Mittelstand benötigt spezielle Sicherheits-Lösungen

Dazu gehört beispielsweise die Prüfung, wie viel Schutz ihre Kunden wirklich brauchen und wie sie ihre Systeme mit möglichst wenig Aufwand sichern. Beide Aspekte werden gerne vernachlässigt. Denn mit dem Thema Security lassen sich fabelhaft Ängste schüren und somit Kaufanreize schaffen. Um aber dafür zu sorgen, dass der Mittelstand weder unnötig aufwändige Sicherheits-Tools kauft noch sich vor lauter Frust der IT-Security völlig verweigert, ist ein Umdenken der Anbieter notwendig.
Dass eine potenzielle Verweigerungshaltung der Anwender eine große Gefahr ist, lässt auch die neueste IT-Security-Studie der InformationWeek aufscheinen: Danach beklagen gut 40 Prozent der Befragten, dass die am Markt angebotenen Sicherheitstechniken zu komplex beziehungsweise im Vergleich zur Leistung zu teuer seien. Die wahrscheinliche Reaktion auf solche tatsächliche oder auch nur »gefühlte« Komplexität dürfte meist der Verzicht auf den Einsatz solcher Lösungen sein.
Sicherheit ist nun zum einen sicher nicht zum Nulltarif zu haben und zum zweiten ist es auch für Mittelständler ratsam, wenigstens diesbezügliche Grundkompetenzen im eigenen Haus aufzubauen beziehungsweise zu belassen, wenn man sich für einen externen Dienstleister entscheidet.
Aber die Hersteller müssen sich auch an die eigene Nase fassen: Haben sie die Anwender genügend und mit ehrlichen Argumenten dafür sensibilisiert, dass IT-Sicherheitsmaßnahmen kein Luxus sind und mehr umfassen müssen, als lediglich eine Netzwerk-Firewall und einen Virenscanner zu installieren?
Immer mehr Angriffe kommen nämlich nicht von außen, sondern von innen. Solche Angriffe müssen noch nicht einmal in böswilliger Absicht geschehen. Ein sorgloser Service-Techniker oder ein verspielter Praktikant reichen schon. Sie schleppen Viren über mobile Endgeräte, etwa USB-Sticks, ein oder blockieren wichtige Ressourcen durch private Anwendungen wie Spiele, Grußkarten oder das Surfen im Internet. Eindeutige Richtlinien, die den Umgang mit E-Mails, dem Internet und mobilen Geräten für alle Mitarbeiter regeln, sind schon ein wichtiger Schritt zu mehr Sicherheit. Aber sie können nicht restlos verhindern, dass ein Virus in das Netzwerk eindringt und Schaden anrichtet oder dass ein Dialer versucht, sich zu installieren.
Hier greifen Lösungen, die Schutz auf der Applikationsebene bieten. Denn den Mitarbeiter selbst kann und darf ein Unternehmen in Deutschland nur beschränkt kontrollieren. Software, die das Ausführen destruktiver Applikationen selbstständig blockiert, ist deshalb eine sinnvolle Ergänzung von Firewalls, Virenscannern und Sicherheits-Richtlinien. Sie kann sogar vor jenen Bedrohungen schützen, die durch Negativlisten noch nicht erfasst sind. Denn Viren verursachen ja nicht schon durch ihr Eindringen Schaden, sondern erst dann, wenn sie versuchen, destruktiven Code auszuführen und somit Anwendungen zu starten.
Lösungen, die ungewollte Anwendungen blockieren, unterstützen Systemadministratoren sogar bei der Lizenzverteilung. Mit solchen Lösungen lässt sich die Zahl der Anwender beziehungsweise Benutzergruppen definieren, die zur Ausführung bestimmter Anwendungen berechtigt sind. Eine Über- oder Unterlizenzierung ist damit so gut wie ausgeschlossen.
Beeinträchtigungen der IT-Systeme, wodurch auch immer ausgelöst, stören auf jeden Fall die betrieblichen Abläufe. Dass dadurch ausgelöste Zeitverluste und Zeitaufwendungen und deren Auswirkungen auf die Bilanz gerade von Mittelständlern sehr ernst genommen werden müssen, zeigte die Information Week im letzten Mittelstands-Heft im November 2005 (Seite 34ff).

Christian Kruppa ist Geschäftsführer des Security-Spezialisten Appsense.