Die wöchentliche CIO-Kolumne

Vorgeschriebene Sicherheit schadet

12. Januar 2004
Von Patrick Goltzsch
Informationssicherheit steht in den USA auf der politischen Agenda obenan. Bei dem von CIOs amerikanischer Schwesterzeitschrift ausgerichteten Executive Policy Forum erörterten die geladenen Experten die Frage, wie sich die nationale Sicherheit mit den Bedürfnissen von Unternehmen in Einklang bringen lässt.

Im Department of Homeland SecuritySecurity hat die Bush-Regierung unmittelbar nach den Anschlägen vom 11. September 22 Organisationen mit 180.000 Angestellten vom Zoll über Katastrophenschutzorganisationen bis zum Küstenschutz zusammengefasst. In den Heimatschutz will die Regierung allein in diesem Jahr erneut knapp 30 Mrd. $ investieren. Alles zu Security auf CIO.de

Die Bedeutung des Ministeriums zeigte sich auch bei den zwölf Gästen auf dem Podium des Policy Forums. Von den fünf geladenen Behördenvertretern waren vier der Homeland Security zuzurechnen. Dessen Strategie "der Vorbeugung, des Schutzes und der Reaktion" skizzierte Richard Falkenrath, stellvertretender Sicherheitsberater des Ministeriums im Weißen Haus. Umgesetzt werden die Maßgaben der Heimatschützer, Falkenrath zufolge, etwa beim FBI. Derzeit wandele sich das Ziel der Bundespolizei von der Verfolgung von Straftätern zur Verbrechensvorbeugung.

Die Strategie der Heimatschützer schlägt sich auch in Europa nieder, wie sich in der Affäre um die Übermittlung von Fluggastdaten (PNR) zeigte. Alle Airlines, die Flüge von oder nach den USA anbieten, sollen dem amerikanischen Zoll diese Daten zur Verfügung stellen. Die Maximalforderungen der Amerikaner, alle 39 Elemente der Fluggastdaten 50 Jahre zu speichern, wurden nicht erfüllt. Statt dessen stimmte die EU-Kommission im Dezember schließlich zu, nur 34 Elemente eines PNR-Datensatzes dreieinhalb Jahre zu speichern.

Von den Begehrlichkeiten des Ministeriums bleiben auch andere Unternehmen nicht verschont. So hat, laut Staatssekretär Frank Libutti, das Cyber Security Response Team bereits Programme erarbeitet, die den Schutz der Infrastruktur sicher stellen sollen. Daran knüpfen nun auch Überlegungen an, ob die Regierung die Unternehmen zur Umsetzung der Programme verpflichten sollte. Dagegen regt sich Widerstand: "Wir geben bereits mehr Geld für Sicherheit aus", berichtete Christopher Lofgren, Chef von Schneider National, dem größten Spediteur in den USA. Und fast zaghaft hängte er die Frage an, wer die Kosten für den zusätzlichen Aufwand tragen soll.

Dass es auch anders geht, als die Regierungsvertreter es sich vorstellen, stellte Suzanne Gorman, Vorsitzende der FS-ISAC (Financial Services - Information Sharing and Analysis Center) klar. Im Finanzsektor habe sich eine Kultur der ehrlichen Kooperation entwickelt. Über die FS-ISAC "tauschen wir Informationen über aktuelle Bedrohungen aus", so Gorman. Auf die skeptische Nachfrage, ob das unter konkurrierenden Unternehmen zuverlässig funktioniere, konnte Gorman auf den bereits bestehenden Erfahrungsaustausch etwa im Bereich Desaster Recovery verweisen.

In der immer noch anhaltenden Atmosphäre der Anti-Terror-Hysterie in den USA stehen die Chancen schlecht, dass eine solche Stimme der Vernunft Gehör findet. Natürlich gehört Informationssicherheit in den Unternehmen in der Prioritätenliste nach oben. Aber die Gründe dafür sind weniger in den abstrakten Szenarien eines angeblichen Cyber-Terrorismus als im Interesse der Unternehmen selbst zu suchen. Und damit dürfte ein viel besserer Antrieb zum Schutz der eigenen Infrastruktur gegeben sein als durch Sicherheitsvorschriften, die ein Paranoia-Ministerium auch zum Schaden europäischer Unternehmen erlässt.

Patrick Goltzsch
Patrick Goltzsch

Links zum Artikel

Thema: Security

Kommentare zum Artikel

comments powered by Disqus
Zur Startseite