VERANSTALTUNGEN

abas Global Conference
20.09.18 - 21.09.18
In Karlsruhe

EASY World 2018
20.09.18 - 20.09.18
In Mülheim an der Ruhr

it-sa 2018
09.10.18 - 11.10.18
In Nürnberg

plentymarkets Omni-Channel Day 2018
12.10.18 - 12.10.18
In Kassel

Digital Marketing 4Heroes Conference
16.10.18 - 16.10.18
In Wien und München

Schloss vor Netzplan

Zu einem wesentlichen Faktor für den Erfolg von KMU ist in Zeiten einer zunehmenden Digitalisierung und Vernetzung die IT-Sicherheit avanciert. 

Versäumnisse in diesem Bereich können heute in vielen Betrieben zu erheblichen Schäden führen oder gar zu einer existentiellen Bedrohung werden. Insbesondere die zunehmende Komplexität dieser Themen stellt dabei eine große Herausforderung für die Unternehmen dar, welche oftmals mit stark begrenzten Ressourcen auskommen müssen.

Herausforderung Cyberkriminalität

Rund 99% aller Betriebe in Deutschland zählen zur Kategorie der kleinen und mittleren Un-ernehmen (KMU). Von ihrer Leistungsfähigkeit hängen viele wirtschaftliche Prozesse ab. Zu einer zentralen Herausforderung ist in Zeiten der voranschreitenden Digitalisierung und Vernetzung das Thema IT-Sicherheit geworden. Denn immer größer ist die Gefahr Opfer eines Cyberangriffs zu werden und immer schwerer wiegt das Risiko, dadurch erhebliche Schäden davon zu tragen. Dabei belegen Studien, dass die Sensibilität der Verantwortlichen für IT-Sicherheitsthemen in den letzten Jahren durchaus deutlich gestiegen ist. Sie zeigen aber auch, dass es in der Umsetzung an geeigneten Maßnahmen in wesentlichen Teilbereichen großen Nachholbedarf gibt – angefangen von einem durchgängigen IT-Sicherheitsmanagementprozess bis hin zum Notfallmanagement.

Während viele Betriebe in Sachen Virenschutz und Datensicherung oftmals recht gut aufgestellt sind, mangelt es vielerorts an weiteren, zentralen Sicherheitsbausteinen. Dazu zählen z. B. die eingehende und detaillierte Dokumentation der eingesetzten Systeme oder ein klares Konzept zur Datenablage und Berechtigung, so dass Sicherungskonzepte überhaupt greifen können. Ein Blick in die Praxis zeigt zudem, dass kontinuierliche Schulungskonzepte für die Belegschaft oftmals fehlen. Dabei kann allein das Risikobewusstsein der Angestellten maßgeblich zum Schutz von Unternehmensdaten bzw. -systemen beitragen. Zu selten liegen zudem Notfall-Checklisten für kritische Situationen und den Recovery-Prozess vor. Doch gerade diese sind ein wichtiges „Werkzeug“, welches im Notfall dabei hilft, einen kühlen Kopf zu behalten und schnell die richtigen Maßnahmen einzuleiten. Und natürlich bedarf es individuell zugeschnittener Schutzkonzepte für Angriffe von außen und innen sowie regelmäßiger Sicherheitsprüfungen, um die Wirksamkeit der erarbeiteten Konzepte bzw. getroffenen Maßnahmen zu validieren. Auch diese sind nach wie vor nicht in allen Unternehmen vorhanden.

Ein Sicherheitskonzept nach Maß

Das richtige bzw. ein für das Unternehmen angemessenes Sicherheitsniveau zu erreichen, ist also das „A“ und „O“. Grundlage hierfür ist jedoch zunächst die Erkenntnis, dass es sich hierbei um einen kontinuierlichen Auftrag handelt. Es genügt eben längst nicht mehr eine Firewall einmalig zu konfigurieren und darauf zu hoffen, dass diese für alle Zeiten ausreichend und wirksam eingestellt ist. Problematisch ist zudem die nach wie vor gängige Praxis, den Zugang zu Daten und Systemen mit simplen Kennwörtern zu sichern, die schlimmsten Falls sogar über mehrere Systeme hinweg identisch sind und nur selten oder gar nicht geändert werden. Trügerisch ist auch, auf ein einmal aufgebautes, durchaus gutes Sicherheitssystem zu vertrauen. Denn nicht nur Fehler oder Lücken können sich hier mit der Zeit einschleichen, sondern auch die äußeren Einflüsse ändern sich und mit ihnen die Anforderun-gen an die Absicherung der IT.

Kontinuität heißt z. B. auch, dass alle eingesetzten Systeme stets so schnell wie möglich mit zur Verfügung gestellten Patches der Hersteller versorgt werden müssen. Dies gilt für Betriebssysteme und Anwendungssoftware ebenso wie für Hardware basierte Systeme wie z. B. Router, Firewalls, WLAN-Switches oder WLAN-Access-Points. Ratsam ist laut Experten wie der ASS it-systemhaus GmbH zudem die regelmäßige Abstimmung mit den Dienstleistern für Internet-Services - also Internet-Anbietern, Hostern, Housing-Dienstleistern usw. – hinsichtlich der möglichen Schutz- und Sicherheitsmaßnahmen. Hier spielen z. B. der Spam-Schutz und Anti-Virus-Lösungen für die E-Mail-Kommunikation eine wichtige Rolle aber auch Maßnahmen, mit deren Hilfe Angriffe auf die IT-Infrastruktur (bspw. DDOS Atacken) bereits beim Provider abgefangen werden können. Eine wesentliche Aufgabe ist zudem der Wechsel von reinen Benutzernamen-Kennwort-Systemen hin zur Mehrfaktorauthentisierung (2FA). Hierfür gibt es mittlerweile praxistaugliche Angebote wie z. B. APIIDA Mobile Authentication, die mit Hilfe von in Smartphones verbauten Secure Elements für eine hohe Sicherheit sorgen. Auch die Einführung von leicht anwendbaren E-Mail-Verschlüsselungs- und -signatursystemen sind heute zwingend erforderliche Maßnahmen um Daten vor dem Ausspähen und vor Manipulation zu schützen.

Existenzielle Investitionen

So innovativ die KMU in der Regel sind, verfügen sie im Gegensatz zu großen Unternehmen zweifelsohne über eingeschränkte Ressourcen. Nur selten gibt es einen Verantwortlichen, der sich in Vollzeit um die Belange der IT-Sicherheit kümmern kann. Vorbehalte hinsichtlich der limitierten Ressourcen sind aus vielerlei Hinsicht dennoch nicht angebracht. Denn IT-Sicherheit ist unumstritten ein existenzielles Thema, dessen Bedeutung zukünftig weiter zunehmen wird und dessen Vernachlässigung das Überleben eines kleinen Unternehmens schnell in Frage stellen kann. Hier sollten sich Verantwortliche die Frage stellen, welche Themen möglicherweise hintenangestellt werden müssen. Fakt ist andererseits, dass viele der aufgeführten Maßnahmen, sei es inhouse oder unter Zuhilfenahme eines externen Dienstleisters, mit kleinen Budgets zu stemmen sind. Dazu zählt beispielsweise die Benennung eines Verantwortlichen, der das Thema IT – und Informationssicherheit im Blick behält. Dies muss keine Vollzeitstelle sein. Es reicht zunächst vollkommen aus, dass ein fester Ansprechpartner mit festem Zeitbudget zur Verfügung steht. Ebenfalls hilfreich und schon mit überschaubarem Budget möglich ist die Einbindung eines externen Dienstleisters, der bei der Gestaltung und den regelmäßigen Reviews grundlegender Sicherheitskonzepte hilft. Vergleichsweise wenig Aufwand verursacht zum Beispiel auch die schriftliche Festlegung interner Prozesse – etwa unter welchen Umständen und von welchen Personen eine Überweisung per E-Mail angeordnet werden darf.

Fazit

KMU sind eine der tragenden Säulen der deutschen Wirtschaft und somit immer häufiger auch Ziel von Cyberangriffen. Auch wenn IT nicht das eigentliche Kerngeschäft der meisten Unternehmen ist, ist sie heute zu einem wesentlichen Baustein avanciert, der maßgeblich zum Funktionieren der Betriebe beiträgt. Diesen zu schützen und die eingeleiteten Maßnahmen immer wieder auf Wirksamkeit und Aktualität zu prüfen, ist folglich die Aufgabe. Notwendige Investitionen – die nicht zwingend so hoch sein müssen wie oftmals befürchtet – müssen stets vor dem Hintergrund der zentralen Rolle von IT betrachtet werden. Schon die Beachtung einiger wesentlicher Aspekte kann dabei ein Betrieb vor bösen Überraschungen schützen.

Stefan Schaffner, Geschäftsführer, ASS it-systemhaus GmbH

Stefan SchaffnerStefan Schaffner ist Geschäftsführer der ASS it-systemhaus GmbH und verfügt über mehr als 25 Jahre Erfahrung in IT-Fragen sowohl kleiner und mittlerer Unternehmen als auch von Enterprise-Unternehmen. Insbesondere auch in seiner Funktion als CEO der APIIDA AG treibt er das Thema „Digitalisierung“, wofür das Unternehmen Lösungen entwickelt, Kunden strategisch berät und bei der Umsetzung begleitet.

 

 

Tb W90 H64 Crop Int 223fd479404b2ff0f655837afc7258f9
Apr 23, 2018

Digitalisierung noch am Anfang

Die Digitalisierung verändert Wirtschaft und Gesellschaft in einem rasanten Tempo.…
Tb W90 H64 Crop Int 76faa7972356c3ce45c71d74eb1eea95
Apr 19, 2018

Wie geht es weiter nach dem Start der DSGVO?

Angesichts der nahenden Frist für die Einhaltung der Vorschriften der EU-DSGVO ist es…
Cyber Security
Aug 24, 2017

Kleinunternehmen werden eher angriffen - 10 Tipps zum Schutz

Nachdem zwei große Ransomware-Angriffe über den Globus gefegt sind und zahlreiche große…
GRID LIST
Tb W190 H80 Crop Int 69bd67d0766bcf55730eef75a3612605

IT-Sicherheit nach Maß

65 Experten kümmern sich beim Energieversorger Innogy um die Cybersicherheit,…
Firewall Concept

DSGVO-konform – Die neue TUX-Firewall TG-0500

Zum Schutz personenbezogener Daten verlangt die EU-DSGVO „angemessene technische und…
Hacking Detected

Managed Security Service Provider als Antwort auf den Fachkräftemangel

Aufgrund des anhaltenden Fachkräftemangels im IT-Sicherheitsumfeld steigt die Nachfrage…
Tb W190 H80 Crop Int 004c3381798b4f8b8137447720d1dc24

Zu Risiken und Ausfällen fragen Sie Ihren Geschäftsführer oder Sicherheitsbeauftragten

Ein erfolgreich etabliertes und gelebtes Risikomanagement bildet eines der Kernelemente…
Security Concept

GI fordert sicherere IT-Hardware und -Software in Europa

Der Präsidiumsarbeitskreis „Datenschutz und IT-Sicherheit“ der Gesellschaft für…
Oliver Dehning

Praktisch alle Unternehmen werden angegriffen

Im 3-Fragen-Kurz-Interview zeigt Oliver Dehning, Leiter der Kompetenzgruppe Sicherheit im…
Smarte News aus der IT-Welt