Business Talk Security
Hilfestellung für den Mittelstand
Fortsetzung des Artikels von Teil 2
Der richtige Plan
Was kann also ein mittelständisches Unternehmen überhaupt tun, wenn schon große Unternehmen, die über deutlich mehr Manpower in ihren IT-Abteilungen verfügen, der Cyber-Bedrohungen nicht Herr werden?
Die gute Nachricht: Eine Sicherheitskultur im eigenen Unternehmen kann etabliert werden. Doch eine Konzeption in Eigenregie ist für die wenigsten Unternehmen empfehlenswert. Im Ernstfall gilt es, schnell und effizient zu reagieren, das „Sicherheitskonzept darf nicht statisch sein, es sollte immer ein Prozess sein, den man in regelmäßigen Abständen durchspielt und optimiert“, macht Berghoff klar. Für mittelständische Unternehmen ist das allein nicht machbar, viele wüssten nicht einmal, wo ihre kritischen Daten und Dienste überhaupt liegen, bei wem die Verantwortung liegt und wer bei einem Incident die Kommandogewalt hat. Brandschutzübungen werden in den meisten Unternehmen durchgeführt, doch eine „IT-Sicherheitstechnische Brandschutzbegehung“, wie Grüneberg sich ausdrückt, existiert nicht.
„Die Behandlung eines Sicherheitsvorfalles erfordert spezielle Kompetenzen, wenn Ursachen und Wirkungen untersucht werden sollen“, sagt Nemeyer. „Typischerweise hat ein Unternehmen diese Kompetenzen nicht vorrätig. Empfohlen wird also, zu prüfen, woher ich während der Behandlung eines Vorfalles diese Kompetenzen beziehen kann.“
Incident-Response und -Management sind deshalb insbesondere für Managed Security Provider geeignet, so Straub. Solche Anbieter verfügen über die nötige Routine und müssen im Ernstfall nicht zum ersten Mal agieren.
Auch Systemhäuser können profitieren, wenn sie sich entsprechend vorbereiten und sich das notwendige Know-how aneignen. „Die Systemhäuser werden in Zukunft eine wichtige Rolle als Dienstleister spielen, um dem Mittelstand die nötigen Compliance-Vorschriften näher zu bringen“, prophezeit Mirco Rohr, Global Evangelist bei Bitdefender. Denn viele Mittelständler wenden sich seit jeher an das Systemhaus ihres Vertrauens.
Es gilt also Systemhäuser zu schulen, sagt Ansari. Für Unternehmen wiederum sei es wichtig, kritisch zu hinterfragen, ob der Partner auch über die nötigen Kompetenzen verfügt. Welche Kriterien hier relevant sind, sollte jedes Unternehmen selbst erarbeiten: „Incident-Responding und das Einbinden der unterschiedlichen Bereiche eines Unternehmens in diese Notfallabläufe – zum Beispiel der Rechtsabteilung, betroffener Geschäftsbereiche, der Geschäftsführung – und dann das Einbinden externer Kompetenzen an der richtigen Stelle, müssen geübt werden. Auf Basis dieser eingeübten Abläufe sollte man beginnen, Ausschreibungskriterien für externe Security Services zu entwickeln, um so den passenden Dienstleister zu ermitteln“, empfiehlt Grüneberg.
Vorbereitung ist alles
Wer trotz medialer Dauerpräsenz IT-Security noch nicht auf seiner Agenda hat, muss jetzt handeln. Denn die Diskussionsteilnehmer waren sich einig, dass eine Strategie zur richtigen Reaktion auf Sicherheitsvorfälle heutzutage unumgänglich ist. Konsens herrschte auch darin, dass es für den Mittelstand nahezu unmöglich ist, diese allein umzusetzen. Unternehmen tun gut darin, sich jetzt mit Hilfe kompetenter Partner, auf den Ernstfall vorzubereiten.
- Hilfestellung für den Mittelstand
- Bewusstsein allein reicht nicht
- Der richtige Plan
- Exkurs: Die Rolle der IT-Forensik
Lesen Sie mehr zum Thema
