12.08.2015 Maßnahmen zur Datensicherheit

Die IT-Ausgaben steigen – die IT-Sicherheit nicht

Von: Mike Foreman

Spektakuläre IT-Hacks betreffen meist große Unternehmen – daher ist es verständlich, dass sich kleine und mittelständische Unternehmen (KMU) in Sicherheit wähnen. Doch der Schein trügt.

Kleine und mittelständische Unternehmen verfügen über die gleichen Daten wie Konzerne: Informationen über Kunden, Mitarbeiter, Finanzen und geistiges Eigentum – für Hacker also von großem Wert und oft doppelt attraktiv. Denn häufig sind die Zugriffshürden aufgrund mangelnder Expertise in den eigenen Reihen und knappen Budgets leicht zu überwinden. Das ist einfach nachzuvollziehen: Die meisten Unternehmen dieser Größe müssen sich in erster Linie auf ihr Kerngeschäft fokussieren – Kunden bedienen, Aufträge generieren und dabei Herr über den Verwaltungsaufwand bleiben. Da kommt die IT-Sicherheit oft zu kurz. Das gilt allerdings nicht für IT-Investitionen im Allgemeinen. In dieser Unverhältnismäßigkeit liegen die Schwachstellen: Während der Einsatz mobiler Lösungen steigt, fehlen bei einem Großteil der kleinen Unternehmen die nötigen Sicherheitstechnologien, Unternehmensrichtlinien und Trainings, um  vor den daraus entstehenden Risiken zu schützen.

Riskante Geschäfte

Ein weiterer Risikofaktor: Oft verhalten sich Mitarbeiter im Umgang mit mobilen Endgeräten und Lösungen im Hinblick auf IT-Sicherheit sehr unbekümmert. Das AVG Partner-Unternehmen Centrify hat herausgefunden, dass ein Drittel der Nutzer seine Geräte gar nicht sichert. Andere verwenden lediglich elementare, leicht zu erratende Passwörter  und gefährden so die Datensicherheit. Das ist umso bedenklicher, da Hacker mit immer raffinierteren Maschen agieren. So bewegen sie etwa mit Social-Engineering-Techniken Mitarbeiter dazu, realistisch anmutende, aber betrügerische E-Mails oder gefälschte Websites zu öffnen.

Geeignete Maßnahmen

Um sich vor Datenverlust zu schützen, investieren mittelständische Unternehmen üblicherweise in ein Mobile Device Management (MDM). Darüber sind alle mobilen Geräte der Mitarbeiter zentral autorisiert. Zudem müssen die Mitarbeiter eine Reihe von IT-Vorschriften akzeptieren, bevor sie auf Unternehmensressourcen oder -daten zugreifen können. Im Gegenzug erhalten IT-Administratoren die nötigen Privilegien, um Sicherheitsverfahren anzuwenden. Dazu gehört etwa, ein Gerät remote zu lokalisieren, es zu sperren, Daten zu löschen oder zu prüfen, ob spezielle Geräte, Netzwerke und VPN den Unternehmensrichtlinien entsprechen. Doch auch ein MDM birgt Risiken: Mitarbeiter können sich in ihrer Arbeit behindert sehen und auf eigene Faust gefahrenträchtige Lösungen suchen.

Ein hohes Sicherheitsniveau lässt sich hingegen mit einer Single Sign-On Technologie (SSO) mit einer Zwei-Faktor Authentifizierung erreichen. Viele IT-Dienstleister bieten diese Variante auch als Cloud-basierten Service an und erhöhen damit die Nutzbarkeit, Sicherheit und Compliance über alle mobilen Geräte hinweg – einschließlich traditioneller Windows und OSX Laptops. Unternehmen können auf diesem Weg sicherstellen, dass ihre vertraulichen Informationen sicher sind – auf jedem beliebigen Endgerät und selbst beim Versand über externe Cloud-Lösungen.

Datensicherheit erhöhen

Darüber hinaus gibt es eine Reihe von Best Practices, mit denen sie die Datensicherheit erhöhen können – gegebenfalls mit der Hilfe eines IT-Dienstleisters:

  • Mitarbeitern persönliche Trainingseinheiten und regelmäßige Updates zur aktuellen Bedrohungslage anbieten
  • Kundeninformationen stets in einer verschlüsselten Datenbank vorhalten
  • Den Zugriff auf Kundeninformationen in der Datenbank durch unterschiedliche Passwörter-Level schützen und die Passwörter regelmäßig ändern
  • Eine Malware-Erkennungssoftware sowohl für Server (eigene und gemietete) als auch für Workstations einsetzen und diese sowie das Betriebssystem patchen und updaten
  • Standard-Sicherheitskontrollen für das Netzwerk implementieren und regelmäßig überprüfen
  • Ein Krisenmanagement entwickeln – einschließlich Maßnahmen im Falle eines Datenverlusts


Angesichts der steigenden Bedrohungen können mittelständische Unternehmen es sich schlichtweg nicht leisten, erst dann in die IT-Sicherheit zu investieren, wenn sie als Opfer von Datendiebstahl in die Schlagzeilen geraten. Abgesehen vom finanziellen Verlust eines solchen Vorfalls ist der Image-Schaden unkalkulierbar – und das hart erarbeitete Kundenvertrauen unwiderruflich beschädigt.


Bildquelle: Thinkstock/ iStock

©2016 Alle Rechte bei MEDIENHAUS Verlag GmbH