IT-Sicherheit im Mittelstand

Abwehrmaßnahmen mit Managed Security Services

Die Bedrohungslage ist für mittelständische Unternehmen ähnlich dramatisch wie für große. Doch kleinen und mittleren Firmen fällt es schwerer, sich gegen Hacker oder Malware zur Wehr zu setzen. Ihnen fehlen häufig das Personal und das Know-how. Mit Managed Security Services oder einfach zu bedienenden Sicherheitslösungen lassen sich diese Nachteile wettmachen.

Der Mittelstand ist nicht gut aufgestellt in Sachen IT-Sicherheit. So lautete vor wenigen Monaten die Warnung des Marktforschungs- und Beratungshauses Techconsult. Diese basierte auf den Ergebnissen der Studie „Security Bilanz Deutschland“, die die Analysten durchgeführt hatten. Demnach hat knapp die Hälfte der mittelständischen Unternehmen und öffentlichen Verwaltungen dringenden Handlungsbedarf in Puncto IT- und Informationssicherheit. In dem von der Studie ermittelten Sicherheitsindex erreichen diese Firmen weniger als 50 von 100 Punkten. Grundlage der Untersuchung bildet eine Befragung von Unternehmen und Verwaltungen bzw. Non-Profit-Organisationen mit 20 bis 2.000 Mitarbeitern. Die große Bedeutung des Themas Security ist den Firmen zwar bewusst, doch wie sie sich ausreichend schützen können, offenbar nicht. Der Mittelstand in Deutschland fühlt sich laut Techconsult schlecht abgesichert.

Wie bei anderen IT-Themen haben die Unternehmen auch in Sachen Sicherheit mit den typischen Mittelstandsproblemen zu kämpfen. So fehlt es kleinen und mittleren Firmen nach Meinung von Techconsult-Analyst Henrik Groß häufig am notwendigen Personal. Wenn sich nur wenige Experten um die IT im Haus kümmern oder eine IT-Abteilung sogar komplett fehlt, kommt das Sicherheitsthema zwangsläufig zu kurz. Mit den Personalproblemen geht auch ein Mangel an notwendiger Kompetenz einher. „In vielen mittelständischen Unternehmen ist nicht genügend IT-Sicherheits-Know-how vorhanden, um sich ausreichend zu schützen“, berichtet Groß.

Attraktives Ziel für Hacker

Wer jedoch glaubt, dass Mittelständler gleichzeitig weniger gefährdet seien als Großunternehmen, der irrt sich. Auch viele kleinere Firmen seien ein attraktives Ziel für Hacker, glaubt Groß. Als Beispiel nennt er deutsche mittelständische Maschinenbauer, die in ihren Bereichen Weltmarktführer sind. Deren intellektuelles Eigentum stellt ein verlockendes Ziel für Cyberkriminelle dar. Und von herkömmlicher Malware wie etwa Computerviren sind Mittelständler ohnehin genauso betroffen wie große Firmen.

Holger Suhl, Geschäftsführer für den deutschsprachigen Raum beim IT-Sicherheitsanbieter Kaspersky Lab, sieht ebenfalls ein hohes Bedrohungspotential. Er denkt dabei unter anderem an Distributed-Denial-of-Service-Angriffe (DDoS). „Man stelle sich nur vor, dass die Website eines Unternehmens einen ganzen Tag nicht erreichbar ist“, sagt Suhl. „Das kann auch für viele Mittelständler zum ernsthaften Problem werden.“ Außerdem sei vielen Mittelständlern immer noch nicht klar, wie einfach ihr schützenswertes Know-how durch eine Advanced Persistent Threat zerstört werden kann, so Suhl weiter. Dies zeigt auch: Die Bedrohungen, denen Unternehmen ausgesetzt sind, werden zunehmend komplexer. Und sie erfordern entsprechend ausgefeilte Sicherheitskonzepte. Damit sind gerade kleine und mittlere Unternehmen häufig überfordert. „Je komplexer die Sicherheitsmaßnahmen sind, desto schlechter werden sie umgesetzt“, weiß Analyst Groß. Als Beispiele nennt er Multifaktoren-Authentifizierung sowie biometrische Authentifizierungsverfahren.

Absicherung mobiler Endgeräte

Auch die Absicherung von mobilen Endgeräten auf Unternehmensebene ist mit Aufwand verbunden. Laut Techconsult-Studie gibt es in diesem Bereich noch viel zu tun für die Mittelständler. Mehr als zwei Drittel der Unternehmen berichten, dass sie Mobile-Security-Lösungen bisher noch nicht gut umgesetzt haben. Selbst mit der Implementierung relativ einfacher Sicherheitsmethoden in ihrem Unternehmen wie etwa Antiviren-Software oder Firewalls für Smartphones und Tablet-Computern ist nur ein Drittel der befragten Mittelständler zufrieden.

Für kleine und mittlere Firmen gilt somit noch mehr als für Großunternehmen: Die Sicherheitstechnik muss sich einfach bedienen lassen, damit sie auf breiter Ebene eingesetzt wird und somit wirkungsvoll ist. Das zeigt etwa das Beispiel des Sondermaschinenbauers Viscom. Das Unternehmen tauschte seine Sicherheitslösung aufgrund mangelnder Usability aus. „Uns störte immer mehr, dass die Oberfläche des Produktes nicht intuitiv zu bedienen war“, berichtet IT-Leiter Thomas Krause. „Man musste schon viel Erfahrung mit der Software mitbringen, um die Konfiguration leicht durchführen zu können.“ Bei der Suche nach einem neuen System war das einfache Management für die Administratoren ein wichtiges Auswahlkriterium.

Die Verantwortlichen entschieden sich letztlich für mehrere Security-Lösungen des Anbieters Kaspersky Lab. Dessen Technikvorstand, Nikita Shvetsov, hält Usability für einen sehr wichtigen Aspekt. Viele Entscheidungen sollten dem Nutzer abgenommen werden. Schließlich ist der häufig das schwächste Glied in der Security-Kette. Beides miteinander zu kombinieren – die Technik leistungsfähig, aber auch gleichzeitig einfach bedienbar zu machen – sei aber eine große Herausforderung, so Shvetsov.

Sicherheit als Dienstleistung

Wer Sicherheitslösungen nicht selbst implementieren möchte, kann auch auf Managed Security Services zurückgreifen. Das ist laut Groß eine gute Möglichkeit trotz begrenzter eigener Kapazitäten leistungsfähige Sicherheitstechnologie zu nutzen. So sollen die Kosten kalkulierbar und die Sicherheitssysteme stets auf dem aktuellen Stand bleiben. Das versprechen zumindest Anbieter wie etwa Secunet. Die Unternehmen können sich aus einem modularen System die für sie passenden Services auswählen. Der Dienstleister übernimmt dann Installation, Integration, Konfiguration, Administration sowie Wartung.

Das Institut für Lernsysteme (ILS) zum Beispiel lässt seine komplette Webserver-Farm mithilfe von Managed Security Services schützen. Dazu zählen unter anderem eine Konzeptentwicklung bezüglich Ausfallsicherheit und Verfügbarkeit, Überwachung der Systemumgebung sowie das Patch-Management. Das Spektrum an Security-Dienstleistungen für Unternehmen ist aber noch größer. Anbieter von Sicherheitsservices halten Anwenderfirmen ständig über aktuelle Bedrohungen informiert oder stellen eigene ausfallsichere Netzwerke zur Verfügung, auf die der Internetverkehr nach einem DDoS-Angriff umgeleitet werden kann.

Außerdem bieten Dienstleister Schulungen an, um die Mitarbeiter zu sensibilisieren. Daneben stehen auch Verbände mit Umsetzungsempfehlungen parat. „Gerade der Mittelstand braucht Partner, um die teils komplexen Aufgaben bewältigen zu können“, sagt Techconsult-Geschäftsführer Peter Burghardt. Und der Bedarf an Services im Sicherheitsumfeld ist offenbar groß. Laut dem Beratungshaus Experton Group macht der Anteil der Dienstleistungen am IT-Sicherheitsmarkt bereits rund 40 Prozent aus.

Analyst Groß sieht besonders Schulungen als wichtig an. Bei allen Mitarbeitern müsse ein Bewusstsein für Sicherheit geschaffen werden. „Sicherheit hört nicht bei der IT auf“, so Groß. Die Thematik durchziehe das gesamte Unternehmen und müsse auch organisatorisch umgesetzt werden. Er und seine Kollegen plädieren daher für ein separates Sicherheitsbudget. Denn meist sind die Security-Kosten dem Topf für IT-Ausgaben zugeordnet. Wird das Sicherheits-Budget jedoch eigenständig geplant, könne sichergestellt werden, dass alle wichtigen Aspekte wie Schulungen oder vertragsrechtliche Regelungen nicht unter den Tisch fallen und im Zusammenhang betrachtet werden. 

Bildquelle: Thinkstock / Hemera

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok