IT-MITTELSTAND 01/2016

Weitere Magazine

Empfehlungen

Info

infrastrukturen | it-sicherheit D er Mittelstand ist nicht gut aufgestellt in Sachen IT-Sicherheit. So lautete vor wenigen Monaten die Warnung des Marktforschungs- und Beratungshauses Techconsult. Diese basierte auf den Ergebnissen der Studie „Security Bilanz Deutschland“, die die Analysten durchgeführt hatten. Demnach hat knapp die Hälfte der mittelständischen Unternehmen und öffentlichen Verwaltungen dringenden Handlungsbedarf in Puncto IT- und Informationssicherheit. In dem von der Studie ermittelten Sicherheitsindex erreichen diese Firmen weniger als 50 von 100 Punkten. Grundlage der Untersuchung bildet eine Befragung von Unternehmen und Verwaltungen bzw. Non-Profit-Organisationen mit 20 bis 2.000 Mitarbeitern. Die große Bedeutung des Themas Security ist den Firmen zwar bewusst, doch wie sie sich ausreichend schützen können, offenbar nicht. Der Mittelstand in Deutschland fühlt sich laut Techconsult schlecht abgesichert. Wie bei anderen IT-Themen haben die Unternehmen auch in Sachen Sicherheit mit den typischen Mittelstandsproblemen zu kämpfen. So fehlt es kleinen und mittleren Firmen nach Meinung von Techconsult-Analyst Henrik Groß häufig am notwendigen Personal. Wenn sich nur wenige Experten um die IT im Haus kümmern oder eine IT-Abteilung sogar komplett fehlt, kommt das Sicherheitsthema zwangsläufig zu kurz. Mit den Personalproblemen geht auch ein Mangel an notwendiger Kompetenz einher. „In vielen mittelständischen Unternehmen ist nicht genügend IT-Sicherheits-Know-how vorhanden, um sich ausreichend zu schützen“, berichtet Groß. Attraktives Ziel für Hacker Wer jedoch glaubt, dass Mittelständler gleichzeitig weniger gefährdet seien als Großunternehmen, der irrt sich. Auch viele kleinere Firmen seien ein attraktives Ziel für Hacker, glaubt Groß. Als Beispiel nennt er deutsche mittelständische Maschinenbauer, die in ihren Bereichen Weltmarktführer sind. Deren intellektuelles Eigentum stellt ein verlockendes Ziel für Cyberkriminelle dar. Und von herkömmlicher Malware wie etwa Computerviren sind Mittelständler ohnehin genauso betroffen wie große Firmen. Holger Suhl, Geschäftsführer für den deutschsprachigen Raum beim IT-Sicherheitsanbieter Kaspersky Lab, sieht ebenfalls ein hohes Bedrohungspotential. Er denkt dabei unter anderem an Distributed-Denial-of-Service-Angriffe (DDoS). „Man stelle sich nur vor, dass die Website eines Unternehmens einen ganzen Tag nicht erreichbar ist“, sagt Suhl. „Das kann auch für viele Mittelständler zum ernsthaften Problem werden.“ Außerdem sei vielen Mittelständlern immer noch nicht klar, wie einfach ihr schützenswertes Know-how durch eine Advanced Persistent Threat zerstört werden kann, so Suhl weiter. Dies zeigt auch: Die Bedrohungen, denen Unternehmen ausgesetzt sind, werden zunehmend komplexer. Und sie erfordern entsprechend ausgefeilte Sicherheitskonzepte. Damit sind gerade kleine und mittlere Unternehmen häufig überfordert. „Je komplexer die Sicherheitsmaßnahmen sind, desto schlechter werden sie umgesetzt“, weiß Analyst Groß. Als Beispiele nennt er Multifaktoren-Authentifizierung sowie biometrische Authentifizierungsverfahren. Absicherung mobiler Endgeräte Auch die Absicherung von mobilen Endgeräten auf Unternehmensebene ist mit Aufwand verbunden. Laut Techconsult-Studie gibt es in diesem Bereich noch viel zu tun für die Mittelständler. Mehr als zwei Drittel der Unternehmen berichten, dass sie Mobile- Security-Lösungen bisher noch nicht gut umgesetzt haben. Selbst mit der Implementierung relativ einfacher Sicherheitsmethoden in ihrem Unternehmen wie etwa Antiviren-Software oder Firewalls für Smartphones und Tablet-Computern ist nur ein Drittel der befragten Mittelständler zufrieden. Für kleine und mittlere Firmen gilt somit noch mehr als für Großunternehmen: Die Sicherheitstechnik muss sich einfach bedienen lassen, damit sie auf breiter Ebene eingesetzt wird und somit wirkungsvoll ist. Das zeigt etwa das Beispiel des Sondermaschinenbauers Viscom. Das Unternehmen tauschte seine Sicherheitslösung aufgrund mangelnder Usability aus. „Uns störte immer mehr, dass die Oberfläche des Produktes nicht intuitiv zu bedienen Wie sicher ist das eigene Unternehmen? war“, berichtet IT-Leiter Thomas Krause. „Man musste schon viel Erfahrung mit der Software mitbringen, um die Konfiguration leicht durchführen zu können.“ Bei der Suche nach einem neuen System war das einfache Management für die Administratoren ein wichtiges Auswahlkriterium. Die Verantwortlichen entschieden sich letztlich für mehrere Security-Lösungen des Anbieters Kaspersky Lab. Dessen Technikvorstand, Nikita Shvetsov, hält Usability für einen sehr wichtigen Aspekt. Viele Entscheidungen sollten dem Nutzer abgenommen werden. Schließlich ist der häufig das schwächste Glied in der Security-Kette. Beides miteinander zu kombinieren – die Technik leistungsfähig, aber auch gleichzeitig einfach bedienbar zu machen – sei aber eine große Herausforderung, so Shvetsov. Unter www.security-bilanz.de stellt Techconsult ein kostenfreies Benchmark-System für mittelständische Anwender zur Verfügung, mit dem diese die Sicherheitslage in ihrem Unternehmen testen können. In einem sogenannten „Self Check“ schätzen die Nutzer selbst ein, wie wichtig einzelne technische, organisatorische und rechtliche Vorkehrungen zur IT- und Informationssicherheit für ihr Geschäft sind und wie gut deren Umsetzung realisiert ist. Sicherheit als Dienstleistung Wer Sicherheitslösungen nicht selbst implementieren möchte, kann auch auf Managed Security Services zurückgreifen. Das ist laut Groß eine gute Möglichkeit trotz begrenzter eigener Kapazitäten leistungsfähige Sicherheitstechnologie zu nutzen. So sollen die Kosten kalkulierbar und die Sicherheitssysteme stets auf dem aktuellen Stand bleiben. Das versprechen zumindest Anbieter wie etwa Secunet. Die Unternehmen können sich aus einem modularen System die für sie passenden Services auswählen. Der Dienstleister übernimmt dann Installation, Integration, Konfiguration, Administration sowie Wartung. Das Institut für Lernsysteme (ILS) zum Beispiel lässt seine komplette Webserver-Farm mithilfe von Managed Security Services 34 IT-MITTELSTAND 1-2 | 2016
it-sicherheit | infrastrukturen Kostenfalle Sicherheitslücke 38.000 US-Dollar muss ein mittel ständisches Unternehmen durchschnittlich in Folge eines IT- Sicherheitsvorfalles aufbringen. Bei Großunternehmen betragen die Kosten im Schnitt sogar 551.000 US-Dollar. Dies geht aus einer Studie von B2B International hervor, die im Auftrag von Kaspersky Lab durchgeführt wurde. Zu den Sicherheitsvorfällen gehören Mitarbeiterbetrug, Cyberspionage, Netzwerkeinbrüche (Network Intrusions) sowie Fehler von Drittanbietern. Die Kosten, die dabei anfallen, ergeben sich u.a. aus einem Mehraufwand für Dienstleistungen – wie externe IT-Experten oder Anwälte sowie aus Umsatzverlusten aufgrund verloren gegangener Geschäftsoptionen. Hinzu kommen noch indirekte Ausgaben wie z.B. für Personal, Trainings und Infrastrukturaktualisierungen. Diese betragen für kleine und mittlere Unternehmen im Schnitt 8.000 US-Dollar, bei Großunternehmen 69.000 US-Dollar. Große Firmen zahlen deutlich mehr, wenn ein Cybervorfall durch den Fehler eines vertrauten Partners bzw. Drittanbieters verursacht wird. Ähnlich kostenintensiv sind Betrügereien von Mitarbeitern, Cyberspionage und Netzwerkeinbrüche. Mittelständischer müssen dagegen bei allen Sicherheitsvorfällen in ähnlich hohem Maße in die Tasche greifen. Für die Studie wurden weltweit über 5.500 IT-Entscheider aus 26 Ländern zu IT-Sicherheitsthemen befragt. Neun von zehn Unternehmen hatten mindestens einen Sicherheitsvorfall im Untersuchungszeitraum zu beklagen. schützen. Dazu zählen unter anderem eine Konzeptentwicklung bezüglich Ausfallsicherheit und Verfügbarkeit, Überwachung der Systemumgebung sowie das Patch-Management. Das Spektrum an Security-Dienstleistungen für Unternehmen ist aber noch größer. Anbieter von Sicherheitsservices halten Anwenderfirmen ständig über aktuelle Bedrohungen informiert oder stellen eigene ausfallsichere Netzwerke zur Verfügung, auf die der Internetverkehr nach einem DDoS-Angriff umgeleitet werden kann. Außerdem bieten Dienstleister Schulungen an, um die Mitarbeiter zu sensibilisieren. Daneben stehen auch Verbände mit „Distributed-Denialof-Service-Angriffe (DDoS) können auch für Mittelständler zum ernsthaften Problem werden.“ Holger Suhl, Geschäftsführer beim IT-Sicherheitsanbieter Kaspersky Lab Umsetzungsempfehlungen parat. „Gerade der Mittelstand braucht Partner, um die teils komplexen Aufgaben bewältigen zu können“, sagt Techconsult-Geschäftsführer Peter Burghardt. Und der Bedarf an Services im Sicherheitsumfeld ist offenbar groß. Laut dem Beratungshaus Experton Group macht der Anteil der Dienstleistungen am IT-Sicherheitsmarkt bereits rund 40 Prozent aus. Analyst Groß sieht besonders Schulungen als wichtig an. Bei allen Mitarbeitern müsse ein Bewusstsein für Sicherheit geschaffen werden. „Sicherheit hört nicht bei der IT auf“, so Groß. Die Thematik durchziehe das gesamte Unternehmen und müsse auch organisatorisch umgesetzt werden. Er und seine Kollegen plädieren daher für ein separates Sicherheitsbudget. Denn meist sind die Security-Kosten dem Topf für IT-Ausgaben zugeordnet. Wird das Sicherheits-Budget jedoch eigenständig geplant, könne sichergestellt werden, dass alle wichtigen Aspekte wie Schulungen oder vertragsrechtliche Regelungen nicht unter den Tisch fallen und im Zusammenhang betrachtet werden. Markus Strehlitz Zutritt verweigert Profi-Hacker aussperren Michael Scheffler, Vice President Sales bei dem Sicherheitsanbieter A10 Networks, erläutert, auf welche Firewall- Funktionen Mittelständler besser nicht verzichten sollten. Vor zwielichtigen Gestalten auf dem Firmengelände schützt Sicherheitspersonal, indem es schon am Eingang entscheidet, wer hinein darf und wer nicht. Ähnlich leichtes Spiel haben auch Firewalls, wenn es sich um vornehmlich jugendliche „Script Kiddies“ handelt: Sie agieren eher laienhaft aus dem Darknet heraus und versuchen, in beliebige Unternehmen einzudringen. Die Abwehr von ernstzunehmenden Hackern ist hingegen ein aufwendigeres Unterfangen. Doch worauf sollte bei der Auswahl professioneller Firewalls geachtet werden? Generell gilt: Jedes Unternehmen, unabhängig von der Branche, der Belegschafts- oder Umsatzgröße, benötigt eine aktuelle Firewall – schon alleine, weil das Bundesamt für Sicherheit, der TÜV, aber auch viele Konzerne von ihren Zulieferern eine zeitgemäße Sicherheitsinfrastruktur verlangen. Als Mindestschutz wird in der Regel eine ‚Statefull Inspection Firewall’ benötigt. Solche Systeme bieten neben der reinen Port-Kontrolle erweiterte Dienste wie Applikationsunterstützung und deren Optimierung sowie Webfiltering. Firmen mit mehreren Standorten oder Außendienstmitarbeitern müssen zudem eine sichere Kommunikation zwischen den Mitarbeitern und den IT-Ressourcen der Firma sicherstellen – hierbei sollte das Augenmerk darauf liegen, dass das klassische IPSec VPN unterstützt wird. Es mag banal klingen, doch besonders wichtig ist bei allen Sicherheitssystemen die Bedienbarkeit: Ohne entsprechende Alarmierung sowie ein übersichtliches Administrations- und Analyse-Interface bringt auch die sonst beste Lösung kaum einen Nutzen. Besitzen Mittelständler einen Webshop oder eine Smartphone-App für ihre Kunden, sollten auch diese potentiellen Einfallstore abgesichert werden. Etwa durch die Etablierung einer Web Application Firewall (WAF). Nicht zuletzt sind mehr ein Drittel der Datenpakete, die das Unternehmensnetzwerk erreichen, per Secure Socket Layer (SSL) verschlüsselt. Viele Angreifer nutzen genau diese Mechanismen, um ihre Kommunikation zu verbergen. Doch einige Firewalls sind blind gegenüber solchen Attacken. Bietet die eingesetzte Firewall keine solche Entschlüsselung, sollten die Verantwortlichen mit gesonderten Lösungen nachbessern. IT-Mittelstand 1-2 | 2016 35
Seite 1 und 2: IT-MITTELSTAND 1-2/2016 3/2013 G596
Seite 3 und 4: vorwort Kopierer sind Datensammler!
Seite 5 und 6: januar 2016 5 SEITE 32 SEITE 42 Inf
Seite 7 und 8: trends | markt › Einfache Rechnun
Seite 9 und 10: cloud computing | markt die Zusamme
Seite 11 und 12: ADVERTORIAL eigene Visualisierungen
Seite 13 und 14: personality | markt IT-Mittelstand
Seite 15 und 16: datenanalyse | markt Hulbee-Geschä
Seite 17 und 18: titelinterview | organisation Der f
Seite 19 und 20: titelinterview | organisation › A
Seite 21 und 22: titelinterview | organisation › a
Seite 23 und 24: titelinterview | organisation › h
Seite 25 und 26: e-commerce | organisation Auf die A
Seite 27 und 28: e-commerce | organisation › Ansta
Seite 29 und 30: e-commerce | organisation Kivanta s
Seite 31 und 32: e-commerce | organisation Online-Ku
Seite 33: it-sicherheit | infrastrukturen IT-
Seite 37 und 38: it-sicherheit | infrastrukturen Fra
Seite 39 und 40: Digitales Wirtschaftswunder Moderne
Seite 41 und 42: it-sicherheit | infrastrukturen Vor
Seite 43 und 44: dokumenten-Management | software
Seite 45 und 46: OHNE UMWEGE DIREKT ZU IHNEN! UNSER
Seite 47 und 48: it-projekte | praxis › hinaus wer
Seite 49 und 50: termine | veranstaltungen Problemfe
Seite 51 und 52: IT-ZOOM.DE ALS „BESTE WEBSITE“

IT-MITTELSTAND 01/2016

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?