Erst analysieren, dann handeln Stufenplan für IT-Sicherheit im Mittelstand

Autor / Redakteur: Frank Leibiger / Stephan Augsten

Einige Mittelständler investieren gar nicht in IT-Sicherheit, andere schützen ihr Unternehmen wie Fort Knox. Wer sich sinnvoll gegen Hacker und Datendiebe absichern will, sollte zunächst einmal den tatsächlichen Schutzbedarf ermitteln.

Firmen zum Thema

Insbesondere im Mittelstand mangelt es oft noch an einem bedachten Umgang mit der IT.
Insbesondere im Mittelstand mangelt es oft noch an einem bedachten Umgang mit der IT.
(Bild: Archiv)

Gerade mittelständische Unternehmen scheinen die Ruhe selbst zu sein, wenn es um Gefahren aus dem Internet geht. Dies hat unter anderem eine Studie der Wirtschaftsprüfungs- und Beratungsgesellschaft PwC (Pricewaterhouse Coopers) aus dem Jahr 2014 gezeigt.

Trotz der zunehmenden Meldungen über erfolgreiche Hacker-Angriffe und Datendiebstähle hatte rund ein Viertel der befragten Unternehmen bis dahin keine entsprechenden Schutzmaßnahmen ergriffen. Wenn doch, dann seien die Sicherheitsprojekte in den meisten Betrieben kaum aufeinander abgestimmt, so PwC.

Dabei ist rund die Hälfte der Unternehmen in Deutschland laut einer Bitkom-Studie in den vergangenen zwei Jahren Opfer von digitaler Sabotage, Wirtschaftsspionage oder Datendiebstahl geworden. Mittelständische Unternehmen traf es am häufigsten, der Schaden lag insgesamt bei rund 51 Milliarden Euro pro Jahr.

Das richtige Maß finden

Warum kümmern sich einige Unternehmen nur wenig um die IT-Sicherheit? Ist es Mut, Leichtsinn oder Unwissen? „Von allem etwas“, sagt Michael Ehrmann, Leiter des Competence Center Security & IT Solutions der Deutschen Telekom. Aus den Gesprächen mit Geschäftsführern und IT-Leitern weiß er, dass inzwischen die meisten um die Risiken wissen.

Jedoch haben nur wenige seiner Gesprächspartner konkrete Kenntnis von Angriffen auf ihr Unternehmen oder bestehenden Sicherheitslücken. Und so bekommen die Opfer oftmals gar nicht mit, dass sich Hacker in ihren IT-Systemen eingenistet und kritische Daten abgegriffen haben. Mehr als neun Monate dauert es im Durchschnitt, bis Unternehmen Angriffe erkennen und Abwehrmaßnahmen einleiten.

Was also tun gegen die Gefahren aus dem Netz, wenn selbst Großunternehmen mit eigenen IT-Sicherheitsspezialisten immer wieder erfolgreich attackiert werden? Gar nichts zu tun, ist natürlich der falsche Weg. Genauso wenig ist es sinnvoll, mit Kanonen auf Spatzen zu schießen.

Ein Sicherheitskonzept muss auf den Bedarf eines Unternehmens zugeschnitten sein und nicht zwangsweise zehntausende von Euro kosten. Vielmehr hat die Telekom als „Best Practice“ einen Stufenplan für mehr IT-Sicherheit entwickelt, der Schritt für Schritt den individuellen Bedarf analysiert und den Schutz darauf abstimmt:

1. Geschäftsführung einbinden

Die Geschäftsführung muss sich der Wichtigkeit des Themas bewusst sein. Bekanntermaßen ist es schwierig, ein Projekt durchzusetzen, wenn sich die Geschäftsführung nicht für das Thema interessiert.

Insbesondere Maßnahmen, die offensichtlich nur Geld kosten, aber nicht unmittelbar zum Geschäftserfolg beitragen, landen schnell in der Ablage. Zur Überzeugungsarbeit kann ein Penetrations-Test oder ein Security Check beitragen, der Lücken im Schutzschirm schnell offenbart.

Wichtig zu wissen: Manager handeln unter Umständen grob fahrlässig und haften dafür, wenn sie der IT-Sicherheit keine Beachtung schenken. Kommt die Geschäftsführung als Verantwortliche der Risikovorsorgepflicht nicht nach und entsteht dadurch dem Unternehmen ein finanzieller Schaden, kann dies zu einer persönlichen Haftung der Geschäftsführer führen.

2. Verantwortlichkeiten festlegen

Sobald die Geschäftsführung überzeugt ist, wird das Thema „IT-Sicherheit“ in die Organisation getragen. Es sollte ein Mitarbeiter klar als IT-Sicherheitsverantwortlicher benannt werden. Dies muss nicht unbedingt ein Sicherheitsexperte sein.

Der Verantwortliche muss aber die Freiheit haben, sich gegebenenfalls externes Know-how mit ins Boot zu holen. Und wer Verantwortung übernimmt, muss dafür auf Dauer Zeit investieren können sowie ein entsprechendes Budget zur Verfügung haben. Denn IT-Sicherheit ist eine Daueraufgabe!

3. Schutzbedarf analysieren und kategorisieren

Jetzt gilt es herauszufinden, welche Risiken wo liegen. Dazu müssen zunächst die Schutzbedarfe nach Vertraulichkeit, Integrität und Verfügbarkeit erfasst werden, um die wirklich geschäftskritischen Informationen zu definieren. Immerhin 17 Prozent der befragten Unternehmen der Bitkom-Studie berichten vom Diebstahl sensibler elektronischer Dokumente und Daten.

Ein paar Beispiele:

Ein Unternehmen mit dem Fokus auf Forschung und Entwicklung lebt von seinen Ideen und Patenten. Risiko: Wirtschaftsspionage. Es muss alles daran setzen, dass niemand an diese Unterlagen kommt.

Der spezialisierte Online-Shop lebt vom Handel. Ist der Shop aufgrund eines Angriffs tagelang nicht erreichbar, geht bares Geld und das Vertrauen der Kunden verloren. Beim Online-Händler liegt der Schwerpunkt des Sicherheitskonzepts auf der Webseite.

Oder der erfolgreiche kleine Bauunternehmer, der an zahlreichen Ausschreibungen teilnimmt. Kommen seine Wettbewerber an die Preise in den Ausschreibungsunterlagen, kann es schnell vorbei sein mit der guten Auftragslage.

4. Ist-Aufnahme: IT-Systeme, Netze und Endgeräte

Unternehmenskritische Werte und besondere Risiken identifiziert? Jetzt muss eine Bestandsaufnahme der Technik gemacht werden. Welche PCs sind mit welcher Software ausgestattet und sind wie vernetzt: mit dem Server, untereinander, mit dem Internet, mit Produktionsmaschinen? Und welche Arbeiten werden an den Rechnern durchgeführt?

Zu diesem Check gehören auch die mobilen Endgeräte. Sobald sich Mitarbeiter unterwegs in das Unternehmensnetzwerk einwählen können, steigt das Risiko. Zum Beispiel alleine schon durch den Verlust oder Diebstahl der Geräte.

5. Konzept erstellen und Budget festlegen

Unternehmenskritische Werte identifiziert, Prozesse definiert und die Technik detailliert aufgelistet: Jetzt heißt es, das Sicherheitskonzept darauf zuzuschneiden. Relevant sind dabei der Geschäftszweck und die Prozesse, nicht unbedingt die Firmengröße. So braucht ein zehnköpfiges Finanzberatungsteam unter Umständen umfangreichere Sicherheitsmaßnahmen als eine Firma mit 200 Mitarbeitern, die ein risikoarmes Standardgeschäft betreiben.

Wie hoch das Budget tatsächlich sein sollte, ist ohne Konzept nicht zu taxieren. Unter Umständen kann eine Basisschutzlösung mit monatlichen Kosten von wenigen Euros pro Endgerät vollkommen ausreichen.

Eine wichtige Frage muss das Konzept noch beantworten: Lassen sich die Sicherheitsmaßnahmen komplett selbst umsetzen und auf Dauer betreiben oder überlässt man die Aufgabe einem spezialisierten Dienstleister? Das muss nicht teurer sein, verbessert aber möglicherweise die Qualität, sofern ein Unternehmen keine eigenen Sicherheitsexperten in der IT-Abteilung hat.

Neben rein technischen Maßnahmen, sollten die folgenden Punkte in der Konzeption berücksichtigt werden.

5.1. Mitarbeiter aufklären und sensibilisieren

Entscheidend ist, die Mitarbeiter bei der Umsetzung mitzunehmen und zu sensibilisieren. Das beste Konzept hilft nichts, wenn die eigenen Mitarbeiter meist unbewusst – manchmal auch bewusst – Eindringlingen Tür und Tor öffnen. Durch das Wissen der Mitarbeiter über Gefahrenquellen, lässt sich schon viel verhindern.

Das Beste daran: Es kostet nichts – außer ein paar Stunden Aufklärungsarbeit. Die Risiken fangen bei dubiosen Apps an, über die Schad-Software in das Unternehmen geschleppt wird, und geht hin bis zu besuchten Webseiten, die Malware verbreiten. Jeder sollte auch wissen, wie er Zugangsdaten richtig nutzt oder mit Datenträgern wie USB-Sticks umgeht.

Großes Gefahrenpotenzial birgt auch das Social Engineering. Hier versuchen Hacker, gezielt über Mitarbeiter an vertrauliche Informationen, wie z.B. Zugangsdaten von IT-Systemen zu kommen.

5.2. Wer darf was?

Nicht jeder muss Zugriff auf alle Daten und Programmen haben. Das Konzept sollte also für alle Unternehmensbereiche bis hin zu Einzelpersonen Rollen definieren. Die Buchhaltung muss nicht auf streng vertrauliche Informationen aus der Entwicklungsabteilung zugreifen können. Genauso wenig muss jeder Angebote zu Ausschreibungen einsehen können.

5.3. Basisschutz für Firmen jeder Größe

Unabhängig davon, wie die einzelnen Endgeräte genutzt werden, braucht jedes Unternehmen einen Basisschutz. Dazu gehört eine Firewall mit zentralem Malware-Schutz (gegen Viren, Spyware etc.) und URL-Filter, mindestens am Übergang ins Internet sowie entsprechende Antivirensoftware auf allen PCs, Tablets, Notebooks und Smartphones. Insbesondere das Risiko, sich über Smartphones Schadsoftware zu fangen, wird immer noch unterschätzt.

Ein wichtiger und wirksamer Schutz ist auch das Aktualisieren sämtlicher Programme. Oftmals schließen die Updates neu entdeckte Sicherheitslücken in der Software. Gerade diese Lücken nutzen Hacker gern für Angriffe aus. Da Hacker Schadsoftware vermehrt auch über Webseiten einschleusen, sollte die Antivirenlösung auch die Reputation von Webseiten prüfen können.

Etwas aufwändiger sind Intrusion-Prevention-Systeme (IPS), die vorbeugend arbeiten. Sie überwachen die ein- und ausgehenden Datenpakete in einem Netzwerk. Sie identifizieren Bedrohungen und vom normalen Datenverkehr abweichende Muster und blockieren dann den Datenverkehr. Aktuell sind solche Systeme bereits in viele Firewall-Lösungen integriert, so dass die Implementierung einfacher ist, jedoch die stetige Konfiguration und Überwachung trotzdem gewährleistet werden muss.

5.4. Zusätzlicher Schutz mit überschaubarem Aufwand

Wer viele mobile Endgeräte nutzt, sollte ein Mobile Device Management einsetzen. Mit dieser Lösung lassen sich Smartphones und Tablets zentral verwalten. Updates werden bei allen Geräten direkt parallel durchgeführt und neue Apps eingespielt. Geht ein Gerät verloren, lässt es sich sperren und die Daten löschen.

Zumindest die unternehmenskritischen Werte sollten Unternehmen zusätzlich verschlüsseln. Für den Austausch von wichtigen Informationen mit Kunden und Entwicklungspartnern sollte das heute Pflichtprogramm sein.

Für noch höheren Schutzbedarf bei zielgerichteten Angriffen kann eine Lösung integriert werden, die unbekannte potentielle Malware in einer gesicherten virtuellen Umgebung (Sandbox) ausführt und das Verhalten bewertet.

5.5. Schutz von Online-Shops und Webanwendungen

Hängt das Geschäftsmodell eines Unternehmens stark vom Internet ab, braucht es zum Schutz der Webseite zusätzliche Maßnahmen. Hacker legen Webseiten mit (Distributed) Denial-of-Service (DDoS)-Angriffen lahm. Dabei „beschießen“ sie den Web-, DNS- oder Anwendungs-Server mit so vielen Anfragen, dass sie an Überlastung zusammenbrechen. Alternativ lasten sie den Internet Zugang soweit aus, dass kein legitimer Zugriff mehr möglich ist.

Hacker nutzen solche Attacken unter anderem dafür, um die Betreiber von Shops und Webseiten zu erpressen. DDoS-Angriffe lassen sich durch spezielle Schutzsysteme abwehren. Die wirksamste Methode hierbei ist es, DDoS-Angriffe bereits im Backbone eines Netzbetreibers abzufangen.

5.6. Früherkennung von Angriffen

Sehr gute Möglichkeiten der Angriffserkennung, allerdings verbunden mit deutlich höherem Aufwand, bietet das SIEM (Security Information and Event Management). Entsprechende Systeme identifizieren und bewerten sicherheitsrelevante Ereignisse und alarmieren den Administrator.

SIEM-Systeme erkennen Trends und Muster, die vom gewohnten Schema abweichen. Sie nutzen hierfür Millionen an Meldungen der IT-Systeme und setzen sie miteinander in Beziehung. Dazu gehören unter anderem Log-Files, also Protokolle von allen Aktionen, die auf Computersystemen passieren.

Als „Cyber Defence Services“ sind solche SIEM-Lösungen auch als betriebene Komplettlösungen verfügbar, so dass insbesondere in kleineren Unternehmen kein eigenes Personal hierfür abgestellt werden muss.

6. Umsetzung des Sicherheitskonzepts

Bei der Umsetzung werden die im Konzept definierten Maßnahmen realisiert.

Hierbei sollte nach einem Meilensteinplan der mit verschiedenen Prioritäten versehen ist vorgegangen werden.

7. Standards für mehr Sicherheit

Sicherheitsstandards wie ISO/IEC 27001:2013 oder IT-Grundschutz bieten die Möglichkeit, eine anerkannte Methodik der IT-Sicherheit ins Unternehmen zu übernehmen und diese, wenn gewünscht, auch zertifizieren zu lassen. Diese Zertifikate belegen Kunden und Partnern, dass die Standards umgesetzt sind.

8. Regelmäßige Reviews und Prüfung

Ist ein Konzept umgesetzt, muss es regelmäßig überprüft werden, um auf Änderungen von Risiken oder Bedrohungen reagieren zu können.

Das Analystenhaus Experton hat der Deutschen Telekom und T-Systems in einem Vergleich unter 450 Anbietern ein attraktives Portfolio und ausgewiesene Wettbewerbsstärke bescheinigt. Im Video-Interview erläutern Michael Ehrmann und T-Systems-Experte Jörn Garbers den Weg zu einer umfassenden Sicherheitsstrategie für Unternehmen:

(ID:43388870)