Bei der IT-Sicherheit setzen Mittelständler nur bedingt auf Beratungsangebote

Großer Gefahr ausgesetzt

Das Thema „IT-Sicherheit“ steht für viele Unternehmen an erster Stelle. Doch auf professionelle Beratungsdienstleistungen greifen insbesondere Mittelständler bisher nur bedingt zurück.

Laut der aktuellen Lünendonk-­Studie „Führende IT-Beratungs- und IT-Service-Unternehmen in Deutschland“, die seit September 2012 auf dem Markt erhältlich ist, wurde neben dem mobilen Business der Schwerpunkt „Sicherheit“ als wichtigstes Thema in der IT-Branche bewertet. Stefan Strobel, Geschäftsführer der Cirosec GmbH, wundert das nicht: „Sicherheit war schon immer ein sehr wichtiges Thema, jedoch ist es durch die bekannt gewordenen Angriffe von Anonymous und anderen Gruppierungen in den letzten Jahren verstärkt in die Presse und damit ins Bewusstsein der Unternehmen gekommen.“ Auch N.runs-Vorstand Stefan Tewes sieht in der vermehrten Berichterstattung den Hauptgrund, warum die Sicherheitsthematik bei den Unternehmen im Fokus steht. „Selbst in der Tagesschau wird über neue Computerviren berichtet und nicht wie bis vor einiger Zeit ausschließlich in der Fachpresse“, stellt er fest. Hinzu komme die sehr ausführliche Thematisierung des Bundestrojaner im letzten Jahr durch den Chaos Computer Club (CCC) in der Frankfurter Allgemeinen Zeitung (FAZ). „Die Firmen spüren nun“, ergänzt Peter Häufel, Senior Solution Sales Professional IBM Security Solutions, „dass sie wirklich einer Gefahr ausgesetzt sind, die zu einem unternehmerischen Risiko geworden ist.“

Ein Blick auf die Statistiken zeigt, dass die Zahl der Cyberangriffe im letzten Jahr um 81 Prozent auf 5,5 Mrd. weltweit gestiegen ist. Symantec entdeckte 2011 insgesamt 403 Mio. neue Schadcodes. Deutschland soll bei böswilligen Cyberaktivitäten im Europavergleich sogar auf dem ersten Platz liegen – noch vor Russland und Großbritannien. „Immerhin die Hälfte aller IT-Angriffe weltweit richten sich gegen Unternehmen mit höchstens 2.500 Mitarbeitern“, betont Max Galland, Senior Manager SMB Sales Zentraleuropa bei Symantec. „Rund 20 Prozent der betroffenen Organisationen hatten nur 250 Angestellte oder weniger.“ Nichtsdestotrotz sehen gerade kleinere Unternehmen möglichen Cyberattacken noch immer zu gelassen entgegen. Selbst einfachste Schutzmaßnahmen wie sichere Passwörter werden in vielen Betrieben ignoriert. „Oft hört man Aussagen wie ‚Uns kennt ja keiner’ und ‚Von uns will auch keiner was’ als Begründung dafür, dass man sich kaum um Sicherheit kümmert“, berichtet Stefan Strobel von Cirosec. Außerdem ist gute IT-Security nicht zum Nulltarif zu haben, „so dass die Firmenleitung in vielen Fällen das nötige Investment scheut“, ergänzt Peter Häufel von IBM. Denn solange es keinen sicherheitsrelevanten Vorfall in den eigenen vier Wänden gegeben hat, erscheint es dem Management zu teuer oder zu unbequem, die notwendigen proaktiven Maßnahmen durchzuführen.

Analyse der Bedrohungslage

So setzen mittelständische Unternehmen bisher nur bedingt auf die Unterstützung professioneller IT-Sicherheitsberater. Die Beratung bzw. die Feststellung des aktuellen Status der Informationssicherheit ist laut Michael Kranawetter, Chief Security Advisor bei der Microsoft Deutschland GmbH, jedoch ein ganz wichtiger Schritt, um das Sicherheitsniveau der Unternehmen adäquat anzuheben. „Deswegen kann ich jedem Unternehmen nur empfehlen, sich beraten bzw. ein Assessment der aktuellen Situation durchführen zu lassen. Auf der Basis von nachvollziehbaren Informationen können leichter Entscheidungen getroffen werden.“ Der Geschäftsführung müsse klar sein, welchen akuten Risiken ihre Informationen ausgesetzt sind und welche Maßnahmen sinnvoll, angebracht und rentabel sind.

Tatsache ist, dass Mittelständler oft von regional ansässigen Systemhäusern betreut werden, die natürlich auch gerne Sicherheitsprojekte durchführen und mit diesen Geld verdienen. „Da hier aber meist die Spezialisierung und damit auch das Detailwissen und die Erfahrung fehlen, kann man oft nicht von ‚professioneller IT-Sicherheitsberatung’ sprechen“, betont Stefan Strobel. „Stattdessen werden Standardprodukte wie Firewalls verkauft oder vermeintliche Sicherheitsprüfungen durchgeführt, die aber nur auf einem automatisierten Scan basieren und daher kaum Aussagekraft haben.“

Quer durch den IT-Stack

Eine umfassende Sicherheitsberatung muss stets mit der Analyse der individuellen Bedrohungslage für das jeweilige Unternehmen beginnen. Die zu schützenden Werte und die dafür relevanten Bedrohungsszenarien sind laut Strobel immer unterschiedlich, und von diesen sollten die passenden Maßnahmen abgeleitet werden. „Technische Lösungen, organisatorische Aspekte oder auch Sensibilisierungsmaßnahmen für die Mitarbeiter sind dann mögliche Handlungen, die einzelnen oder mehreren Bedrohungen entgegenwirken können“, so der Cirosec-Geschäftsführer.

Auch Michael Kranawetter von Microsoft findet es wichtig, dass eine Basis an Maßnahmen geschaffen wird, die sowohl technischer als auch organisatorischer Natur ist. „Dabei dürfen natürlich die Anwender selbst, auch in Form von Schulungen, nicht vergessen werden“, betont er. „Ontop sollten Maßnahmen durch die Beratung identifiziert werden, die im Speziellen für das Unternehmen notwendig sind.“ Diese seien in der Regel branchenspezifisch, können also auch einem vordefinierten Rahmen entsprechen. Zu guter Letzt müssen die „Kronjuwelen“ gefunden und insbesondere geschützt werden. „Organisatorisch ist es entscheidend, dass die Experten für Sicherheit nicht in der IT vergraben werden“, so Kranawetter weiter. „Sicherheitsmanagement ist eine Risiko-Management-Disziplin und gehört nicht in die IT, sondern in den Stab der Geschäftsführung, um IT-unabhängige Entscheidungen treffen zu können.“ Die Umsetzung der Sicherheitsmaßnahmen umfasst auch nicht nur IT-Aufgaben – gerade deshalb sollte man ebenso von Informations- und nicht nur von IT-Sicherheit sprechen. Und innerhalb der IT sollte die Sicherheit nicht isoliert betrachtet werden, sondern Bestandteil der einzelnen Dienstleistungen sein. Der SicherheitsmanagementStab kann hier laut Kranawetter entsprechende Experten für die Beratung bereitstellen, durchaus auch mit externer Hilfe. Die Umsetzung und der Betrieb sollten allerdings über die Dienstleistungserbringer erfolgen.

Eine umfassende Beratung adressiert letztlich viele Themen – quer durch den IT-Stack –, aber auch konzeptionellen Unternehmens-, Gebäude- und Assetschutz. Darüber hinaus sollte laut Peter Häufel von IBM die Abdeckung menschlicher Schwachstellen sowie der Schutz vor Angriffen von Innen im Fokus stehen. Klassische technische Aspekte wie Antivirus, E-Mail, Kollaboration und Websicherheit sind heute normalerweise Bestandteil jeder Beratung. „Organisatorisch muss meist erst einmal eine Sicherheitsrichtlinie erstellt und eingeführt werden, welche das allgemeine Verhalten und ‚Code of Ethics’ des Unternehmens darstellt“, ergänzt Stefan Tewes von N.runs. Parallel dazu müsse das IT-Sicherheitsbewusstsein aller Mitarbeiter geschärft werden. Hinzu komme im weiteren Verlauf die Integration der Sicherheitsbedürfnisse in die Kernprozesse des Unternehmens als unterstützender Bestandteil derer.

Um schließlich nicht nur einmalig etwas für die Sicherheit zu tun, sondern auch eine gewisse Nachhaltigkeit zu erreichen, „ist es notwendig, die Verantwortlichkeiten, Vorgaben und Abläufe für das Management der Sicherheit zu definieren“, hebt Stefan Strobel hervor. „Man spricht hier von einem Informations-Sicherheits-Management-System (ISMS). Auch diese Aspekte gehören in eine IT-Sicherheitsberatung.“

Der Weg für die Zukunft

Doch wie ist es einem IT-Berater grundsätzlich möglich, die Effektivität des beim Anwender bereits etablierten Sicherheitskonzeptes zu überprüfen – ehe die ersten (weiterführenden) Maßnahmen eingeleitet werden? „Eine aus Prozesssicht einfache Möglichkeit ist die Nachverfolgung der Daten bzw. der Datenflüsse im Unternehmen“, weiß Udo Schneider, Solution Architect EMEA bei Trend Micro. „An allen wichtigen Stationen kann man dann nachvollziehen, wo es eventuell Diskrepanzen zwischen der erlaubten Verarbeitung bzw. dem erlaubten Zugriff und den tatsächlichen Rechten gibt. Dies erlaubt es, bestehende IT-Sicherheitsprozesse auf ihre Effizienz hin zu überprüfen.“

Eine genaue Überprüfung deckt letztlich auf, welche sicherheitsrelevanten Aspekte von den Unternehmen häufig vernachlässigt werden. Je nach Art und Größe des Anwenders sind dies meist unterschiedliche Aspekte. „Bei mittelständischen Firmen fehlt es oftmals am Sicherheitsmanagement selbst“, so Stefan Strobel, „und die Maßnahmen werden oft auf Basis von begrenztem Wissen ausgewählt und sind daher selten ausgewogen. Vielfach wird dann auch an den falschen Stellen investiert.“ Gleicher Meinung ist Michael Kranawetter: „Viele Unternehmen vernachlässigen bereits die Etablierung der Rolle eines Sicherheitsmanagers und haben somit keine definierte Zuständigkeit und damit keinen ‚Kümmerer’, der die Hand auch einmal in die Wunde legt.“ Grundsätzlich werde der Hauptaspekt auf die Infrastruktur gelegt und der Schutz der Informationen selbst vernachlässigt. „Ich denke“, so Kranawetter weiter, „die Kombination von beidem ist der Weg für die Zukunft, da sich die Informationen immer mehr von der Infrastruktur trennen bzw. die Unternehmen die Infrastruktur, in der ihre Informationen verarbeitet werden, nicht mehr selbst steuern.“

Ein Konzept von der Stange

Welchen Aufwand die Erstellung eines IT-Sicherheitskonzeptes sowohl für den Anbieter als auch für den Anwender mit sich bringt, lässt sich pauschal nicht sagen. Abhängig sind der Aufwand und die Kosten laut Stefan Tewes von der Unternehmensgröße, dem Umfang des Projektes sowie der Detaillierungstiefe des Konzeptes, aber auch von den bereits vorliegenden Dokumenten und Strukturen sowie dem Risikoappetit des Anwenders. „Die Rolle eines Chief (Information) Security Officers zu etablieren, ist ein Personalkostenpunkt, der nicht zu niedrig angesetzt werden sollte“, bemerkt Michael Kranawetter. Auch sollte diesem ausreichend Budget für den Entwurf und die Umsetzung des Konzeptes zur Verfügung stehen. Ein Unternehmen müsse sich fragen, was seine Existenz wert ist und welche Investition zum Schutz der Sicherheit eingesetzt werden soll. „Meine Daumenregel lautet dabei, immer zehn Prozent Anteil der Gesamtinvestitionen für die Sicherheit auszugeben.“ Das bedeutet also ganz grob: Investiert ein Unternehmen 1 Mio. Euro in die IT, dann sollten 100.000 Euro in die IT-Sicherheit fließen.

Zu beachten ist: Je weniger Zeit und Geld man in die Erstellung eines entsprechenden Sicherheitskonzeptes investiert, „umso eher bekommt man ein Konzept von der Stange, in dem sich vor allem die Produkte aus dem Portfolio des beratenden Systemhauses wiederfinden“, warnt Stefan Strobel. Alleine schon eine Risikoanalyse für einen ausgewählten Bereich, in der Maßnahmen abgeleitet werden, soll sich kaum mit weniger als zehn Tagen Aufwand erstellen lassen.

Standards als Orientierungshilfe

Abhängig vom Unternehmen und deren Branchen kommen verschiedene Standards im Bereich „IT-Sicherheit“ zum Einsatz. Der deutsche Klassiker ist der IT-Grundschutzkatalog, „welcher für viele Bereiche Risiken und Gegenmaßnahmen darstellt“, weiß Stefan Tewes. „International ist es vor allem die ISO-2700X-Serie, welche viele Teilbereiche der IT-Sicherheit abdeckt.“ Hinzu können dann noch branchen- bzw. firmenspezifische spezielle Anforderungen kommen. Und Peter Häufel von IBM fügt an: „Der vom BSI (Bundesamt für Sicherheit in der Informationstechnik) vorgeschlagene Grundschutz liefert die richtigen Ansatzpunkte, aber kein Unternehmen wird zur Einhaltung von IT-Sicherheitsstandards gezwungen, außer es verarbeitet geheime oder personenbezogene Daten.“

Die meisten in Deutschland gültigen Regularien sind laut Udo Schneider von Trend Micro lokale Umsetzungen europäischer Vorgaben. Diese wiederum orientieren sich im IT-Bereich oftmals an internationalen Richtlinien. „Sollte ein nicht europäischer Partner auf einem bestimmten Zertifikat beharren, zu dem es keine 1:1-Relation der europäischen Richtlinien gibt, macht es manchmal in diesem speziellen Fall Sinn, eine Zertifizierung anzustreben.“ Zertifikate können Wissen zum Thema „Sicherheit“ nachweisen und Vertrauen schaffen. Darüber hinaus weisen sie nach, dass die internen Prozesse eines Unternehmens definiert sind. Für viele Mittelständler spiele die Erlangung eines IT-Sicherheitszertifikats aktuell aber keine große Rolle, meint Stefan Strobel. Oft werden jedoch die Standards als Orientierungshilfe verwendet.

Um letztlich das reibungslose Zusammenspiel aller Sicherheitsmaßnahmen in einem Unternehmen zu gewährleisten, ist es sinnvoll, einen Sicherheitsbeauftragten zu ernennen bzw. zu engagieren, der die Verantwortung im engen Austausch mit der Geschäftsführung bündelt. Denn: „IT-Sicherheit ist Chefsache!“, betont Peter Häufel. „Nur dann kann die Sicherheit am unternehmerischen Ziel ausgerichtet werden.“ Weiterhin sei auch nur so der Durchgriff auf alle Organisationseinheiten möglich, um die Schutzziele zu erreichen.


Checkliste: Erstellung eines IT-Sicherheitskonzeptes

1. Schritt: Ist-Analyse

  • Ermittlung der schutzrelevanten Prozesse
  • Ermittlung der IT-Struktur
  • Ermittlung des Schutzbedarfes von Daten und Anwendungen
  • Erstellung eines angepassten Prüfplanes (Soll)
  • Durchführung eines oder mehrerer Audits zur Ermittlung des Ist-Zustandes
  • Analyse und Bewertung der Prüfergebnisse (Soll-Ist)
  • Erstellung eines Prüfberichtes

2. Schritt: Umsetzung von Maßnahmen

  • Sichtung der Untersuchungsergebnisse
  • Erstellung von Maßnahmenempfehlungen
  • Konsolidierung der Maßnahmen
  • Kosten- und Aufwandsabschätzung
  • Festlegung der Umsetzungsreihenfolge und Verantwortlichkeiten
  • Realisierungsbegleitende Maßnahmen
  • Sensibilisierung und Schulung der Mitarbeiter

3. Schritt (u.U.): Erweiterte Gefährdungsanalyse

  • Welche Bedrohungen können sich auf welche Systeme auswirken?
  • Ermittlung des erweiterten Schutzbedarfes
  • Wie hoch ist die Wahrscheinlichkeit, dass eine solche Bedrohung zu einem Schaden führt?
  • Wie hoch würde der Schaden sein?
  • Welche Risiken ist das Unternehmen bereit zu tragen?
  • Das Restrisiko ergibt sich aus der Kombination aus Schadenshäufigkeit und Schadenshöhe.

Quelle: Marco Tessendorf, Geschäftsführer der Procado Consulting, IT- & Medienservice GmbH

Bildquelle: © iStockphoto.com/Enjoylife2

©2020Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok