Stefan Angerer, Norman Data Defense Systems, und Kai Wittenburg, Neam IT-Services

Drei Fragen an...

Der Mittelstand neigt dazu, das brisante Thema IT-Sicherheit zu vernachlässigen, insbesondere beim rechtskonformen Verhalten (Compliance). Aber auch bei der Regelung von Zugriffsrechten bestehen nach wie vor große Defizite, etwa bei E-Mails und mobilen Geräten, die oft viele unternehmenskritische Daten enthalten.

  • „Datenverluste werden, wenn überhaupt, oft erst mit großem Zeitverzug bemerkt.“ Stefan Angerer, Norman Data Defense Systems GmbH

  • „Die größten Sicherheitslücken liegen beim unzureichenden Sicherheitsbewusstsein der Geschäftsführung und der Mitarbeiter – also bei den Menschen im Unternehmen.“ Kai Wittenburg, Neam IT-Services GmbH

So verzichtet nach aktuellen Studien die Hälfte der Befragten im Mittelstand sogar vollständig auf den Schutz ihrer E-Mails z.B. vor unberechtigter Einsichtnahme, Missbrauch oder Manipulation. Vor diesem Hintergrund hat IT-MITTELSTAND zwei Experten dazu befragt, welche Bedrohungen relevant sind und wie man die IT am besten schützen sollte.

ITM: Gegen welche neuartigen Bedrohungen sollten Mittelständler ihre IT-Infrastruktur tunlichst wappnen?
Stefan Angerer:
Mittelständler unterschätzen leicht, dass und in welchem Maß ihre Daten interessant für andere sein können. Auf dem Schwarzmarkt lässt sich praktisch alles zu Geld machen, ob das Kundendaten sind oder Informationen aus der Entwicklungsabteilung.

Unserer Beobachtung nach verschiebt sich der Schwerpunkt bei gezielten Angriffen derzeit hin zu kleineren Unternehmen. Statt wie bei den Großen hochgerüstete Festungen finden die Kriminellen hier Strukturen, die mit erheblich weniger Aufwand gesichert sind und in denen zudem die Investitionsbeschränkungen der letzten Krise spürbar sind.

Daneben ist die schiere Menge an neuer Malware eine große Bedrohung; im Schnitt findet unsere Forschungsabteilung gut 300.000 neue Schadcodes jeden Tag. Die vielen unterschiedlichen Gerätetypen, die sich mit dem Trend zum privaten Endgerät im Netzwerk tummeln, begünstigen Malware-Infektionen genauso wie die Nutzung von Social-Media-Plattformen und Kollaborations-Tools.

Kai Wittenburg: Aktuell erwarten wir durch die Vielzahl der eingesetzten mobilen Geräte und deren Möglichkeiten im alltäglichen Geschäftsleben neue Bedrohungsszenarien. Neben der Gefährdung durch verlorene Geräte – insbesondere der Vertraulichkeitsverlust der darauf enthaltenen Informationen – ergeben sich immer öfter durch einfach zu installierende Apps Risiken. Dazu zählt das Ausspionieren von Banking-PINs und (mobilen) TANs, Passwörtern oder Geschäftsgeheimnissen, zusätzlich zu den bisherigen „klassischen“ Gefährdungen. Dabei werden Mitarbeiter dazu gebracht, sich mit Schadcode auf ihrem mobilen Gerät zu infizieren, welcher dann eingehende Informationen an den Angreifer weiterleitet.

ITM: Wo sehen Sie die größten Sicherheitslücken bei den heutigen Schutzmaßnahmen für die IT im Mittelstand?
Wittenburg:
Die größten Sicherheitslücken liegen beim unzureichenden Sicherheitsbewusstsein der Geschäftsführung und der Mitarbeiter – also bei den Menschen im Unternehmen. Diese lassen sich oftmals viel zu leicht missbrauchen, um an sensitive Informationen heranzukommen bzw. verursachen durch Unachtsamkeit Sicherheitsvorfälle. Hier helfen nur regelmäßige Sensibilisierungsmaßnahmen, um Mitarbeitern den Wert der Informationen zu verdeutlichen, mit denen sie im Berufsalltag umgehen.

Des weiteren sind nach wie vor unzählige Webanwendungen im Einsatz, die – veraltet oder ungenügend programmiert – oftmals einen weitreichenden Zugriff auf interne Systeme (Datenbanken, CRM, ERP) ermöglichen. Diese Anwendungen lassen sich durch regelmäßige Penetrationstests, etwa durch simulierte Hackingangriffe, aufspüren und die Risiken im Betrieb bewerten.
Sind bereits Vorfällen eingetreten, ist ihre gesteuerte Behandlung zwingend erforderlich, um Schäden so gering wie möglich zu halten bzw. Notfälle im Rahmen eines Notfallmanagements zu beheben.

Angerer: Die Aktualität aller Anwendungen, der Schutz vor Datendiebstahl und die Achtsamkeit der Mitarbeiter sind die wesentlichen Faktoren für eine sichere Unternehmensumgebung. Aufgrund von Investitionsstopps wurden jedoch über Jahre nur die Komponenten ersetzt bzw. dazugekauft, die unbedingt nötig waren. So sind heterogene IT-Landschaften entstanden mit Hard- und Software aus unterschiedlichen Generationen. Diese lassen sich nur mit viel Arbeitsaufwand manuell patchen. Sicherheitsupdates werden unbemerkt nicht korrekt installiert; andere werden übersehen oder bleiben liegen. Das vervielfacht die Angriffspunkte. Datenverluste werden, wenn überhaupt, oft erst mit großem Zeitverzug bemerkt. Hier werden Lösungen benötigt, die nicht jedem User den Zugriff auf alle Daten gestatten, die protokollieren, welche Daten wohin überspielt werden, und die alle Daten beim Überspielen verschlüsseln für den Fall, dass Geräte verlorengehen oder gestohlen werden. Zusätzlich sollten die Mitarbeiter regelmäßig geschult werden, damit sie ein gesundes Misstrauen gegenüber den Tricks und Finten von Social-Engineering-Angriffen aufbauen können.

ITM: Welche Rolle spielen Managed IT Services, wenn es um die Verbesserung der Schutzmaßnahmen im Mittelstand geht?
Angerer:
Lösungen für den Mittelstand sollten weder kompliziert noch teuer sein. Häufig ist aber genau das Gegenteil der Fall. Die Produkte werden komplexer und umfangreicher von ihren Funktionen her; folglich erfordert ihre Administration mehr Zeit und Know-how.

Beim Schutz mittelständischer Netze sind die IT-Dienstleister daher in einer Schlüsselposition. Sie sind hinsichtlich neuer Bedrohungen auf dem Laufenden, sie kennen die Produkte und Netzwerke ihrer Kunden und haben damit eine sehr hohe Beratungskompetenz. In Form von ­„Managed Services“, die der IT-Dienstleister auf seiner Infrastruktur betreibt und administriert, können die Unternehmen gezielt die Schutzfunktionen zukaufen, die sie für einen umfassenden Schutz benötigen, aber selbst nicht inhouse betreiben können oder wollen.

Wittenburg: Aufgrund der hohen Komplexität im Bereich der Informationssicherheit bietet sich die Verlagerung einzelner Themengebiete an professio­nelle Dienstleister an. Dabei gilt das Grundprinzip, dass die Gesamtverantwortung für die Informationssicherheit bei der Geschäftsführung verbleibt.

Dieser Verantwortung wird man durch Einführung und Betrieb eines In­formationssicherheitsmanagementsystems gerecht, das auf Standards wie ISO 27001 bzw. dem BSI-Grundschutz beruht. Damit werden – risikoorientiert – Sicherheitsmaßnahmen identifiziert, die noch zu ergreifen sind, um das geplante Sicherheitsniveau zu erreichen. Das kann auch die Verlagerung von bestimmten Prozessen (oder Teilen daraus) an externe Dienstleister sein, um deren Kernkompetenzen zum Beispiel beim Betrieb von hochverfügbaren IT-Infrastrukturen und Fachanwendungen zu nutzen.

Selbst die Verlagerung von sicherheitsrelevanten Prozessen, wie Systemmonitoring, Backup, Betrieb komplexer Firewall-Umgebungen oder Unterstützung durch externe Sicherheitsbeauftragte, ist sehr gut möglich. Das bietet dem Mittelstand die Möglichkeit, sich auf seine Kernaufgaben zu konzentrieren. Wichtig dabei ist eine regelmäßige Kontrolle der beauftragten Dienstleister. Die dafür notwendigen (u.a. vertraglichen) Voraussetzungen sind sehr gut im Baustein Outsourcing der BSI-Grundschutzkataloge beschrieben. 

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok