Cyberbedrohungen und KMU

KMU unterschätzen die Bedrohung

Der größte Fehler, den mittelständische Unternehmen in Sachen IT Sicherheit machen können ist, sich nicht für ein lohnendes Angriffsziel zu halten, wie security-insider.de dazu ausführte. Es sind auch nicht immer lukratives Wissen, das aus vielen Jahren Forschung und Entwicklung hervorgegangen ist und so die Industriespione auf den Plan ruft. Im Grunde ist es die ganz normale Geschäftstätigkeit, die  Angreifer anlockt.

Als gutes Beispiel dafür gilt der zu Beginn des Jahres grassierende Verschlüsselungs-Trojaner „WannaCry“, der Unternehmensdaten erst nach Lösegeldzahlung wieder freizugeben versprach, allerdings ohne Garantie.

KMU bieten größeres Angriffspotential

Dazu heißt es, dass sich Mittelständler auf das gleiche Bedrohungsszenario einstellen müssen wie Großunternehmen. Der Unterschied besteht in der materiellen Basis, die zur Verteidigung bereit steht. Während große Unternehmen sich oft ein adäquat ausgestattetes IT-Team mit gut ausgebildeten Security-Experten leisten können, sind die internen Ressourcen bei mittelständischen und kleinen Unternehmen hier sehr oft stark limitiert. Das wissen auch Cyber-Kriminelle und wittern beim Mittelstand eine leichte Beute.

Verteidigung ist schwierig

Die Entwicklung einer soliden Verteidigungsstrategie ist bedingt durch die ausufernde Komplexität moderner IT-Landschaften schwierig. Probleme bereiten dabei:

• Unterschiedliche Gerätetypen
• Unterschiedliche Betriebssysteme
• Netzwerk mit unterschiedlichsten Herstellern für Router, Switches, WLAN Komponenten und vieles mehr.
• Rechenzentrum mit Komponenten unterschiedlicher Hersteller für Storage-, Server- und Interfacebausteine.
• Eigene Schutzlösungen für fast jede IT-Komponente
• Schutzlösungen korrespondieren seltenmit den Lösungen der anderen Hersteller

Virtualisierung, BYOD und IoT lassen Komplexität ausufern

Die Virtualisierung zunächst einzelner IT-Bereiche, später kompletter Rechenzentren, ließ klassische Firewalls ins Leere laufen. Die starren Wege zwischen Anwendungen und Usern, auf welchen die Geräte typischerweise installiert waren, wichen unkalkulierbar wechselnden Wegen, die sich aus dem permanenten Wechsel der Applikationen auf den jeweils momentan bestgeeigneten Server im eigenen Rechenzentrum oder gar Cloud Verbund ergaben.

Mit dem Trend, private Geräte im Unternehmen zu nutzen (bring your own device - kurz BYOD), erreichte die Komplexität ein neues, bisher nicht gekanntes Ausmaß. Und während sich die Administratoren nach wie vor die Zähne ausbeißen, dieses Problem in den Griff zu bekommen, läuft mit dem Internet der Dinge (IoT) bereits die nächste und noch viel dramatischere Problemwelle auf sie zu: Tatsächlich haben über 90 Prozent der IoT-Geräte nicht einmal theoretisch vorgesehen, einen Security-Agenten darauf zu installieren.

Kein Grund zur Resignation

Wie es dazu heißt, besteht aber kein Grund zur Resignation. Der Markt bietet heute ein breites Spektrum an Security Lösungen aus der Cloud, oder als Managed Service. Diese erfordert zwar ein gewisses Maß an Know-how bei der Gestaltung von Serviceverträgen, die Einhaltung der vereinbarten Schutzlevel ob liegt aber dann dem externen Dienstleister. Auf seiner Ebene rechnet es sich auch, immer die neuesten bzw. technologisch am weitesten fortgeschrittenen Security Lösungen vorzuhalten, denn deren Einsatz skaliert über die Gesamtzahl seiner Kunden. Zumindest in der Anfangsphase ist es empfehlenswert, die externen Lösungen mithilfe kompetenter Berater oder Systemintegratoren zu eruieren.

Der wichtigste Job, den die Unternehmen selbst im Zusammenhang mit Security erledigen müssen, ist die Klassifizierung ihrer Daten und Anwendungen hinsichtlich Wert für das Unternehmen bzw. gesetzlichen Anforderungen und damit Schutzbedarf. Auf dieser Basis lässt sich ein solides Regelwerk aufsetzen, welches wiederum als Grundlage für die Verhandlungen mit externen Dienstleistern genutzt werden kann.

Selbst das Zepter in die Hand nehmen

Entsprechendes Know-how vorausgesetzt, müssen auch im Mittelstand in Eigenregie aufgesetzte Security-Lösungen nicht schlechter sein, als externe Lösungen. Gute Ansatzpunkte bieten offene Lösungen, die sich über klar definierte Schnittstellen an den im eigenen Netzwerk verwendeten Komponenten andocken und durch zentrale Regeln steuern lassen. Solche Lösungen entstehen gerade bevorzugt im Open-Source-Umfeld, der Umgang damit ist jedoch alles andere als trivial.

IT Sicherheit beginnt im Kopf. Das bedeutet, auch mittelständische Unternehmen sollten es sich auf jeden Fall leisten, ihre Mitarbeiter in regelmäßigen Abständen durch Schulungen oder wenigstens Kurzbriefings für das Thema zu sensibilisieren und ihnen die Fortschritte auf Angreiferseite zu verdeutlichen. Besonders wichtig für alle Mitarbeiter ist die Kenntnis der in letzter Zeit stark perfektionierten Phishing Methoden, oft einer der ersten Bausteine in einem vielschichtigen Angriffsszenario.