IT-MITTELSTAND 01/2016
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
it-sicherheit | infrastrukturen<br />
Kostenfalle Sicherheitslücke<br />
38.000 US-Dollar muss ein<br />
mittel ständisches Unternehmen<br />
durchschnittlich in Folge eines <strong>IT</strong>-<br />
Sicherheitsvorfalles aufbringen. Bei<br />
Großunternehmen betragen die Kosten<br />
im Schnitt sogar 551.000 US-Dollar.<br />
Dies geht aus einer Studie von B2B<br />
International hervor, die im Auftrag von<br />
Kaspersky Lab durchgeführt wurde. Zu<br />
den Sicherheitsvorfällen gehören Mitarbeiterbetrug,<br />
Cyberspionage, Netzwerkeinbrüche<br />
(Network Intrusions)<br />
sowie Fehler von Drittanbietern.<br />
Die Kosten, die dabei anfallen, ergeben<br />
sich u.a. aus einem Mehraufwand<br />
für Dienstleistungen – wie externe<br />
<strong>IT</strong>-Experten oder Anwälte sowie aus<br />
Umsatzverlusten aufgrund verloren<br />
gegangener Geschäftsoptionen. Hinzu<br />
kommen noch indirekte Ausgaben wie<br />
z.B. für Personal, Trainings und Infrastrukturaktualisierungen.<br />
Diese betragen<br />
für kleine und mittlere Unternehmen<br />
im Schnitt 8.000 US-Dollar, bei<br />
Großunternehmen 69.000 US-Dollar.<br />
Große Firmen zahlen deutlich mehr,<br />
wenn ein Cybervorfall durch den Fehler<br />
eines vertrauten Partners bzw.<br />
Drittanbieters verursacht wird. Ähnlich<br />
kostenintensiv sind Betrügereien<br />
von Mitarbeitern, Cyberspionage und<br />
Netzwerkeinbrüche. Mittelständischer<br />
müssen dagegen bei allen Sicherheitsvorfällen<br />
in ähnlich hohem Maße in die<br />
Tasche greifen. Für die Studie wurden<br />
weltweit über 5.500 <strong>IT</strong>-Entscheider aus<br />
26 Ländern zu <strong>IT</strong>-Sicherheitsthemen<br />
befragt. Neun von zehn Unternehmen<br />
hatten mindestens einen Sicherheitsvorfall<br />
im Untersuchungszeitraum zu<br />
beklagen.<br />
schützen. Dazu zählen unter anderem eine Konzeptentwicklung<br />
bezüglich Ausfallsicherheit und Verfügbarkeit, Überwachung der<br />
Systemumgebung sowie das Patch-Management. Das Spektrum an<br />
Security-Dienstleistungen für Unternehmen ist aber noch größer.<br />
Anbieter von Sicherheitsservices halten Anwenderfirmen ständig<br />
über aktuelle Bedrohungen informiert oder stellen eigene ausfallsichere<br />
Netzwerke zur Verfügung, auf die der Internetverkehr<br />
nach einem DDoS-Angriff umgeleitet werden kann.<br />
Außerdem bieten Dienstleister Schulungen an, um die Mitarbeiter<br />
zu sensibilisieren. Daneben stehen auch Verbände mit<br />
„Distributed-Denialof-Service-Angriffe<br />
(DDoS) können auch<br />
für Mittelständler<br />
zum ernsthaften<br />
Problem werden.“<br />
Holger Suhl, Geschäftsführer beim<br />
<strong>IT</strong>-Sicherheitsanbieter Kaspersky Lab<br />
Umsetzungsempfehlungen parat. „Gerade der Mittelstand braucht<br />
Partner, um die teils komplexen Aufgaben bewältigen zu können“,<br />
sagt Techconsult-Geschäftsführer Peter Burghardt. Und der<br />
Bedarf an Services im Sicherheitsumfeld ist offenbar groß. Laut<br />
dem Beratungshaus Experton Group macht der Anteil der Dienstleistungen<br />
am <strong>IT</strong>-Sicherheitsmarkt bereits rund 40 Prozent aus.<br />
Analyst Groß sieht besonders Schulungen als wichtig an. Bei<br />
allen Mitarbeitern müsse ein Bewusstsein für Sicherheit geschaffen<br />
werden. „Sicherheit hört nicht bei der <strong>IT</strong> auf“, so Groß. Die<br />
Thematik durchziehe das gesamte Unternehmen und müsse<br />
auch organisatorisch umgesetzt werden. Er und seine Kollegen<br />
plädieren daher für ein separates Sicherheitsbudget. Denn meist<br />
sind die Security-Kosten dem Topf für <strong>IT</strong>-Ausgaben zugeordnet.<br />
Wird das Sicherheits-Budget jedoch eigenständig geplant, könne<br />
sichergestellt werden, dass alle wichtigen Aspekte wie Schulungen<br />
oder vertragsrechtliche Regelungen nicht unter den Tisch fallen<br />
und im Zusammenhang betrachtet werden.<br />
Markus Strehlitz<br />
Zutritt verweigert<br />
Profi-Hacker<br />
aussperren<br />
Michael Scheffler, Vice President Sales<br />
bei dem Sicherheitsanbieter A10 Networks,<br />
erläutert, auf welche Firewall-<br />
Funktionen Mittelständler besser<br />
nicht verzichten sollten.<br />
Vor zwielichtigen Gestalten auf dem Firmengelände<br />
schützt Sicherheitspersonal,<br />
indem es schon am Eingang entscheidet,<br />
wer hinein darf und wer nicht. Ähnlich<br />
leichtes Spiel haben auch Firewalls, wenn es<br />
sich um vornehmlich jugendliche „Script Kiddies“ handelt:<br />
Sie agieren eher laienhaft aus dem Darknet heraus<br />
und versuchen, in beliebige Unternehmen einzudringen.<br />
Die Abwehr von ernstzunehmenden Hackern ist hingegen<br />
ein aufwendigeres Unterfangen. Doch worauf sollte bei<br />
der Auswahl professioneller Firewalls geachtet werden?<br />
Generell gilt: Jedes Unternehmen, unabhängig<br />
von der Branche, der Belegschafts- oder Umsatzgröße,<br />
benötigt eine aktuelle Firewall – schon alleine,<br />
weil das Bundesamt für Sicherheit, der TÜV, aber<br />
auch viele Konzerne von ihren Zulieferern eine zeitgemäße<br />
Sicherheitsinfrastruktur verlangen.<br />
Als Mindestschutz wird in der Regel eine ‚Statefull Inspection<br />
Firewall’ benötigt. Solche Systeme bieten neben<br />
der reinen Port-Kontrolle erweiterte Dienste wie Applikationsunterstützung<br />
und deren Optimierung sowie Webfiltering.<br />
Firmen mit mehreren Standorten oder Außendienstmitarbeitern<br />
müssen zudem eine sichere Kommunikation<br />
zwischen den Mitarbeitern und den <strong>IT</strong>-Ressourcen der<br />
Firma sicherstellen – hierbei sollte das Augenmerk darauf<br />
liegen, dass das klassische IPSec VPN unterstützt wird.<br />
Es mag banal klingen, doch besonders wichtig ist bei<br />
allen Sicherheitssystemen die Bedienbarkeit: Ohne<br />
entsprechende Alarmierung sowie ein übersichtliches<br />
Administrations- und Analyse-Interface bringt<br />
auch die sonst beste Lösung kaum einen Nutzen.<br />
Besitzen Mittelständler einen Webshop oder eine Smartphone-App<br />
für ihre Kunden, sollten auch diese potentiellen<br />
Einfallstore abgesichert werden. Etwa durch die<br />
Etablierung einer Web Application Firewall (WAF).<br />
Nicht zuletzt sind mehr ein Drittel der Datenpakete,<br />
die das Unternehmensnetzwerk erreichen, per Secure<br />
Socket Layer (SSL) verschlüsselt. Viele Angreifer nutzen<br />
genau diese Mechanismen, um ihre Kommunikation<br />
zu verbergen. Doch einige Firewalls sind blind gegenüber<br />
solchen Attacken. Bietet die eingesetzte Firewall<br />
keine solche Entschlüsselung, sollten die Verantwortlichen<br />
mit gesonderten Lösungen nachbessern.<br />
<strong>IT</strong>-Mittelstand 1-2 | 2<strong>01</strong>6<br />
35