KMU’s sind ungenügend geschützt
Drei von vier Unternehmen mit 100 bis 500 Mitarbeitern waren nach Angaben des Branchenverbandes Bitkom in den letzten Jahren von IT-Sicherheitsvorfällen betroffen. Während sich Großunternehmen eigene Abteilungen für IT-Sicherheit leisten, sind die IT-Teams kleinerer und mittlerer Unternehmen in der Regel mit der Aufrechterhaltung der Betriebsfähigkeit ihrer Infrastruktur vollkommen ausgelastet. Dabei gibt es fast täglich neue Meldungen über erfolgreiche Angriffe – Ransomware, Trojaner und entdeckte Sicherheitslücken. Und Kriminelle werden immer schneller: Der Trojaner Emotet wird mittlerweile pro Tag in bis zu 200 verschiedenen Versionen in leicht veränderter Form verbreitet.
Stellenwert der IT-Security
Welchen Stellenwert IT-Security letztendlich in der Unternehmensstrategie einnimmt, unterscheidet sich stark. Jedes Unternehmen muss die Risiken und deren Eintrittswahrscheinlichkeit abwägen. Die wirtschaftliche Abhängigkeit des Geschäftsmodells von der Verfügbarkeit der IT-Systeme und der gespeicherten Daten sind ebenso zu betrachten wie die Compliance-Anforderungen, denen das Unternehmen unterliegt. Grundsätzlich besteht jedoch in vielen KMUs die Notwendigkeit, IT-Sicherheit überhaupt als Teil der Unternehmensstrategie anzusehen. Hier erst nachträglich zu reagieren, kann einen erheblichen finanziellen Mehraufwand sowie unnötige Betriebsausfälle und -störungen bedeuten. Hinzukommt, dass der Mittelstand und kleinere Unternehmen besonders stark unter dem Fachkräftemangel leiden. Ein weiteres Problem stellt die sogenannte Schatten-IT dar: Netzwerkfähige Geräte, von denen nicht einmal der Administrator weiß.
Status-Check auch für kleinere Unternehmen wichtig
IT-Sicherheit in mittelständischen Unternehmen zu verbessern, ist kein einfacher Prozess. Doch wie kann sich ein Mittelständler umfassend absichern? Ein klassischer Antivirenschutz reicht alleine nicht mehr aus. Als erster Schritt bietet sich ein Security-Assessment an. Mit dieser Dienstleistung bekommen Unternehmen einen guten und kosteneffizienten Überblick über mögliche Schwachstellen in der eigenen IT. Ein solcher Status-Check steht in aller Regel am Anfang einer Beschäftigung mit dem komplexen Thema IT-Security. Im Unterschied zu einem vollumfänglichen Pentest ist ein Status-Check auch für kleine und mittlere Unternehmen leistbar und die Ergebnisse sinnvoll nutzbar. Eine Überprüfung der eigenen IT führt im Unternehmen idealerweise dazu, dass auch Policies für Passwörter und andere sicherheitsrelevante Prozesse auf den Prüfstand gestellt oder überhaupt erst definiert werden. Denn kaum ein professioneller Angreifer setzt nicht auf diese Angriffsvektoren.
Awareness für Mitarbeiter
Mitarbeiter spielen oft eine entscheidende Rolle, wenn es darum geht einen Cyberangriff abzuwehren. KMUs sind aufgrund des geringeren Technik-Einsatzes besonders auf die aktive Awareness ihrer Mitarbeiter angewiesen. Ein regelmäßiges Training zu Themen der IT-Security sollte ebenso selbstverständlich sein wie solche zum Brandschutz oder zur Ersten Hilfe.
Vorbereitung für einen Sicherheitsvorfall
Grundsätzlich gelten für KMUs die gleichen Empfehlungen wie für größere Unternehmen: Die Unternehmen sollten sich auf einen IT-Sicherheitsvorfall ebenso vorbereiten wie auf andere kritische Ereignisse. IT-Sicherheitsvorfälle sollten präventiv nach den Grundsätzen des Business Continuity Management (BCM) betrachtet werden. Die maximal tolerierbare Ausfallzeit (MTA) für kritische Systeme sollte ermittelt sein. Ebenso sollten alle notwendigen Daten, wie ein Netzplan oder Kontaktadressen, auch ohne die IT-Infrastruktur des Unternehmens verfügbar sein. Eine Minimallösung zur Aufrechterhaltung der Kommunikation, zum Beispiel über Mobilfunk oder eine separate DSL-Lösung, sollte vorbereitet sein. Zum Ausgleich der KMU-typischen Schwäche in der Vorfallbewältigung ist ein Abschluss von Incident Response Dienstleistungsvereinbarungen mit kompetenten Partnern zu empfehlen. Diese sollten bereits bei den präventiven Maßnahmen einbezogen sein.
Sicherheitsrelevante IT-Dienstleistungen auslagern
Mittelständische Unternehmen sind derzeit häufig noch damit überfordert, das richtige Maß an benötigter IT-Sicherheit zu finden. Einerseits hat die Mehrzahl der Firmen nur wenige konkrete gesetzliche Vorgaben, gleichzeitig steigt der Druck durch Regelungen wie der EU-Datenschutzgrundverordnung oder geforderte Branchenstandards. Investitionen in Sicherheitslösungen werden in vielen Fällen durch Mängel in deren Anwendung konterkariert. Denn eine SIEM-Lösung beispielsweise liefert zwar viele Informationen, stellt aber selbst noch keine Sicherheit her. Dazu bedarf es gut ausgebildeter Mitarbeiter, die diese Daten auch regelmäßig auswerten. Logfiles zu speichern hilft im Zweifel wenig, wenn diese nicht analysiert werden können.
Vor diesem Hintergrund vertrauen daher zahlreiche mittelständische Unternehmen bei der Bewältigung dieser Aufgaben auf externe Dienstleister. Die Auslagerung sicherheitsrelevanter IT-Dienstleistungen mag auf den ersten Blick befremdlich erscheinen, ist aber in anderen Bereichen (Werksschutz, Organisationsberatung, Hosting) längst alltäglich und sollte bei der Einführung einer IT-Sicherheitsstruktur definitiv in Erwägung gezogen werden.
IT-Security Management & Technology Conference 2019
Michael Zimmer ist Geschäftsführer der G DATA Advanced Analytics GmbH in Bochum und berät mittelständische Unternehmen und Behörden bei der effizienten Umsetzung ganzheitlicher IT-Sicherheitskonzepte. Im Spannungsfeld zwischen disruptiven Technologien, neuer Bedrohungsszenarien, Fachkräftemangel und regulatorischen Anforderungen sieht er die Notwendigkeit flexibler Dienstleistungskonzepte als Konsequenz. G DATA ist Premium-Partner bei der IT-Security Management & Technology Conference 2019. Michael Zimmer hält dort den Vortrag „Effiziente Resilienz statt trügerischer Sicherheit“.
Weiterführende Links:
security-insider.de: Der Mittelstand hat Nachholbedarf bei der IT-Sicherheit
