IT-MITTELSTAND 01/2016
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
infrastrukturen | it-sicherheit<br />
D<br />
er Mittelstand ist nicht gut aufgestellt<br />
in Sachen <strong>IT</strong>-Sicherheit. So lautete vor<br />
wenigen Monaten die Warnung des Marktforschungs-<br />
und Beratungshauses Techconsult.<br />
Diese basierte auf den Ergebnissen der<br />
Studie „Security Bilanz Deutschland“, die die<br />
Analysten durchgeführt hatten. Demnach<br />
hat knapp die Hälfte der mittelständischen<br />
Unternehmen und öffentlichen Verwaltungen<br />
dringenden Handlungsbedarf in Puncto <strong>IT</strong>- und Informationssicherheit.<br />
In dem von der Studie ermittelten Sicherheitsindex<br />
erreichen diese Firmen weniger als 50 von 100 Punkten. Grundlage<br />
der Untersuchung bildet eine Befragung von Unternehmen<br />
und Verwaltungen bzw. Non-Profit-Organisationen mit 20 bis<br />
2.000 Mitarbeitern. Die große Bedeutung des Themas Security ist<br />
den Firmen zwar bewusst, doch wie sie sich ausreichend<br />
schützen können, offenbar nicht. Der Mittelstand<br />
in Deutschland fühlt sich laut Techconsult schlecht<br />
abgesichert.<br />
Wie bei anderen <strong>IT</strong>-Themen haben die Unternehmen<br />
auch in Sachen Sicherheit mit den typischen<br />
Mittelstandsproblemen zu kämpfen. So fehlt es kleinen<br />
und mittleren Firmen nach Meinung von Techconsult-Analyst<br />
Henrik Groß häufig am notwendigen<br />
Personal. Wenn sich nur wenige Experten um die <strong>IT</strong><br />
im Haus kümmern oder eine <strong>IT</strong>-Abteilung sogar komplett<br />
fehlt, kommt das Sicherheitsthema<br />
zwangsläufig zu kurz. Mit den Personalproblemen<br />
geht auch ein Mangel an notwendiger<br />
Kompetenz einher. „In vielen<br />
mittelständischen Unternehmen ist nicht<br />
genügend <strong>IT</strong>-Sicherheits-Know-how vorhanden,<br />
um sich ausreichend zu schützen“,<br />
berichtet Groß.<br />
Attraktives Ziel für Hacker<br />
Wer jedoch glaubt, dass Mittelständler<br />
gleichzeitig weniger gefährdet seien<br />
als Großunternehmen, der irrt sich.<br />
Auch viele kleinere Firmen seien ein<br />
attraktives Ziel für Hacker, glaubt<br />
Groß. Als Beispiel nennt er deutsche<br />
mittelständische Maschinenbauer,<br />
die in ihren Bereichen Weltmarktführer<br />
sind. Deren intellektuelles<br />
Eigentum stellt ein verlockendes Ziel<br />
für Cyberkriminelle dar. Und von herkömmlicher<br />
Malware wie etwa Computerviren sind Mittelständler<br />
ohnehin genauso betroffen wie große Firmen.<br />
Holger Suhl, Geschäftsführer für den deutschsprachigen<br />
Raum beim <strong>IT</strong>-Sicherheitsanbieter<br />
Kaspersky Lab, sieht ebenfalls ein hohes Bedrohungspotential.<br />
Er denkt dabei unter anderem<br />
an Distributed-Denial-of-Service-Angriffe<br />
(DDoS). „Man stelle sich nur vor, dass die<br />
Website eines Unternehmens einen ganzen<br />
Tag nicht erreichbar ist“, sagt Suhl. „Das<br />
kann auch für viele Mittelständler zum<br />
ernsthaften Problem werden.“ Außerdem<br />
sei vielen Mittelständlern immer noch<br />
nicht klar, wie einfach ihr schützenswertes<br />
Know-how durch eine Advanced<br />
Persistent Threat zerstört werden<br />
kann, so Suhl weiter. Dies zeigt auch: Die Bedrohungen, denen<br />
Unternehmen ausgesetzt sind, werden zunehmend komplexer.<br />
Und sie erfordern entsprechend ausgefeilte Sicherheitskonzepte.<br />
Damit sind gerade kleine und mittlere Unternehmen häufig<br />
überfordert. „Je komplexer die Sicherheitsmaßnahmen sind,<br />
desto schlechter werden sie umgesetzt“, weiß Analyst Groß. Als<br />
Beispiele nennt er Multifaktoren-Authentifizierung sowie biometrische<br />
Authentifizierungsverfahren.<br />
Absicherung mobiler Endgeräte<br />
Auch die Absicherung von mobilen Endgeräten auf Unternehmensebene<br />
ist mit Aufwand verbunden. Laut Techconsult-Studie<br />
gibt es in diesem Bereich noch viel zu tun für die Mittelständler.<br />
Mehr als zwei Drittel der Unternehmen berichten, dass sie Mobile-<br />
Security-Lösungen bisher noch nicht gut umgesetzt haben. Selbst<br />
mit der Implementierung relativ einfacher Sicherheitsmethoden<br />
in ihrem Unternehmen wie etwa Antiviren-Software oder Firewalls<br />
für Smartphones und Tablet-Computern ist nur ein Drittel der<br />
befragten Mittelständler zufrieden.<br />
Für kleine und mittlere Firmen gilt somit noch mehr als für<br />
Großunternehmen: Die Sicherheitstechnik muss sich einfach<br />
bedienen lassen, damit sie auf breiter Ebene eingesetzt wird und<br />
somit wirkungsvoll ist. Das zeigt etwa das Beispiel des Sondermaschinenbauers<br />
Viscom. Das Unternehmen tauschte seine<br />
Sicherheitslösung aufgrund mangelnder Usability aus. „Uns störte<br />
immer mehr, dass die Oberfläche des<br />
Produktes nicht intuitiv zu bedienen<br />
Wie sicher<br />
ist das eigene<br />
Unternehmen?<br />
war“, berichtet <strong>IT</strong>-Leiter Thomas Krause.<br />
„Man musste schon viel Erfahrung mit<br />
der Software mitbringen, um die Konfiguration<br />
leicht durchführen zu können.“<br />
Bei der Suche nach einem neuen<br />
System war das einfache Management<br />
für die Administratoren ein wichtiges<br />
Auswahlkriterium.<br />
Die Verantwortlichen entschieden<br />
sich letztlich für mehrere Security-Lösungen<br />
des Anbieters Kaspersky<br />
Lab. Dessen Technikvorstand, Nikita<br />
Shvetsov, hält Usability für einen sehr<br />
wichtigen Aspekt. Viele Entscheidungen<br />
sollten dem Nutzer abgenommen<br />
werden. Schließlich ist der häufig das<br />
schwächste Glied in der Security-Kette.<br />
Beides miteinander zu kombinieren –<br />
die Technik leistungsfähig, aber auch<br />
gleichzeitig einfach bedienbar zu machen – sei aber eine große<br />
Herausforderung, so Shvetsov.<br />
Unter www.security-bilanz.de stellt<br />
Techconsult ein kostenfreies Benchmark-System<br />
für mittelständische<br />
Anwender zur Verfügung, mit dem<br />
diese die Sicherheitslage in ihrem<br />
Unternehmen testen können. In einem<br />
sogenannten „Self Check“ schätzen<br />
die Nutzer selbst ein, wie wichtig einzelne<br />
technische, organisatorische und<br />
rechtliche Vorkehrungen zur <strong>IT</strong>- und<br />
Informationssicherheit für ihr Geschäft<br />
sind und wie gut deren Umsetzung<br />
realisiert ist.<br />
Sicherheit als Dienstleistung<br />
Wer Sicherheitslösungen nicht selbst implementieren möchte,<br />
kann auch auf Managed Security Services zurückgreifen. Das ist<br />
laut Groß eine gute Möglichkeit trotz begrenzter eigener Kapazitäten<br />
leistungsfähige Sicherheitstechnologie zu nutzen. So sollen<br />
die Kosten kalkulierbar und die Sicherheitssysteme stets auf dem<br />
aktuellen Stand bleiben. Das versprechen zumindest Anbieter wie<br />
etwa Secunet. Die Unternehmen können sich aus einem modularen<br />
System die für sie passenden Services auswählen. Der Dienstleister<br />
übernimmt dann Installation, Integration, Konfiguration,<br />
Administration sowie Wartung.<br />
Das Institut für Lernsysteme (ILS) zum Beispiel lässt seine komplette<br />
Webserver-Farm mithilfe von Managed Security Services<br />
34<br />
<strong>IT</strong>-M<strong>IT</strong>TELSTAND 1-2 | 2<strong>01</strong>6