Veränderung der Daten aufgespürt werden.<br />
• Verfügbarkeit: Der Zusammenbruch e<strong>in</strong>es Servers kann <strong>in</strong>folge der<br />
Überbeanspruchung durch e<strong>in</strong>en Denial of Service Angriff verursacht<br />
werden. E<strong>in</strong> möglicher Ausweg ist der E<strong>in</strong>satz e<strong>in</strong>er Firewall zum<br />
Schutz vor Angriffen, die ihren Ursprung außerhalb des eigenen<br />
Netzwerks haben. Ebenso kann durch die Bereitstellung von<br />
Ersatzsystemen und den E<strong>in</strong>satz von redundanten<br />
Kommunikationsverb<strong>in</strong>dungen Angriffen auf die Verfügbarkeit<br />
entgegengewirkt werden.<br />
Jedes <strong>in</strong> die Supply Cha<strong>in</strong> e<strong>in</strong>gebundene Unternehmen hat da<strong>für</strong> Sorge zu tragen,<br />
dass niemand widerrechtlich <strong>in</strong> den Besitz der ausgetauschten Informationen<br />
gelangen kann, dass e<strong>in</strong>e Manipulation der Informationen ausgeschlossen ist und<br />
dass die erforderlichen Informationen geeignet verfügbar s<strong>in</strong>d. Weiterh<strong>in</strong> ist aus Sicht<br />
jedes der beteiligten Unternehmen sicherzustellen, dass die Kooperationspartner nur<br />
auf die freigegebenen Informationen, nicht jedoch auf vertrauliche<br />
Unternehmensdaten zugreifen können. Beide Aspekte s<strong>in</strong>d u. a. durch e<strong>in</strong><br />
67 Vgl. Steven/Tengler 2005, S. 345 ff.<br />
37
geeignetes Rechtekonzept mit angepassten Authentifizierungs- und<br />
Autorisierungsmechanismen sicherzustellen. 68<br />
Das erreichte <strong>IT</strong>-<strong>Sicherheit</strong>sniveau von Partnerunternehmen entlang der Supply<br />
Cha<strong>in</strong> sollte <strong>für</strong> jedes Unternehmen von besonderem Interesse se<strong>in</strong>, da die<br />
Verfügbarkeit und die Qualität von Informationen wesentliche Faktoren <strong>für</strong> e<strong>in</strong><br />
erfolgreiches Supply Cha<strong>in</strong> Management darstellen. 69<br />
Da der vertrauliche Austausch von Informationen und die Verfügbarkeit der <strong>IT</strong>-<br />
Systeme entscheidende Erfolgsfaktoren <strong>für</strong> das Supply Cha<strong>in</strong> Management<br />
darstellen, sollte von den Verantwortlichen aller <strong>in</strong> e<strong>in</strong>e Supply Cha<strong>in</strong> e<strong>in</strong>gebundenen<br />
Unternehmen genügend Ressourcen bereitgestellt werden, um e<strong>in</strong> abgestimmtes,<br />
akzeptables <strong>IT</strong>-<strong>Sicherheit</strong>sniveau zu erreichen und zu halten.<br />
68 Vgl. Bon 2004, S. 54.<br />
69 Vgl. Lackes 2004, S. 424.<br />
38
5 <strong>Institut</strong>ionen aus dem <strong>IT</strong>-<strong>Sicherheit</strong>sbereich<br />
5.1 Übersicht der identifizierten <strong>Institut</strong>ionen<br />
Im Folgenden wird analysiert, welche Behörden, Verbände, Organisationen,<br />
E<strong>in</strong>richtungen etc. Aktivitäten im <strong>IT</strong>-<strong>Sicherheit</strong>sumfeld entfalten. Da der Fokus dieser<br />
Analyse auf <strong>NRW</strong> liegt, werden zum e<strong>in</strong>en die <strong>in</strong> <strong>NRW</strong> ansässigen <strong>Institut</strong>ionen<br />
erfasst. Zum anderen werden die E<strong>in</strong>richtungen betrachtet, die ihren Sitz außerhalb<br />
von <strong>NRW</strong> haben aber aufgrund ihrer bundesweiten Aktivitäten <strong>für</strong> <strong>NRW</strong> ebenfalls<br />
relevant s<strong>in</strong>d. Die nachfolgende Abbildung zeigt die identifizierten <strong>Institut</strong>ionen, deren<br />
<strong>IT</strong>-<strong>Sicherheit</strong>saktivitäten <strong>in</strong> den Kapiteln 5.2 und 5.3 beleuchtet werden.<br />
Abb. 5.1: Übersicht und Lage der identifizierten <strong>Institut</strong>ionen<br />
39
Bei den identifizierten <strong>Institut</strong>ionen kann differenziert werden, ob die <strong>IT</strong>-<strong>Sicherheit</strong><br />
e<strong>in</strong>en Schwerpunkt oder nur e<strong>in</strong>en Teilbereich des Aufgabenspektrums darstellt und<br />
ob die Aktivitäten bundesweit oder regional stattf<strong>in</strong>den. Die alphabetisch sortierte<br />
Auflistung erhebt ke<strong>in</strong>en Anspruch auf Vollständigkeit, enthält aber nach Me<strong>in</strong>ung der<br />
Verfasser die wichtigsten <strong>Institut</strong>ionen, die <strong>für</strong> den vorliegenden Bericht relevant s<strong>in</strong>d.<br />
Name <strong>IT</strong>-<strong>Sicherheit</strong> als Aktivitäten<br />
Sitz der<br />
<strong>Institut</strong>ion<br />
Schwerpunkt Teilbereich bundesweit regional<br />
B<strong>IT</strong>KOM e.V. X X Berl<strong>in</strong> http://www.B<strong>IT</strong>KOM.de<br />
BSI X X Bonn http://www.bsi.de<br />
DZI X X Darmstadt<br />
http://www.dzi.tudarmstadt.de<br />
Deutschland sicher im<br />
Netz e.V.<br />
X X Berl<strong>in</strong><br />
https://www.sicher-imnetz.de<br />
eurobits X X Bochum http://www.eurobits.de<br />
Industrie- und<br />
Handelskammer<br />
X X z.B. Bochum http://www.bochum.ihk.de<br />
Initiative D21 e.V. X X Berl<strong>in</strong> http://www.<strong>in</strong>itiatived21.de<br />
Networker <strong>NRW</strong> X X Dortmund<br />
http://www.networkernrw.de<br />
NIFIS e.V. X X Frankfurt http://www.nifis.de<br />
secure-it.nrw.de X X Bonn<br />
Teletrust Deutschland<br />
e.V<br />
Tab. 5.1: <strong>Institut</strong>ionen mit <strong>IT</strong>-<strong>Sicherheit</strong>saktivitäten<br />
L<strong>in</strong>k<br />
http://www.secureit.nrw.de<br />
X X Erfurt http://www.teletrust.de<br />
Wie aus Tabelle 5.1 und der Abbildung 5.1 ersichtlich, s<strong>in</strong>d 4 der 8 aufgeführten<br />
<strong>Institut</strong>ionen mit bundesweiten Aktivitäten <strong>in</strong> der neuen bzw. alten Bundeshauptstadt<br />
ansässig. Dies ist <strong>in</strong>sofern wenig überraschend, da die <strong>Institut</strong>ionen mit<br />
bundesweiten Aktivitäten häufig Verb<strong>in</strong>dungen zur Politik aufweisen wie die<br />
folgenden Kurzbeschreibungen verdeutlichen.<br />
40
5.2 <strong>Institut</strong>ionen mit Sitz <strong>in</strong> <strong>NRW</strong><br />
5.2.1 Bundesamt <strong>für</strong> <strong>Sicherheit</strong> <strong>in</strong> der Informationstechnik<br />
Das <strong>in</strong> Bonn ansässige Bundesamt <strong>für</strong> <strong>Sicherheit</strong> <strong>in</strong> der Informationstechnik (BSI)<br />
wurde am 1. Januar 1991 gegründet und gehört zum Geschäftsbereich des<br />
Bundesm<strong>in</strong>isteriums des Innern. Das BSI ist e<strong>in</strong>e unabhängige und neutrale Stelle<br />
<strong>für</strong> Fragen zur <strong>IT</strong>-<strong>Sicherheit</strong> <strong>in</strong> der Informationsgesellschaft. Die Bundesbehörde<br />
beschäftigt über 450 spezialisierte Informatiker, Physiker, Mathematiker und andere<br />
Mitarbeiter und ist damit im Vergleich zu sonstigen europäischen E<strong>in</strong>richtungen als<br />
Behörde e<strong>in</strong>zigartig. Das Aufgabenspektrum des BSI ist vielschichtig und komplex<br />
und deckt nahezu alle Themen rund um die <strong>IT</strong>-<strong>Sicherheit</strong> ab - von A wie<br />
Akkreditierung über E wie E-Government oder Elektronische Signatur bis h<strong>in</strong> zu Z<br />
wie Zertifizierung.<br />
Das BSI analysiert <strong>IT</strong>-Entwicklungen und <strong>IT</strong>-Trends, untersucht <strong>Sicherheit</strong>srisiken bei<br />
der Anwendung der Informationstechnik und entwickelt <strong>Sicherheit</strong>slösungen <strong>in</strong><br />
Kooperation mit der Industrie. Zudem bietet das BSI mit den Standards zur<br />
Informationssicherheit und den <strong>IT</strong>-Grundschutzkatalogen Unternehmen jeder<br />
Größenordnung e<strong>in</strong>e e<strong>in</strong>fache Methode, dem Stand der Technik entsprechende <strong>IT</strong>-<br />
<strong>Sicherheit</strong>smaßnahmen zu identifizieren und umzusetzen.<br />
5.2.2 Europäisches Kompetenzzentrum <strong>für</strong> <strong>IT</strong>-<strong>Sicherheit</strong><br />
Das im Jahre 1999 gegründete, <strong>in</strong> Bochum angesiedelte Europäische<br />
Kompetenzzentrum <strong>für</strong> <strong>IT</strong>-<strong>Sicherheit</strong> (eurobits e.V.) hat sich <strong>in</strong>nerhalb weniger Jahre<br />
zu e<strong>in</strong>em europaweit herausragenden Standort <strong>für</strong> <strong>IT</strong>-<strong>Sicherheit</strong> entwickelt.<br />
Eurobits zeichnet sich durch Interdiszipl<strong>in</strong>arität und die enge Verzahnung von<br />
Forschung und Anwendung aus. Durch die Anb<strong>in</strong>dung an die <strong>Ruhr</strong>-Universität<br />
Bochum fließen neueste wissenschaftliche Erkenntnisse direkt <strong>in</strong> die Praxis e<strong>in</strong>. Die<br />
zentrale Idee von eurobits besteht dar<strong>in</strong>, neben <strong>in</strong>ternationaler Spitzenforschung auf<br />
der Universitätsseite e<strong>in</strong>e Umsetzung und Kommerzialisierung des enormen Know-<br />
Hows durch Sp<strong>in</strong>-Off-Unternehmen zu bewerkstelligen.<br />
41
<strong>Horst</strong> <strong>Görtz</strong> <strong>Institut</strong>e<br />
for <strong>IT</strong> Security<br />
<strong>Institut</strong>e for eBus<strong>in</strong>ess<br />
Security<br />
Abb. 5.2: Aufbau von eurobits e.V.<br />
eurobits<br />
European Competence Centre for <strong>IT</strong> Security<br />
gits AG<br />
Cont<strong>in</strong>u<strong>in</strong>g<br />
Education<br />
escrypt GmbH<br />
Embedded<br />
Security<br />
G<strong>IT</strong>S Projekt GmbH<br />
„Zentrum <strong>für</strong> <strong>IT</strong> <strong>Sicherheit</strong>“<br />
sirrix AG<br />
Network, PC<br />
Security<br />
Wie die Abbildung verdeutlicht bildet das <strong>Horst</strong> <strong>Görtz</strong> <strong>Institut</strong> <strong>für</strong> <strong>IT</strong>-<strong>Sicherheit</strong> (HGI)<br />
(siehe Kapitel 3.2.2) die tragende Säule auf der wissenschaftlichen Seite. Das <strong>Institut</strong><br />
<strong>für</strong> <strong>Sicherheit</strong> im E-Bus<strong>in</strong>ess ist <strong>in</strong> das HGI e<strong>in</strong>gebettet und befasst sich im<br />
Gegensatz zum HGI nicht mit technischen, kryptografischen und mathematischen<br />
Aspekten der Informationssicherheit, sondern mit ökonomischen Fragestellungen.<br />
Der wissenschaftlichen Säule stehen mit der Gesellschaft <strong>für</strong> <strong>IT</strong>-<strong>Sicherheit</strong> (gits AG),<br />
der escrypt GmbH und der gits Projekt GmbH Unternehmen gegenüber, die im<br />
Umfeld von eurobits neu entstanden s<strong>in</strong>d. Die Vorteile dieser Kooperation wurden<br />
auch von der sirrix AG erkannt, die sich <strong>in</strong>zwischen dem eurobits e.V. angeschlossen<br />
hat. Die Unternehmen s<strong>in</strong>d im Zentrum <strong>für</strong> <strong>IT</strong> <strong>Sicherheit</strong> angesiedelt, das auf 4.000<br />
Quadratmetern Büro-, Konferenz- und Sem<strong>in</strong>arräume zur Verfügung stellt. Neben<br />
den eurobits-Partnern s<strong>in</strong>d weitere Firmen aus dem Gebiet der <strong>IT</strong>-<strong>Sicherheit</strong> <strong>in</strong> dem<br />
Gebäude tätig und nutzen die zahlreichen Synergien, die eurobits bietet.<br />
42
5.2.3 Industrie- und Handelskammer<br />
Mit der Aufnahme e<strong>in</strong>er gewerblichen Tätigkeit werden Unternehmen nach<br />
gesetzlicher Regelung automatisch Mitglied bei der Industrie und Handelskammer.<br />
Der IHK gehören Unternehmen aller Größenordnungen aus den Bereichen Industrie,<br />
Handel und Dienstleistungen mit unterschiedlichsten Tätigkeitsschwerpunkten an.<br />
Die Aufgabe der IHK besteht dar<strong>in</strong>, die Standortqualität des jeweiligen Bezirks zu<br />
fördern und das Gesamt<strong>in</strong>teresse der ansässigen Unternehmen wahrzunehmen.<br />
Exemplarisch <strong>für</strong> sämtliche Industrie- und Handelskammern (IHK) <strong>in</strong> <strong>NRW</strong> werden<br />
die Aktivitäten im <strong>IT</strong>-<strong>Sicherheit</strong>sbereich der IHK im mittleren <strong>Ruhr</strong>gebiet zu Bochum<br />
betrachtet.<br />
Die IHK Bochum bietet ihren Mitgliedsunternehmen verschiedene Möglichkeiten, sich<br />
über <strong>IT</strong>-sicherheitsrelevante Themen zu <strong>in</strong>formieren. Zum e<strong>in</strong>en werden auf den<br />
Webseiten der IHK zahlreiche Informationen mit <strong>IT</strong>-<strong>Sicherheit</strong>sbezug bereitgestellt,<br />
zum anderen werden unter Mitwirkung externer Partner Fachvorträge angeboten. So<br />
hielten <strong>in</strong> der Vergangenheit bspw. Herr Pommer von der Landes<strong>in</strong>itiative secureit.nrw<br />
(siehe Kapitel 5.2.5) im Rahmen des IHK-Branchentreff Multimedia sowie Frau<br />
Dr. Neuber und Herr Dr. Klempt vom <strong>Institut</strong> <strong>für</strong> <strong>Sicherheit</strong> im E-Bus<strong>in</strong>ess (ISEB) im<br />
Rahmen des IHK-Mittelstandsforum Fachvorträge zu praxisrelevanten <strong>IT</strong>-<br />
<strong>Sicherheit</strong>sthemen <strong>in</strong> den IHK-Räumlichkeiten.<br />
Neben diesen Aktivitäten ist die IHK im mittleren <strong>Ruhr</strong>gebiet zu Bochum<br />
Mitveranstalter verschiedener <strong>IT</strong>-<strong>Sicherheit</strong>sveranstaltungen, wie z.B. der <strong>IT</strong>-Trends<br />
<strong>Sicherheit</strong> oder des <strong>NRW</strong>-Forschungstages <strong>IT</strong>-<strong>Sicherheit</strong> (s.u.).<br />
5.2.4 Networker <strong>NRW</strong> e.V.<br />
Der Unternehmervere<strong>in</strong> networker <strong>NRW</strong> e.V. wurde im Juli 2004 von den Vere<strong>in</strong>en<br />
networker westfalen e.V. und ruhr networker e.V. gegründet und stellt mit mehr als<br />
300 Mitgliedsunternehmen landesweit den größten und bundesweit den drittgrößten<br />
<strong>IT</strong>-Interessenverband dar.<br />
Die Ziele dieses <strong>IT</strong>-Dachverbandes liegen <strong>in</strong> der nachhaltigen Förderung und<br />
Stärkung der Wirtschafts- und Wissenschaftsentwicklung im Bereich der<br />
Informations- und Kommunikationswirtschaft <strong>in</strong> Nordrhe<strong>in</strong>-Westfalen sowie <strong>in</strong> der<br />
Bündelung der Leistungsfähigkeit und Förderung geme<strong>in</strong>schaftlicher Projekte.<br />
Weitere Ziele s<strong>in</strong>d die Sicherung und der Ausbau von Arbeitsplätzen, die<br />
Unterstützung von Ausbildungs<strong>in</strong>itiativen sowie die Interessenvertretung der<br />
43
Mitgliedsunternehmen bspw. gegenüber dem Land, den IHK´s und den<br />
Wirtschaftsförderungen.<br />
Der networker <strong>NRW</strong> e.V. arbeitet mit den Städten und Kreisen über die<br />
Wirtschaftsförderungsverbände der Regionen, den Industrie- und Handelskammern,<br />
den Hochschulen, den Universitäten und Verbänden eng zusammen und führt <strong>in</strong><br />
regelmäßigen Abständen regionale und überregionale Veranstaltungen durch.<br />
Das Veranstaltungsformat <strong>IT</strong>-TRENDS wird zu unterschiedlichen<br />
Schwerpunktthemen angeboten und hat sich im <strong>Ruhr</strong>gebiet zu e<strong>in</strong>em Markenzeichen<br />
<strong>für</strong> Lösungen <strong>in</strong> der Informationstechnik entwickelt. E<strong>in</strong>e dieser<br />
Schwerpunktveranstaltungen – die <strong>IT</strong>-Trends <strong>Sicherheit</strong> – wird seit 2005 jährlich <strong>in</strong><br />
Zusammenarbeit mit der Stadt Bochum, der IHK im mittleren <strong>Ruhr</strong>gebiet und<br />
Eurobits (siehe Kapitel 5.2.2) im Zentrum <strong>für</strong> <strong>IT</strong>-<strong>Sicherheit</strong> <strong>in</strong> Bochum durchgeführt.<br />
Die Veranstaltung wendet sich an Geschäftsführer und <strong>IT</strong>-Verantwortliche kle<strong>in</strong>er<br />
und mittelständischer Unternehmen, um Informationen und Lösungen <strong>für</strong> aktuelle<br />
Problemstellungen im Bereich der <strong>IT</strong>-<strong>Sicherheit</strong> vorzustellen.<br />
5.2.5 Landes<strong>in</strong>itiative secure.it-nrw.de<br />
Die bei der IHK Bonn/Rhe<strong>in</strong>-Sieg angesiedelte Landes<strong>in</strong>itiative secure-it.nrw wird seit<br />
Ende des Jahres 2001 vom M<strong>in</strong>isterium <strong>für</strong> Innovation, Wirtschaft, Forschung und<br />
Technologie des Landes Nordrhe<strong>in</strong>-Westfalen mit der Zielsetzung gefördert,<br />
Unternehmen, Bürger<strong>in</strong>nen und Bürger, Schüler<strong>in</strong>nen und Schüler sowie Lehrkräfte<br />
über das Thema Informationssicherheit und Datenschutz zu <strong>in</strong>formieren und zu<br />
qualifizieren. Zur Erreichung dieser Zielsetzung entfaltet secure-it.nrw zahlreiche<br />
Aktivitäten, die im Folgenden näher beleuchtet werden.<br />
Der im Jahre 2004 <strong>in</strong>s Leben berufene <strong>IT</strong>-<strong>Sicherheit</strong>spreis <strong>NRW</strong> zeichnet besonders<br />
vorbildliche Lösungen und Anwendungen zur <strong>IT</strong>-<strong>Sicherheit</strong> und zum Datenschutz<br />
aus. Dieser Wettbewerb, an dem seit dem Jahr 2006 Unternehmen aus dem<br />
gesamten Bundesgebiet teilnehmen können, hat sich als Marke etabliert und trägt<br />
damit zum Standortmarket<strong>in</strong>g des Landes <strong>NRW</strong> bei. Die Preisverleihung wird seit<br />
2006 auf dem <strong>IT</strong>-<strong>Sicherheit</strong>stag <strong>NRW</strong> durch den <strong>NRW</strong>-Innovationsm<strong>in</strong>ister Prof.<br />
P<strong>in</strong>kwart vorgenommen, was den Stellenwert dieses Wettbewerbs zusätzlich<br />
unterstreicht.<br />
Der <strong>IT</strong>-<strong>Sicherheit</strong>stag <strong>NRW</strong> wird im Jahr 2007 bereits zum sechsten Mal stattf<strong>in</strong>den<br />
und hat sich mittlerweile als e<strong>in</strong>e der größten <strong>IT</strong>-<strong>Sicherheit</strong>sveranstaltungen dieser<br />
44
Art <strong>in</strong> Deutschland etabliert. Die jährliche Veranstaltung wird <strong>in</strong> Zusammenarbeit mit<br />
regionalen Veranstaltungspartnern durchgeführt und fand bislang <strong>in</strong> Köln, Bochum,<br />
Düsseldorf, Aachen und Hagen statt (2002-2006). Im Fokus der diesjährigen<br />
Veranstaltung, die wiederum <strong>in</strong> Köln stattf<strong>in</strong>den wird, stehen Leitl<strong>in</strong>ien und Faktoren<br />
<strong>für</strong> e<strong>in</strong> erfolgreiches <strong>IT</strong>-<strong>Sicherheit</strong>smanagement. Neben den Fachvorträgen runden<br />
e<strong>in</strong>e Begleitausstellung sowie Workshops zur Vertiefung der Konferenzthemen das<br />
Informationsangebot des <strong>IT</strong>-<strong>Sicherheit</strong>skongresses ab.<br />
Der <strong>NRW</strong>-Forschungstag <strong>IT</strong>-<strong>Sicherheit</strong> als zentrale Schnittstelle zwischen Wirtschaft<br />
und Wissenschaft wird nach 2006 <strong>in</strong> Aachen <strong>in</strong> diesem Jahr <strong>in</strong> Bochum stattf<strong>in</strong>den.<br />
Im Rahmen des Fachkongresses werden Best Practice-Beispiele und Erfolgsfaktoren<br />
<strong>für</strong> die Entwicklung <strong>in</strong>novativer <strong>IT</strong>-<strong>Sicherheit</strong>slösungen und marktnaher<br />
Forschungsprojekte gezeigt. Das Ziel dieser Veranstaltung mit<br />
Begleitausstellung liegt dar<strong>in</strong>, Entwickler und Anwender von <strong>IT</strong>-<strong>Sicherheit</strong>slösungen<br />
<strong>in</strong> e<strong>in</strong>en <strong>in</strong>tensiven Dialog zu br<strong>in</strong>gen und so neue Impulse <strong>für</strong> anwendungsorientierte<br />
Projekte zu schaffen.<br />
Neben diesen Großveranstaltungen organisiert die Landes<strong>in</strong>itiative <strong>in</strong> regelmäßigen<br />
Abständen halbtägige Workshops zu <strong>IT</strong>-<strong>Sicherheit</strong>sthemen, die unter Mitwirkung<br />
verschiedener Veranstaltungspartner an unterschiedlichen Orten <strong>in</strong> <strong>NRW</strong><br />
durchgeführt werden. Zudem bietet secure-it.nrw zusammen mit<br />
Kreispolizeibehörden und/oder örtlichen Banken und Sparkassen die<br />
Kompaktveranstaltung Onl<strong>in</strong>e-aber sicher! an, <strong>in</strong> der Bürger<strong>in</strong>nen und Bürgern<br />
Basiswissen im sicheren Umgang mit dem Computer und dem Internet vermittelt<br />
wird. Im Rahmen der Lehrerfortbildung <strong>IT</strong>-<strong>Sicherheit</strong> macht Schule <strong>in</strong> <strong>NRW</strong> wurden<br />
bislang mehr als 500 Lehrern Grundlagen zur <strong>IT</strong>-<strong>Sicherheit</strong> vermittelt.<br />
Neben diesen Aktivitäten wurden von secure-it.nrw zahlreiche Broschüren zu<br />
unterschiedlichen <strong>IT</strong>-<strong>Sicherheit</strong>sthemen veröffentlicht. Alle<strong>in</strong> im Jahr 2006 wurden<br />
<strong>in</strong>sgesamt mehr als 37.000 Exemplare verbreitet. Auf der Webseite www.secureit.nrw<br />
werden den Nutzern umfangreiche, aktuelle Informationen zu <strong>IT</strong>-<br />
<strong>Sicherheit</strong>sthemen und <strong>IT</strong>-<strong>Sicherheit</strong>sveranstaltungen präsentiert, wobei die Zahl der<br />
monatlichen Seitenzugriffe im Jahr 2006 zwischen 35.000 und 43.000 lag.<br />
Seit 2007 hat die Landes<strong>in</strong>itiative das Angebotsspektrum um die Basisprüfung <strong>IT</strong>-<br />
<strong>Sicherheit</strong> und das Branchenbuch <strong>IT</strong>-<strong>Sicherheit</strong> erweitert. Im Rahmen der<br />
Basisprüfung <strong>IT</strong>-<strong>Sicherheit</strong> besuchen fachmännische <strong>IT</strong>-Berater im Namen von<br />
secure-it.nrw Unternehmen, um nach e<strong>in</strong>em testierten Fragebogen e<strong>in</strong>e erste<br />
45
Bestandsaufnahme über die <strong>IT</strong>-<strong>Sicherheit</strong>ssituation im Unternehmen zu leisten. Mit<br />
der Internetplattform Branchenbuch <strong>IT</strong>-<strong>Sicherheit</strong>, die zusammen mit dem <strong>Institut</strong> <strong>für</strong><br />
Internet-<strong>Sicherheit</strong> (IFIS) an der Fachhochschule Gelsenkirchen konzipiert wurde,<br />
können Unternehmen und Privatpersonen wie <strong>in</strong> e<strong>in</strong>em klassischen Branchenbuch<br />
nach Anbietern von <strong>IT</strong>-<strong>Sicherheit</strong>slösungen suchen.<br />
Die F<strong>in</strong>anzierung der Projektarbeit mit Fördermitteln ist bis zum 31.12.2009 befristet.<br />
Um darüber h<strong>in</strong>aus die genannten Zielgruppen über das Thema <strong>IT</strong>-<strong>Sicherheit</strong><br />
weiterh<strong>in</strong> zu <strong>in</strong>formieren und qualifizieren, wird derzeit geprüft, ob e<strong>in</strong> tragfähiges<br />
Konzept auf der Basis privater oder öffentlicher F<strong>in</strong>anzierung formuliert werden<br />
kann. 70<br />
5.3 <strong>Institut</strong>ionen mit Sitz außerhalb von <strong>NRW</strong> (und bundesweiten Aktivitäten)<br />
5.3.1 Bundesverband Informationswirtschaft, Telekommunikation und neue<br />
Medien e.V.<br />
Der Bundesverband Informationswirtschaft, Telekommunikation und neue Medien<br />
e.V (B<strong>IT</strong>KOM) vertritt mehr als 1000 Unternehmen und bezeichnet sich selbst als das<br />
Sprachrohr der <strong>IT</strong>-, Telekommunikations- und Neue-Medien-Branche. Laut eigenen<br />
Angaben erwirtschaften die B<strong>IT</strong>KOM-Mitgleider im deutschen <strong>IT</strong>K-Markt 120 Mrd. €<br />
Umsatz und exportieren Hightech im Wert von 50 Mrd. €.<br />
B<strong>IT</strong>KOM organisiert e<strong>in</strong>en permanenten Austausch zwischen Fach- und<br />
Führungskräften und setzt sich <strong>in</strong>sbesondere <strong>für</strong> e<strong>in</strong>e Stärkung des <strong>IT</strong>K-Mittelstands<br />
und die Förderung von Innovationen e<strong>in</strong>. B<strong>IT</strong>KOM verfolgt das Ziel, die politischen<br />
und wirtschaftlichen Rahmenbed<strong>in</strong>gungen der <strong>IT</strong>K-Branche zu verbessern und somit<br />
Wachstum und Beschäftigung <strong>in</strong> Deutschland zu schaffen.<br />
Neben den Bereichen E-Government, E-Health, Bürokratieabbau, Mittelstandspolitik,<br />
Bus<strong>in</strong>ess Intelligence, moderne Softwareentwicklung, Nachhaltigkeit und neue<br />
Rundfunk- und Medienordnung stellt die <strong>IT</strong>-<strong>Sicherheit</strong> e<strong>in</strong> weiteres<br />
Schwerpunktthema der B<strong>IT</strong>KOM-Aktivitäten dar. 71<br />
70 Die vorangegangenen Ausführungen basieren größtenteils auf e<strong>in</strong>em persönlichen Gespräch,<br />
das mit Herrn Faber, dem Geschäftsführer von secure-it.nrw, im Rahmen dieser Studie geführt<br />
wurde. Weitere Informationen wurden secure-it.nrw (2007), S. 4ff. und dem Webauftritt der<br />
Landes<strong>in</strong>itiative unter www.secure-it.nrw.de entnommen.<br />
71 Vgl. B<strong>IT</strong>KOM/BERGER (2007).<br />
46
5.3.2 Deutschland sicher im Netz e.V.<br />
Die Initiative Deutschland sicher im Netz wurde unter der Schirmherrschaft des<br />
Bundesm<strong>in</strong>isteriums des Innern am 31. Januar 2005 von 13 Vertretern aus<br />
Gesellschaft, Politik und Wirtschaft gestartet. Die <strong>in</strong>zwischen zu e<strong>in</strong>em Vere<strong>in</strong><br />
umfirmierte Initiative richtet sich <strong>in</strong>sbesondere an private Anwender, K<strong>in</strong>der und<br />
Jugendliche, Behörden und <strong>Institut</strong>ionen sowie kle<strong>in</strong>e und mittlere Unternehmen. Das<br />
Ziel besteht dar<strong>in</strong>, diese Zielgruppen <strong>für</strong> die potentiellen Gefahren des Internets zu<br />
sensibilisieren und Möglichkeiten aufzuzeigen, wie sich der eigene Onl<strong>in</strong>e-Schutz<br />
schnell und wirksam verbessern lässt. In diesem Rahmen unterstützt der Vere<strong>in</strong><br />
auch die Bundesregierung bei der Umsetzung des Nationalen Plans zum Schutz der<br />
Informations<strong>in</strong>frastrukturen im Bereich der Zielgruppen Bürger<strong>in</strong>nen und Bürger<br />
sowie der kle<strong>in</strong>en und mittelständischen Unternehmen. 72<br />
5.3.3 Darmstädter Zentrum <strong>für</strong> <strong>IT</strong>-<strong>Sicherheit</strong><br />
Das Darmstädter Zentrum <strong>für</strong> <strong>IT</strong>-<strong>Sicherheit</strong> (DZI) ist e<strong>in</strong>e zentrale E<strong>in</strong>richtung der<br />
Technischen Universität Darmstadt. Hier werden die Forschungsaktivitäten <strong>in</strong> Bezug<br />
auf <strong>IT</strong>-<strong>Sicherheit</strong> von verschiedenen Fachbereichen der TU Darmstadt<br />
zusammengeführt. Das DZI übernimmt organisatorische und adm<strong>in</strong>istrative<br />
Aufgaben zur Bündelung dieser Forschungsaktivitäten und kommuniziert die <strong>IT</strong>-<br />
<strong>Sicherheit</strong>skompetenz an <strong>in</strong>teressierte Presse und Projekt<strong>in</strong>teressierte aus Wirtschaft<br />
und Wissenschaft. An der TU Darmstadt hat sich somit e<strong>in</strong> national und <strong>in</strong>ternational<br />
anerkanntes wissenschaftliches Exzellenzzentrum <strong>für</strong> <strong>IT</strong>-<strong>Sicherheit</strong> etabliert.<br />
Das DZI arbeitet mit verschiedenen E<strong>in</strong>richtungen eng zusammen, u. a. mit dem<br />
CAST e.V., dem Fraunhofer <strong>Institut</strong> Sichere Informationstechnologie (S<strong>IT</strong>) und dem<br />
<strong>Institut</strong> <strong>für</strong> Internet-<strong>Sicherheit</strong> (IFIS).<br />
72 Vgl. Deutschland sicher im Netz (2007).<br />
47
Neben der Bündelung der <strong>IT</strong>-<strong>Sicherheit</strong>sforschung an der TU Darmstadt liegen<br />
weitere Kernaufgaben des DZI <strong>in</strong> der<br />
• Leitung von <strong>IT</strong>-<strong>Sicherheit</strong>sprojekten,<br />
• der Koord<strong>in</strong>ation der beruflichen Weiterbildung mit dem Expertenzertifikat <strong>IT</strong>-<br />
<strong>Sicherheit</strong> und Organisation der Schwerpunktbildung <strong>IT</strong>-<strong>Sicherheit</strong> im<br />
Studium,<br />
• der organisatorischen Hilfestellung bei der <strong>in</strong>terdiszipl<strong>in</strong>ären Zusammenarbeit<br />
<strong>in</strong> der Erforschung von <strong>IT</strong>-<strong>Sicherheit</strong>sthemen,<br />
• Bewusstse<strong>in</strong>sbildung über heutigen Stellenwert der <strong>IT</strong>-<strong>Sicherheit</strong> <strong>für</strong> alle<br />
Bürger.<br />
An der TU Darmstadt befassen sich drei Lehrstühle direkt mit <strong>IT</strong>-<strong>Sicherheit</strong>. Im<br />
E<strong>in</strong>zelnen s<strong>in</strong>d dies der Lehrstuhl <strong>für</strong> Theoretische Informatik (Cryptographie and<br />
Computeralgebra), der Lehrstuhl <strong>für</strong> <strong>Sicherheit</strong> <strong>in</strong> der Informationstechnik sowie der<br />
Lehrstuhl <strong>für</strong> Formal Methods and Information Security. Weitere <strong>IT</strong>-<br />
<strong>Sicherheit</strong>skompetenzen der TU Darmstadt liegen <strong>in</strong> den Bereichen Integrierte<br />
Schaltungen und Systeme, Telekooperation, Multimedia Kommunikation und<br />
Dependable Embedded Systems & Software.<br />
Im Folgenden werden die Forschungsprojekte des DZI kurz skizziert. Beim Projekt<br />
SicAri (<strong>Sicherheit</strong>sarchitektur und deren Anwendungen <strong>für</strong> die ubiquitäre<br />
Internetnutzung) wird die Entwicklung e<strong>in</strong>er <strong>Sicherheit</strong>splattform mit den<br />
entsprechenden Werkzeugen erforscht, um Internetanwendungen zu jeder Zeit, an<br />
jedem Ort und mit jedem Gerät sicher nutzen zu können.<br />
Bei dem Projekt TUDcard und digitaler Campus wird die Entwicklung der<br />
<strong>in</strong>novativsten Studierendenkarte Deutschlands fokussiert. Mit der TUDcard können<br />
sich die Studierenden ortsunabhängig und sicher zu Veranstaltungen anmelden,<br />
Prüfgungsnoten abrufen sowie Lernmodule und eBooks herunterladen.<br />
Gebäudezugang rund um die Uhr, kostenlose Schließfächer sowie anonyme<br />
Zahlungen <strong>in</strong> der Mensa und an Automaten s<strong>in</strong>d weitere Beispiele, wie das Studieren<br />
an der TU Darmstadt mit der <strong>in</strong>novativen Kartentechnologie vere<strong>in</strong>facht werden soll.<br />
E<strong>in</strong> weiteres Projekt fokussiert die Erforschung, Entwicklung und Umsetzung<br />
wesentlicher Teile der <strong>Sicherheit</strong>stechnologie <strong>für</strong> den elektronischen Reisepass. Die<br />
<strong>in</strong> Zusammenarbeit mit dem Unternehmen FlexSecure entwickelte<br />
Zertifizierungstechnologie <strong>für</strong> den elektronischen Reisepass ist von zahlreichen<br />
Ländern der EU übernommen worden.<br />
48
Zu den Außenaktivitäten des DZI zählen e<strong>in</strong> regelmäßiger Newsletter, die<br />
Organisation von Konferenzen, R<strong>in</strong>gvorlesungen und Veranstaltungen, die<br />
Vorbereitung und Durchführung von CAST-Workshops sowie Vorträge bei<br />
Veranstaltungen und Kongressen zum Thema <strong>IT</strong>-<strong>Sicherheit</strong><br />
5.3.4 Initiative D21 e.V.<br />
Die im Jahre 1999 gegründete Initiative D21 umfasst e<strong>in</strong> parteien- und<br />
branchenübergreifendes Netzwerk von 200 Mitgliedsunternehmen und -<strong>in</strong>stitutionen<br />
sowie politischen Partnern aus Bund, Ländern und Kommunen und ist damit Europas<br />
größte Partnerschaft von Politik und Wirtschaft <strong>in</strong> der Informationsgesellschaft. Die<br />
als geme<strong>in</strong>nütziger Vere<strong>in</strong> e<strong>in</strong>getragene Initiative verfolgt das Ziel, durch bessere<br />
Bildung, Qualifikation und Innovationsfähigkeit wirtschaftliches Wachstum zu<br />
stimulieren, zukunftsfähige Arbeitsplätze zu sichern und die Informationsgesellschaft<br />
im Deutschland des 21. Jahrhunderts zu stärken. Die praxisorientierten<br />
geme<strong>in</strong>nützigen Projekte, die von m<strong>in</strong>destens zwei Mitgliedsunternehmen und e<strong>in</strong>em<br />
politischen Partner getragen werden, fokussieren dabei <strong>in</strong>sbesondere die Digitale<br />
Integration, Digitale Kompetenz und Digitale Exzellenz, wobei das Thema <strong>IT</strong>-<br />
<strong>Sicherheit</strong> e<strong>in</strong>e untergeordnete Rolle spielt. 73<br />
5.3.5 Nationale Initiative <strong>für</strong> Informations- und Internet-<strong>Sicherheit</strong> e.V.<br />
Die Nationale Initiative <strong>für</strong> Informations- und Internet-<strong>Sicherheit</strong> (NIFIS e.V.) wurde<br />
im Jahr 2005 von den Unternehmen KPMG, Compuware, Interxion, Clara.net,<br />
Controlware, <strong>IT</strong> Advisory Group, <strong>IT</strong>-Kanzlei dr-lapp.de, CERTCOM und<br />
der Unternehmungsberatung Dripke gegründet. NIFIS verfolgt das Ziel, Unternehmen<br />
im Kampf gegen die wachsenden Gefahren aus dem Internet technisch,<br />
organisatorisch und rechtlich zu stärken und die Vertraulichkeit, Verfügbarkeit und<br />
Integrität von Daten <strong>in</strong> digitalen Netzwerken zu fördern und sicherzustellen. NIFIS<br />
positioniert sich als neutrale, unabhängige und erste nationale Initiative <strong>in</strong><br />
Deutschland, die das Thema Internetsicherheit <strong>in</strong>terdiszipl<strong>in</strong>är behandelt und als<br />
Plattform <strong>für</strong> e<strong>in</strong>en branchenübergreifenden und <strong>in</strong>terdiszipl<strong>in</strong>ären<br />
Erfahrungsaustausch zwischen Wirtschaft, Wissenschaft und Politik fungiert. 74<br />
73 Vgl. Initiative D21 e.V. (2007).<br />
74 Vgl. NIFIS e.V. (2007)<br />
49
5.3.6 Teletrust Deutschland e.V.<br />
Der <strong>in</strong> Bonn ansässige Vere<strong>in</strong> TeleTrusT Deutschland e.V. wurde 1989 gegründet,<br />
um die Vertrauenswürdigkeit von Informations- und Kommunikationstechnik <strong>in</strong> e<strong>in</strong>er<br />
offenen Systemumgebung zu fördern. Per Satzung hat der geme<strong>in</strong>nützige Vere<strong>in</strong><br />
sich zur Aufgabe gemacht<br />
• wissenschaftliche Arbeiten und externe Studien zur Sicherung der öffentlichen<br />
Informationsübertragung zwischen <strong>Institut</strong>ionen und Privatpersonen zu<br />
unterstützen,<br />
• wissenschaftliche Ergebnisse durch Veröffentlichungen, Vorträge, Workshops<br />
und der Mitarbeit <strong>in</strong> Normungsgremien - <strong>in</strong>sbesondere auch im H<strong>in</strong>blick auf<br />
das vere<strong>in</strong>igte Europa - zu verbreiten,<br />
• die gesellschaftliche und rechtliche Akzeptanz der Digitalen Unterschrift durch<br />
Mitwirkung <strong>in</strong> <strong>in</strong>terdiszipl<strong>in</strong>ären Arbeitskreisen zu fördern und<br />
• mit <strong>in</strong>ternationalen Vere<strong>in</strong>igungen vergleichbarer Zielsetzung zur<br />
Harmonisierung von Programmen <strong>für</strong> e<strong>in</strong>e sichere Informations- und<br />
Kommunikationstechnik <strong>in</strong> Europa zusammenzuarbeiten.<br />
Derzeit zählt der Vere<strong>in</strong> knappt 90 Mitglieder (u. a. auch das BSI) und unterhält<br />
weitere 7 Kooperationen, so auch mit den Initiativen D21 und Deutschland sicher im<br />
Netz (siehe Kapitel 5.3.2 und 5.3.4). 75<br />
75 Vgl. Teletrust (2007)<br />
50
6. Fazit und Zusammenfassung<br />
<strong>IT</strong>-<strong>Sicherheit</strong> hat sich <strong>in</strong> der jüngsten Vergangenheit als wichtiger Wirtschaftsfaktor<br />
etabliert: wie <strong>in</strong> 4.3 ausgeführt, ist <strong>IT</strong>-<strong>Sicherheit</strong> dabei e<strong>in</strong> wichtiger<br />
Wettbewerbsfaktor und bus<strong>in</strong>ess-enabler, der <strong>in</strong>novative Dienstleistungen im Bereich<br />
der Gesundheit, des Bank- und Automobilwesens erst möglich macht.<br />
Er<strong>in</strong>nert seien <strong>in</strong> diesem Zusammenhang an die Gesundheitskarte (4.3.1), Basel II<br />
(4.3.2) sowie <strong>IT</strong>-getriebene Innovationen im Automobilbereich (4.3.3). Dabei wird die<br />
Gesundheitskarte neben Optimierungspotential auch e<strong>in</strong>e bessere Betreuung der<br />
Patienten erlauben. Dies ist allerd<strong>in</strong>gs nur möglich, wenn Datenschutzaspekte und<br />
damit <strong>IT</strong>-<strong>Sicherheit</strong>sprobleme zufrieden stellend gelöst s<strong>in</strong>d. Der im Bereich des<br />
Bankwesens und der Liquiditätsversorgung von Unternehmen wichtige Aspekt<br />
Basel II macht die Verfügbarkeit von <strong>IT</strong> zu e<strong>in</strong>em Faktor <strong>für</strong> die Kreditvergabe.<br />
„<strong>IT</strong>-sichere“ Unternehmen haben damit e<strong>in</strong>en <strong>in</strong> Euro und Cent ausdrückbaren Vorteil<br />
vor anderen Firmen bei der Ref<strong>in</strong>anzierung ihrer <strong>in</strong>novativen Geschäftstätigkeit.<br />
Bekannter Weise s<strong>in</strong>d <strong>in</strong> Deutschland auf Grund ihrer dünnen Eigenkapitaldecke<br />
besonders KMU von Bankkrediten abhängig. Damit haben Regionen, <strong>in</strong> denen alle<br />
Unternehmen von e<strong>in</strong>er <strong>Sicherheit</strong>skultur durchdrungen s<strong>in</strong>d, e<strong>in</strong>en<br />
Wettbewerbsvorteil durch ger<strong>in</strong>gere Kapitalkosten. Abschließend sei noch der<br />
Automobilbereich angesprochen. Hier erwarten die großen Autohersteller vor allem<br />
<strong>IT</strong>-getriebene Innovationen. Auf Grund der <strong>in</strong>härent größeren Auswirkung von<br />
Software-Fehlern <strong>in</strong> diesem Umfeld wird <strong>IT</strong>-<strong>Sicherheit</strong> hier wortwörtlich<br />
„lebenswichtig“.<br />
Wie <strong>in</strong> 3.2 (Hochschul- und Forschungse<strong>in</strong>richtungen <strong>in</strong> <strong>NRW</strong>), 4.2 (Anbieter von <strong>IT</strong>-<br />
<strong>Sicherheit</strong>sleistungen <strong>in</strong> <strong>NRW</strong>) sowie 5.2 (<strong>Institut</strong>ionen mit Sitz <strong>in</strong> <strong>NRW</strong>) dargestellt,<br />
ist Nordrhe<strong>in</strong>-Westfalen im Bereich der <strong>IT</strong>-<strong>Sicherheit</strong> im Vergleich mit dem übrigen<br />
Bundesgebiet bereits sehr gut aufgestellt. Die positiven Aspekte <strong>für</strong><br />
Strukturentwicklung und -wandel sowie auf den Arbeitsmarkt seien hier nur der<br />
Vollständigkeit halber nochmals erwähnt.<br />
51
Allerd<strong>in</strong>gs hat sich im Rahmen dieser Analyse auch gezeigt, dass <strong>für</strong> e<strong>in</strong>e<br />
funktionierende <strong>IT</strong>-<strong>Sicherheit</strong>slandschaft e<strong>in</strong> möglichst breites Vorkommen an den<br />
hier genannten Akteuren jedoch nur die h<strong>in</strong>reichende Bed<strong>in</strong>gung ist. Notwendig ist<br />
darüber h<strong>in</strong>aus die Vernetzung der Akteure. Hierbei geht es um vielfältige<br />
Beziehungen, dazu gehören unter anderem:<br />
• der Wissenstransfer von Hochschulen und weiteren Forschungse<strong>in</strong>richtungen zu<br />
den Unternehmen sowie umgekehrt die Aufnahme von Anforderungen aus der<br />
Industrie seitens der Hochschulen,<br />
• der Austausch zwischen Anbietern von <strong>IT</strong>-<strong>Sicherheit</strong>sleistungen und<br />
nachfragenden Unternehmen (potentiellen Kunden),<br />
• die Identifikation und Schließung von Wissens- und Vernetzungsdefiziten bei<br />
Unternehmen durch Verbände, Kammern und Initiativen,<br />
• die Abstimmung der Verbände und Initiativen untere<strong>in</strong>ander sowie mit den<br />
Hochschulen und Forschungse<strong>in</strong>richtungen.<br />
Prof. Claudia Eckert, Leiter<strong>in</strong> des Fraunhofer-<strong>Institut</strong>s <strong>für</strong> sichere Informationstechnik<br />
(S<strong>IT</strong>) hat dies <strong>in</strong> ihrem Urteil „stark zersplittert“ über die deutsche <strong>IT</strong>-<strong>Sicherheit</strong>sszene<br />
plakativ auf den Punkt gebracht. Als Hauptproblem wird von ihr identifiziert, dass die<br />
unterschiedlichen Akteure nicht „an e<strong>in</strong>em Strang ziehen“, wodurch e<strong>in</strong>e Bündelung<br />
der Kräfte derzeit „nicht stattf<strong>in</strong>det“. 76<br />
Dies kann als Fazit des vorliegenden Berichtes nur unterstrichen werden.<br />
Insbesondere bei kle<strong>in</strong>eren und mittleren Unternehmen (KMU) zeigten auch andere<br />
Untersuchungen <strong>in</strong> der Vergangenheit immer wieder, dass e<strong>in</strong>e Vernetzung nicht <strong>in</strong><br />
ausreichendem Maße stattf<strong>in</strong>det. Grund ist hier die ger<strong>in</strong>ge Kapital- und<br />
Personalausstattung der KMU, der <strong>für</strong> strategische Projekte leider zu wenig Raum<br />
lässt. Volkswirtschaftlich bedenklich ist, dass darunter sowohl der Wissenstransfer<br />
leidet wie auch der Schutz vor <strong>IT</strong>-<strong>Sicherheit</strong>sbedrohungen. Durch die Förderung des<br />
Auf- und Ausbaus e<strong>in</strong>er breiten und vernetzten <strong>IT</strong>-<strong>Sicherheit</strong>slandschaft von Seiten<br />
der Regierung oder auch durch andere <strong>Institut</strong>ionen können so ganze Regionen oder<br />
e<strong>in</strong>zelne Länder den Wandel der Informationsgesellschaft beschleunigen und<br />
dadurch <strong>in</strong> höherem Maße an den potentiellen Wohlfahrtseffekten partizipieren.<br />
76 Vgl. Seiler (2006).<br />
52
Hauptaugenmerk muss hierbei auf der Vernetzung bestehender Akteure liegen, am<br />
besten im Rahmen e<strong>in</strong>er Kooperation zwischen KMU auf der e<strong>in</strong>en und Universitäten<br />
auf der anderen Seite.<br />
Es wäre daher zu überlegen, ob man das <strong>in</strong> 5.2.2 dargestellte Europäische<br />
Kompetenzzentrum <strong>für</strong> <strong>IT</strong>-<strong>Sicherheit</strong> mit Sitz <strong>in</strong> Bochum im S<strong>in</strong>ne e<strong>in</strong>es „best<br />
practice“ Ansatzes nicht entsprechend unterstützen sollte. Dies würde auch<br />
Synergien mit der derzeit ausgeschriebenen Initiative „Bochum 2015“ erzeugen, die<br />
sich u.a. im Bereich Informationstechnik / <strong>IT</strong>-<strong>Sicherheit</strong> aufstellt.<br />
53
Literatur<br />
/Microsoft (2004a): /Microsoft-<strong>Sicherheit</strong>sstudie 2004 – Lagebericht zur<br />
Informationssicherheit (1), <strong>in</strong>: – Die Zeitschrift <strong>für</strong> Informationssicherheit, Heft<br />
4/2004, S. 6-13.<br />
/Microsoft (2004b): /Microsoft-<strong>Sicherheit</strong>sstudie 2004 – Lagebericht zur<br />
Informationssicherheit (2), <strong>in</strong>: – Die Zeitschrift <strong>für</strong> Informationssicherheit, Heft<br />
5/2004, S. 6-17.<br />
/Microsoft (2006a): /Microsoft-<strong>Sicherheit</strong>sstudie 2006 – Lagebericht zur<br />
Informationssicherheit (1), <strong>in</strong>: – Die Zeitschrift <strong>für</strong> Informationssicherheit, Heft<br />
4/2006, S. 24-31.<br />
/Microsoft (2006b): /Microsoft-<strong>Sicherheit</strong>sstudie 2006 – Lagebericht zur<br />
Informationssicherheit (2), <strong>in</strong>: – Die Zeitschrift <strong>für</strong> Informationssicherheit, Heft<br />
5/2006, S. 40-51.<br />
BGBl I vom 27. April 1998, S786-794, Gesetz zur Kontrolle und Transparenz im<br />
Unternehmensbereich (KonTraG).<br />
B<strong>IT</strong>KOM (2003): <strong>Sicherheit</strong> <strong>für</strong> Systeme und Netze <strong>in</strong> Unternehmen, 2. überarb.<br />
Aufl., http://B<strong>IT</strong>KOM.org/files/documents/ACF897.pdf, abgerufen Dezember 2003.<br />
B<strong>IT</strong>KOM (2005): <strong>IT</strong>, Telekommunikation und neue Medien <strong>in</strong> Deutschland – Lage<br />
und Perspektiven der Branche, Handlungsempfehlungen <strong>für</strong> die Politik, Berl<strong>in</strong>, 2005.<br />
B<strong>IT</strong>KOM (2006): Daten zur Informationsgesellschaft – Status Quo und Perspektiven<br />
Deutschlands im <strong>in</strong>ternationalen Vergleich, Berl<strong>in</strong>, 2006.<br />
B<strong>IT</strong>KOM; Roland Berger Strategy Consultants (2007): Zukunft digitale Wirtschaft<br />
– Volkswirtschaftliche Bedeutung der <strong>IT</strong>K-Wirtschaft, Strategische Wachstumsfelder,<br />
Empfehlungen an Politik und Unternehmen <strong>in</strong> Deutschland, Berl<strong>in</strong> 2007.<br />
Bon, Markus (2004): Modellierung und Abwicklung von Datenflüssen <strong>in</strong><br />
unternehmens-übergreifenden Geschäftsprozessen, zugl. Dissertation an der TU<br />
Kaiserslautern, Berl<strong>in</strong> 2004.<br />
BSI (2004): BSI-Monitor<strong>in</strong>g - Repräsentative Umfrage unter <strong>IT</strong>-Beauftragten,<br />
Datenschutzbeauftragten und Journalisten zur Evaluierung der Öffentlichkeitsarbeit<br />
des BSI. Februar 2004.<br />
BSI (2005a): BSI-Standard 100-1: Managementsysteme <strong>für</strong> Informationssicherheit<br />
(ISMS), Version 1.0, Stand Dezember 2005.<br />
BSI (2005d): <strong>IT</strong>-Grundschutzkataloge, Stand November 2005.<br />
54
BSI (2005e): BSI-Studie: Bürger zu sorglos im Internet,<br />
http://www.bsi.bund.de/presse/press<strong>in</strong>f/270105ohn_Virensch.htm#<strong>in</strong>haltabgerufen<br />
Juli 2006.<br />
BSI (2005f): Die Lage der <strong>IT</strong>-<strong>Sicherheit</strong> <strong>in</strong> Deutschland 2005,<br />
http://www.bsi.bund.de/literat/lagebericht/lagebericht2005.pdf, abgerufen Juli 2006.<br />
BSI (2006a): Leitfaden <strong>IT</strong>-<strong>Sicherheit</strong> – <strong>IT</strong>-Grundschutz kompakt,<br />
http://www.bsi.de/gshb/Leitfaden/GS-Leitfaden.pdf, abgerufen Juli 2006.<br />
BSI (2007): Die Lage der <strong>IT</strong>-<strong>Sicherheit</strong> <strong>in</strong> Deutschland 2007,<br />
http://www.bsi.de/literat/lagebericht/<strong>in</strong>dex.htm, abgerufen Juli 2007.<br />
BT-Drs. 13/9712 vom 28. Januar 1998, <strong>in</strong>: Verhandlungen des Deutschen<br />
Bundestages, 13. Wahlperiode.<br />
Bundesm<strong>in</strong>isterium <strong>für</strong> Bildung und Forschung (2007): IKT 2020 – Forschung <strong>für</strong><br />
Innovationen, Bonn, Berl<strong>in</strong>, 2007<br />
Capgem<strong>in</strong>i (2005): Studie <strong>IT</strong>-Trends 2005 – Paradigmenwechsel <strong>in</strong> Sicht,<br />
http://www.de.capgem<strong>in</strong>i.com/m/de/tl/<strong>IT</strong>-Trends_2005.pdf, abgerufen Juli 2007.<br />
Capgem<strong>in</strong>i (2006): Studie <strong>IT</strong>-Trends 2006, www.de.capgem<strong>in</strong>i.com/m/de/tl/<strong>IT</strong>-<br />
Trends_2006.pdf, abgerufen August 2007.<br />
Capgem<strong>in</strong>i (2007): Studie <strong>IT</strong>-Trends 2007 – <strong>IT</strong> ermöglicht neue Freiheitsgrade,<br />
www.de.capgem<strong>in</strong>i.com/m/de/tl/<strong>IT</strong>-Trends_2007.pdf abgerufen August 2007.<br />
CIO (2007): Gesetzliche Anforderungen br<strong>in</strong>gen Investitionsschub,<br />
http://www.cio.de/f<strong>in</strong>anceit/strategien/830252/<strong>in</strong>dex1.html, abgerufen August 2007.<br />
Công Bùi, Franz (2005): <strong>IT</strong>-<strong>Sicherheit</strong> spielt wichtige Rolle bei Basel II, <strong>in</strong>:<br />
Börsenzeitung vom 07.05.05, Nr. 87, S. 12.<br />
E<strong>in</strong>haus, Christian (2002): Operationelle Risiken <strong>in</strong> Kredit<strong>in</strong>stituten, <strong>in</strong>: Sparkasse,<br />
Heft 12/2002, S. 566-569.<br />
E<strong>in</strong>haus (2004): <strong>IT</strong>-<strong>Sicherheit</strong> als operationelles Risiko, Vortrag im Rahmen des<br />
ISEB XChange-Sem<strong>in</strong>ars vom 3. November 2004 <strong>in</strong> Bochum.<br />
E<strong>in</strong>haus, Christian (2006): Potenziale des Wissensmanagements zur Behandlung<br />
operationeller Risiken <strong>in</strong> der Kreditwirtschaft, zugl. Dissertation an der <strong>Ruhr</strong>-<br />
Universität Bochum 2005, Frankfurt am Ma<strong>in</strong>, 2006.<br />
Eurostat (2007): Regionales BIP je E<strong>in</strong>wohner <strong>in</strong> der EU27, Pressemitteilung<br />
23/2007 vom 19. Februar 2007.<br />
55
Experton Group AG (2007): Neue Studie der Experton Group zur <strong>IT</strong>-<strong>Sicherheit</strong>: Der<br />
Wettlauf zwischen Hase und Igel geht weiter, http://www.expertongroup.de/press/releases/pressrelease/article/neue-studie-der-experton-group-zur-itsicherheit-der-wettlauf-zwischen-hase-und-igel-geht-weiter.html,<br />
abgerufen August<br />
2007.<br />
Freiwald, Stephanie (2005): Supply Cha<strong>in</strong> Design: Robuste Planung mit<br />
differenzierter Auswahl der Zulieferer, zugl. Dissertation an der <strong>Ruhr</strong>-Universität<br />
Bochum 2005, Frankfurt am Ma<strong>in</strong> 2005.<br />
Göpfert, Ingrid (2004): E<strong>in</strong>führung, Abgrenzung und Weiterentwicklung des Supply<br />
Cha<strong>in</strong> Managements, <strong>in</strong>: Busch, A.; Dangelmaier, W. (Hrsg.): Integriertes Supply<br />
Cha<strong>in</strong> Management – Theorie und Praxis unternehmensübergreifender<br />
Geschäftsprozesse, 2. Aufl., Wiesbaden 2004, S. 25 – 44.<br />
<strong>Görtz</strong>, <strong>Horst</strong>; Stolp, Jutta (1999): Informationssicherheit <strong>in</strong> Unternehmen –<br />
<strong>Sicherheit</strong>skonzepte und -lösungen <strong>in</strong> der Praxis, Bonn, 1999.<br />
Hoppe, Gabriela; Prieß, Andreas (2003): <strong>Sicherheit</strong> von Informationssystemen, 1.<br />
Aufl., Herne u. a., 2003.<br />
Industrie und Handelskammer im mittleren <strong>Ruhr</strong>gebiet zu Bochum (2007): IHK-<br />
Branchenuntersuchung „Informations- und Telekommunikationstechnologie (<strong>IT</strong>K)“,<br />
Bochum, 2007.<br />
Initiative D21 (2001): <strong>IT</strong>-<strong>Sicherheit</strong>skriterien im Vergleich – E<strong>in</strong> Leitfaden der<br />
Projektgruppe <strong>IT</strong>-<strong>Sicherheit</strong>skriterien und <strong>IT</strong>-Grundschutz-Zertifikat / Qualifizierung,<br />
Stand: 20.12.2001,<br />
<strong>Institut</strong>e for Information Economics (IIE) (2006a): Monitor<strong>in</strong>g<br />
Informationswirtschaft, 6. Trendbericht und Trendbarometer 2006, Band I, Hatt<strong>in</strong>gen,<br />
April 2006.<br />
<strong>Institut</strong>e for Information Economics (IIE) (2006b): Monitor<strong>in</strong>g<br />
Informationswirtschaft, 6. Trendbericht und Trendbarometer 2006, Band II, Hatt<strong>in</strong>gen,<br />
April 2006.<br />
Kajüter, Peter (2004): Die Regulierung des Risikomanagements im <strong>in</strong>ternationalen<br />
Vergleich, <strong>in</strong>: Hachmeister, Dirk (Hrsg.): Risikomanagement und Controll<strong>in</strong>g,<br />
Sonderheft 3, 2004, S. 12-25, <strong>in</strong>: Weber, Jürgen; Hess, Thomas (Hrsg.): ZfCM –<br />
Zeitschrift <strong>für</strong> Controll<strong>in</strong>g & Management, 48. Jg, 2004.<br />
56
Klasen, Wolfgang; Rosenbaum, Ute (1996): Informationssicherheit <strong>in</strong> <strong>IT</strong>-<br />
Anwendungen, <strong>in</strong>: HMD – Praxis der Wirtschafts<strong>in</strong>formatik, Heft 190, Juli 1996, S.<br />
15-30.<br />
Klempt, Philipp (2007): Effiziente Reduktion von <strong>IT</strong>-Risiken im Rahmen des<br />
Risikomanagementprozesses, zugl. Dissertation an der <strong>Ruhr</strong>-Universität Bochum,<br />
Bochum, 2007.<br />
Konrad, Peter (1998): Geschäftsprozess-orientierte Simulation der<br />
Informationssicherheit: Entwicklung und empirische Evaluierung e<strong>in</strong>es Systems zur<br />
Unterstützung des <strong>Sicherheit</strong>smanagements, zugl. Dissertation an der Universität<br />
Köln, Lohmar, 1998.<br />
Lackes, Richard (2004): Information system for support<strong>in</strong>g supply cha<strong>in</strong><br />
management, <strong>in</strong>: Dyckhoff, Harald (Hrsg.): Supply Cha<strong>in</strong> management and reverse<br />
logistics, Berl<strong>in</strong> 2004, S. 405 - 426.<br />
Picot, Gerhard (2001): Überblick über die Kontrollmechanismen im Unternehmen<br />
nach KonTraG, <strong>in</strong>: Lange, Knut Werner; Wall, Friederike (Hrsg.): Risikomanagement<br />
nach dem KonTraG, München, 2001, S. 5-37.<br />
Pohl, Hartmut (2004): Taxonomie und Modellbildung <strong>in</strong> der Informationssicherheit,<br />
<strong>in</strong>: DuD – Datenschutz und Datensicherheit, Jg. 28, Heft 11/2004, S. 678-685.<br />
Reichl<strong>in</strong>g, Peter (2003b): Basel II: Rat<strong>in</strong>g und Kreditkonditionen, <strong>in</strong>: Reichl<strong>in</strong>g, Peter<br />
(Hrsg.): Risikomanagement und Rat<strong>in</strong>g, Wiesbaden, 2003, S. 5-19.<br />
Romeike, Frank (2003c): Gesetzliche Grundlagen, E<strong>in</strong>ordnung und Trends, <strong>in</strong>:<br />
Romeike, Frank; F<strong>in</strong>ke, Robert B. (Hrsg.): Erfolgsfaktor Risiko-Management,<br />
Wiesbaden, 2003, S. 65-80.<br />
Romeike, Frank (2004a): <strong>IT</strong> Risk Management vor dem H<strong>in</strong>tergrund von Basel II<br />
und Solvency II , <strong>in</strong>: DuD – Datenschutz und Datensicherheit, Jg. 28, Heft 6/2004, S.<br />
335-339.<br />
Schäffter, Markus (2002): <strong>IT</strong>-Entscheider <strong>in</strong> der Verantwortung, <strong>in</strong>: – Die<br />
Zeitschrift <strong>für</strong> Informationssicherheit, Heft 4/2002, S. 10-16.<br />
Schöne, Franziska (2003): Erfordernis von Risikomanagement und Rat<strong>in</strong>g, <strong>in</strong>:<br />
Reichl<strong>in</strong>g, Peter (Hrsg.): Risikomanagement und Rat<strong>in</strong>g, Wiesbaden, 2003, S. 90-<br />
106.<br />
Seiler, Mart<strong>in</strong> (2006): Die deutsche Security-Szene birgt noch Potential, <strong>in</strong>:<br />
Computerwoche.de vom 18.10.2006.<br />
57
secure-it.nrw (2007): Jahresbericht 2006 der Initiative secure-it.nrw, Bonn, 2007.<br />
Steven, Marion; Tengler, Sebastian (2005): Informationssicherheit im Supply Cha<strong>in</strong><br />
Management, <strong>in</strong>: WiSt – Wirtschaftswissenschaftliches Studium, Heft 6/2005, S. 345<br />
- 348.<br />
TNS Infratest Forschung GmbH (2006): Monitor<strong>in</strong>g Informations- und<br />
Kommunikationswirtschaft – 9. Faktenbericht 2006, München, April 2006.<br />
TNS Infratest Forschung GmbH (2007a): Monitor<strong>in</strong>g Informations- und<br />
Kommunikationswirtschaft – 1. ePerformance Report – Deutschland im Vergleich,<br />
München, Juli 2007.<br />
TNS Infratest Forschung GmbH (2007b): Monitor<strong>in</strong>g Informations- und<br />
Kommunikationswirtschaft – 10. Faktenbericht 2007, München, Juli 2007.<br />
van den Br<strong>in</strong>k, Gerrit Jan (2003): Quantifizierung operationeller Risiken – E<strong>in</strong> Weg<br />
zur E<strong>in</strong>bettung <strong>in</strong> den Management-Zyklus, <strong>in</strong>: risknews, Ausgabe 01/2003, S. 26-36.<br />
von Hohnhorst, Georg (2002):Anforderungen an das Risikomanagement nach<br />
KonTraG, <strong>in</strong>: Hölscher, Re<strong>in</strong>hold; Elfgen, Ralph (Hrsg.): Herausforderungen<br />
Risikomanagement – Identifikation, Bewertung und Steuerung <strong>in</strong>dustrieller Risiken,<br />
Wiesbaden 2002, S. 91-109.<br />
Werners, Brigitte; Klempt, Philipp (2007): Management von <strong>IT</strong>-Risiken <strong>in</strong> Supply<br />
Cha<strong>in</strong>s, <strong>in</strong>: Vahrenkamp, Richard; Siepermann, Christoph (Hrsg.):<br />
Risikomanagement <strong>in</strong> der Supply Cha<strong>in</strong>, S. 287 – 300, Berl<strong>in</strong> 2007.<br />
Wolf, Marko; Weimerskirch, André; Woll<strong>in</strong>ger, Thomas (2007): State of the Art:<br />
Embedd<strong>in</strong>g Security <strong>in</strong> Vehicles, <strong>in</strong>: EURASIP Journal on Embedded Systems,<br />
Volume 2007, article ID 74706, 2007.<br />
58