IT-Security Management & Technology Conference 2019

Der Mittelstand hat Nachholbedarf bei der IT-Sicherheit

| Autor / Redakteur: Michael Zimmer / Peter Schmitz

Mittelständische Unternehmen sind häufig noch damit überfordert, das richtige Maß an benötigter IT-Sicherheit zu finden.
Mittelständische Unternehmen sind häufig noch damit überfordert, das richtige Maß an benötigter IT-Sicherheit zu finden. (Bild: gemeinfrei / Pixabay)

Der IT-Schutzstatus im deutschen Mittelstand ist ungenügend. Häufig wird die eigene Gefährdung unterschätzt und daher die Absicherung der IT-Systeme vernachlässigt. Das wissen Angreifer und somit geraten KMUs verstärkt ins Visier der Cyberkriminellen. Dabei lassen sich auch mit kleinen Budgets viele der häufigen Schwachstellen beseitigen, beispielsweise beim Umgang mit Passwörtern und Berechtigungen.

Drei von vier Unternehmen mit 100 bis 500 Mitarbeitern waren nach Angaben des Branchenverbandes Bitkom in den letzten Jahren von IT-Sicherheitsvorfällen betroffen. Während sich Großunternehmen eigene Abteilungen für IT-Sicherheit leisten, sind die IT-Teams kleinerer und mittlerer Unternehmen in der Regel mit der Aufrechterhaltung der Betriebsfähigkeit ihrer Infrastruktur vollkommen ausgelastet. Dabei gibt es fast täglich neue Meldungen über erfolgreiche Angriffe – Ransomware, Trojaner und entdeckte Sicherheitslücken. Und Kriminelle werden immer schneller: Der Trojaner Emotet wird mittlerweile pro Tag in bis zu 200 verschiedenen Versionen in leicht veränderter Form verbreitet.

Welchen Stellenwert IT-Security letztendlich in der Unternehmensstrategie einnimmt, unterscheidet sich stark. Jedes Unternehmen muss die Risiken und deren Eintrittswahrscheinlichkeit abwägen. Die wirtschaftliche Abhängigkeit des Geschäftsmodells von der Verfügbarkeit der IT-Systeme und der gespeicherten Daten sind ebenso zu betrachten wie die Compliance-Anforderungen, denen das Unternehmen unterliegt. Grundsätzlich besteht jedoch in vielen KMUs die Notwendigkeit, IT-Sicherheit überhaupt als Teil der Unternehmensstrategie anzusehen. Hier erst nachträglich zu reagieren, kann einen erheblichen finanziellen Mehraufwand sowie unnötige Betriebsausfälle und -störungen bedeuten. Hinzukommt, dass der Mittelstand und kleinere Unternehmen besonders stark unter dem Fachkräftemangel leiden. Ein weiteres Problem stellt die sogenannte Schatten-IT dar: Netzwerkfähige Geräte, von denen nicht einmal der Administrator weiß.

Ergänzendes zum Thema
 
Hier geht es zur Anmeldung für die IT-Security Management & Technology Conference 2019

Status-Check auch für kleinere Unternehmen wichtig

IT-Sicherheit in mittelständischen Unternehmen zu verbessern, ist kein einfacher Prozess. Doch wie kann sich ein Mittelständler umfassend absichern? Ein klassischer Antivirenschutz reicht alleine nicht mehr aus. Als erster Schritt bietet sich ein Security-Assessment an. Mit dieser Dienstleistung bekommen Unternehmen einen guten und kosteneffizienten Überblick über mögliche Schwachstellen in der eigenen IT. Ein solcher Status-Check steht in aller Regel am Anfang einer Beschäftigung mit dem komplexen Thema IT-Security. Im Unterschied zu einem vollumfänglichen Pentest ist ein Status-Check auch für kleine und mittlere Unternehmen leistbar und die Ergebnisse sinnvoll nutzbar. Eine Überprüfung der eigenen IT führt im Unternehmen idealerweise dazu, dass auch Policies für Passwörter und andere sicherheitsrelevante Prozesse auf den Prüfstand gestellt oder überhaupt erst definiert werden. Denn kaum ein professioneller Angreifer setzt nicht auf diese Angriffsvektoren.

Awareness für Mitarbeiter

Mitarbeiter spielen oft eine entscheidende Rolle, wenn es darum geht einen Cyberangriff abzuwehren. KMUs sind aufgrund des geringeren Technik-Einsatzes besonders auf die aktive Awareness ihrer Mitarbeiter angewiesen. Ein regelmäßiges Training zu Themen der IT-Security sollte ebenso selbstverständlich sein wie solche zum Brandschutz oder zur Ersten Hilfe.

Vorbereitung für einen Sicherheitsvorfall

Grundsätzlich gelten für KMUs die gleichen Empfehlungen wie für größere Unternehmen: Die Unternehmen sollten sich auf einen IT-Sicherheitsvorfall ebenso vorbereiten wie auf andere kritische Ereignisse. IT-Sicherheitsvorfälle sollten präventiv nach den Grundsätzen des Business Continuity Management (BCM) betrachtet werden. Die maximal tolerierbare Ausfallzeit (MTA) für kritische Systeme sollte ermittelt sein. Ebenso sollten alle notwendigen Daten, wie ein Netzplan oder Kontaktadressen, auch ohne die IT-Infrastruktur des Unternehmens verfügbar sein. Eine Minimallösung zur Aufrechterhaltung der Kommunikation, zum Beispiel über Mobilfunk oder eine separate DSL-Lösung, sollte vorbereitet sein. Zum Ausgleich der KMU-typischen Schwäche in der Vorfallbewältigung ist ein Abschluss von Incident Response Dienstleistungsvereinbarungen mit kompetenten Partnern zu empfehlen. Diese sollten bereits bei den präventiven Maßnahmen einbezogen sein.

Security reloaded: Die Ära der Künstlichen Intelligenz

IT-SECURITY Management & Technology ­Conference 2019

Security reloaded: Die Ära der Künstlichen Intelligenz

01.05.19 - In Verbindung mit dem Internet-of-Things entsteht durch Künstliche Intelligenz (KI) ein ganz neues Gefahrenpotenzial. Die IT-Security Management & Technology ­Conference 2019 nimmt die neuen Herausforderungen unter die Lupe. lesen

Sicherheitsrelevante IT-Dienstleistungen auslagern

Mittelständische Unternehmen sind derzeit häufig noch damit überfordert, das richtige Maß an benötigter IT-Sicherheit zu finden. Einerseits hat die Mehrzahl der Firmen nur wenige konkrete gesetzliche Vorgaben, gleichzeitig steigt der Druck durch Regelungen wie der EU-Datenschutzgrundverordnung oder geforderte Branchenstandards. Investitionen in Sicherheitslösungen werden in vielen Fällen durch Mängel in deren Anwendung konterkariert. Denn eine SIEM-Lösung beispielsweise liefert zwar viele Informationen, stellt aber selbst noch keine Sicherheit her. Dazu bedarf es gut ausgebildeter Mitarbeiter, die diese Daten auch regelmäßig auswerten. Logfiles zu speichern hilft im Zweifel wenig, wenn diese nicht analysiert werden können.

Michael Zimmer, Geschäftsführer der G DATA Advanced Analytics GmbH.
Michael Zimmer, Geschäftsführer der G DATA Advanced Analytics GmbH. (Bild: G DATA)

Vor diesem Hintergrund vertrauen daher zahlreiche mittelständische Unternehmen bei der Bewältigung dieser Aufgaben auf externe Dienstleister. Die Auslagerung sicherheitsrelevanter IT-Dienstleistungen mag auf den ersten Blick befremdlich erscheinen, ist aber in anderen Bereichen (Werksschutz, Organisationsberatung, Hosting) längst alltäglich und sollte bei der Einführung einer IT-Sicherheitsstruktur definitiv in Erwägung gezogen werden.

Über den Autor: Michael Zimmer ist Geschäftsführer der G DATA Advanced Analytics GmbH in Bochum und berät mittelständische Unternehmen und Behörden bei der effizienten Umsetzung ganzheitlicher IT-Sicherheitskonzepte. Im Spannungsfeld zwischen disruptiven Technologien, neuer Bedrohungsszenarien, Fachkräftemangel und regulatorischen Anforderungen sieht er die Notwendigkeit flexibler Dienstleistungskonzepte als Konsequenz. G DATA ist Premium-Partner bei der IT-Security Management & Technology Conference 2019. Michael Zimmer hält dort den Vortrag „Effiziente Resilienz statt trügerischer Sicherheit“.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 45900260 / Sicherheits-Policies)