IT-Sicherheit trotz limitierter Ressourcen

Herausforderung Cyberkriminalität

Rund 99% aller Betriebe in Deutschland zählen zur Kategorie der kleinen und mittleren Un-ernehmen (KMU). Von ihrer Leistungsfähigkeit hängen viele wirtschaftliche Prozesse ab. Zu einer zentralen Herausforderung ist in Zeiten der voranschreitenden Digitalisierung und Vernetzung das Thema IT-Sicherheit geworden. Denn immer größer ist die Gefahr Opfer eines Cyberangriffs zu werden und immer schwerer wiegt das Risiko, dadurch erhebliche Schäden davon zu tragen. Dabei belegen Studien, dass die Sensibilität der Verantwortlichen für IT-Sicherheitsthemen in den letzten Jahren durchaus deutlich gestiegen ist. Sie zeigen aber auch, dass es in der Umsetzung an geeigneten Maßnahmen in wesentlichen Teilbereichen großen Nachholbedarf gibt – angefangen von einem durchgängigen IT-Sicherheitsmanagementprozess bis hin zum Notfallmanagement.

Während viele Betriebe in Sachen Virenschutz und Datensicherung oftmals recht gut aufgestellt sind, mangelt es vielerorts an weiteren, zentralen Sicherheitsbausteinen. Dazu zählen z. B. die eingehende und detaillierte Dokumentation der eingesetzten Systeme oder ein klares Konzept zur Datenablage und Berechtigung, so dass Sicherungskonzepte überhaupt greifen können. Ein Blick in die Praxis zeigt zudem, dass kontinuierliche Schulungskonzepte für die Belegschaft oftmals fehlen. Dabei kann allein das Risikobewusstsein der Angestellten maßgeblich zum Schutz von Unternehmensdaten bzw. -systemen beitragen. Zu selten liegen zudem Notfall-Checklisten für kritische Situationen und den Recovery-Prozess vor. Doch gerade diese sind ein wichtiges „Werkzeug“, welches im Notfall dabei hilft, einen kühlen Kopf zu behalten und schnell die richtigen Maßnahmen einzuleiten. Und natürlich bedarf es individuell zugeschnittener Schutzkonzepte für Angriffe von außen und innen sowie regelmäßiger Sicherheitsprüfungen, um die Wirksamkeit der erarbeiteten Konzepte bzw. getroffenen Maßnahmen zu validieren. Auch diese sind nach wie vor nicht in allen Unternehmen vorhanden.

Ein Sicherheitskonzept nach Maß

Das richtige bzw. ein für das Unternehmen angemessenes Sicherheitsniveau zu erreichen, ist also das „A“ und „O“. Grundlage hierfür ist jedoch zunächst die Erkenntnis, dass es sich hierbei um einen kontinuierlichen Auftrag handelt. Es genügt eben längst nicht mehr eine Firewall einmalig zu konfigurieren und darauf zu hoffen, dass diese für alle Zeiten ausreichend und wirksam eingestellt ist. Problematisch ist zudem die nach wie vor gängige Praxis, den Zugang zu Daten und Systemen mit simplen Kennwörtern zu sichern, die schlimmsten Falls sogar über mehrere Systeme hinweg identisch sind und nur selten oder gar nicht geändert werden. Trügerisch ist auch, auf ein einmal aufgebautes, durchaus gutes Sicherheitssystem zu vertrauen. Denn nicht nur Fehler oder Lücken können sich hier mit der Zeit einschleichen, sondern auch die äußeren Einflüsse ändern sich und mit ihnen die Anforderun-gen an die Absicherung der IT.

Kontinuität heißt z. B. auch, dass alle eingesetzten Systeme stets so schnell wie möglich mit zur Verfügung gestellten Patches der Hersteller versorgt werden müssen. Dies gilt für Betriebssysteme und Anwendungssoftware ebenso wie für Hardware basierte Systeme wie z. B. Router, Firewalls, WLAN-Switches oder WLAN-Access-Points. Ratsam ist laut Experten wie der ASS it-systemhaus GmbH zudem die regelmäßige Abstimmung mit den Dienstleistern für Internet-Services – also Internet-Anbietern, Hostern, Housing-Dienstleistern usw. – hinsichtlich der möglichen Schutz- und Sicherheitsmaßnahmen. Hier spielen z. B. der Spam-Schutz und Anti-Virus-Lösungen für die E-Mail-Kommunikation eine wichtige Rolle aber auch Maßnahmen, mit deren Hilfe Angriffe auf die IT-Infrastruktur (bspw. DDOS Atacken) bereits beim Provider abgefangen werden können. Eine wesentliche Aufgabe ist zudem der Wechsel von reinen Benutzernamen-Kennwort-Systemen hin zur Mehrfaktorauthentisierung (2FA). Hierfür gibt es mittlerweile praxistaugliche Angebote wie z. B. APIIDA Mobile Authentication, die mit Hilfe von in Smartphones verbauten Secure Elements für eine hohe Sicherheit sorgen. Auch die Einführung von leicht anwendbaren E-Mail-Verschlüsselungs- und -signatursystemen sind heute zwingend erforderliche Maßnahmen um Daten vor dem Ausspähen und vor Manipulation zu schützen.

Existenzielle Investitionen

So innovativ die KMU in der Regel sind, verfügen sie im Gegensatz zu großen Unternehmen zweifelsohne über eingeschränkte Ressourcen. Nur selten gibt es einen Verantwortlichen, der sich in Vollzeit um die Belange der IT-Sicherheit kümmern kann. Vorbehalte hinsichtlich der limitierten Ressourcen sind aus vielerlei Hinsicht dennoch nicht angebracht. Denn IT-Sicherheit ist unumstritten ein existenzielles Thema, dessen Bedeutung zukünftig weiter zunehmen wird und dessen Vernachlässigung das Überleben eines kleinen Unternehmens schnell in Frage stellen kann. Hier sollten sich Verantwortliche die Frage stellen, welche Themen möglicherweise hintenangestellt werden müssen. Fakt ist andererseits, dass viele der aufgeführten Maßnahmen, sei es inhouse oder unter Zuhilfenahme eines externen Dienstleisters, mit kleinen Budgets zu stemmen sind. Dazu zählt beispielsweise die Benennung eines Verantwortlichen, der das Thema IT – und Informationssicherheit im Blick behält. Dies muss keine Vollzeitstelle sein. Es reicht zunächst vollkommen aus, dass ein fester Ansprechpartner mit festem Zeitbudget zur Verfügung steht. Ebenfalls hilfreich und schon mit überschaubarem Budget möglich ist die Einbindung eines externen Dienstleisters, der bei der Gestaltung und den regelmäßigen Reviews grundlegender Sicherheitskonzepte hilft. Vergleichsweise wenig Aufwand verursacht zum Beispiel auch die schriftliche Festlegung interner Prozesse – etwa unter welchen Umständen und von welchen Personen eine Überweisung per E-Mail angeordnet werden darf.

Fazit

KMU sind eine der tragenden Säulen der deutschen Wirtschaft und somit immer häufiger auch Ziel von Cyberangriffen. Auch wenn IT nicht das eigentliche Kerngeschäft der meisten Unternehmen ist, ist sie heute zu einem wesentlichen Baustein avanciert, der maßgeblich zum Funktionieren der Betriebe beiträgt. Diesen zu schützen und die eingeleiteten Maßnahmen immer wieder auf Wirksamkeit und Aktualität zu prüfen, ist folglich die Aufgabe. Notwendige Investitionen – die nicht zwingend so hoch sein müssen wie oftmals befürchtet – müssen stets vor dem Hintergrund der zentralen Rolle von IT betrachtet werden. Schon die Beachtung einiger wesentlicher Aspekte kann dabei ein Betrieb vor bösen Überraschungen schützen.

Stefan Schaffner, Geschäftsführer, ASS it-systemhaus GmbH

Stefan Schaffner ist Geschäftsführer der ASS it-systemhaus GmbH und verfügt über mehr als 25 Jahre Erfahrung in IT-Fragen sowohl kleiner und mittlerer Unternehmen als auch von Enterprise-Unternehmen. Insbesondere auch in seiner Funktion als CEO der APIIDA AG treibt er das Thema „Digitalisierung“, wofür das Unternehmen Lösungen entwickelt, Kunden strategisch berät und bei der Umsetzung begleitet.