IT-Security für den Mittelstand
Mittelständische Unternehmen stecken Kopf in den Sand
Fortsetzung des Artikels von Teil 1
IT-Sicherheit für den Mittelstand
Unternehmen sollten auf gar keinen Fall davon ausgehen, dass extern entwickelte Anwendungen automatisch sicher sind. Auf Cybersecurity spezialisierte Unternehmen sowie Softwarehersteller stellen permanent Updates und Patches zur Verfügung, um einen fehlerhaften Code so schnell wie möglich zu korrigieren und Hacker auf ihren Wegen zu stoppen. Mittelstandsunternehmen sollten diese Aktualisierungen nutzen und ihre externen, eingekauften Webanwendungen stets auf dem aktuellen Stand halten. Auf diese Weise vermeiden sie unnötige Sicherheitslücken.
Für Unternehmen, die ihre eigenen Anwendungen entwickeln, ist es besonders wichtig, regelmäßige Tests durchzuführen. Intern entwickelte Anwendungen sind zwar in der Regel sicherer als kommerzielle Software. Es reicht dennoch nicht aus, die Anwendungen einmal auf Schwachstellen zu überprüfen und davon auszugehen, dass diese weiterhin sicher bleiben. Bekannte Bedrohungen wie zum Beispiel SQL-Injections (SQLi) oder Cross-Site-Scripting (XSS) können Unternehmen durch regelmäßige Tests schnell erkennen und beheben. Sowohl statische Analysen, welche Applikationen überprüfen ohne sie auszuführen, als auch dynamische Analysen, die während der Anwendung stattfinden, können dabei helfen.
Außerdem ist es für Unternehmen wichtig, ihre gesamte Web-Bandbreite zu identifizieren. Der durchschnittliche Mittelständler mag weniger Applikationen verwenden als ein Großkonzern. Doch auch schon ungenutzte Blogs oder alte Microsites können Schwachstellen bilden und zu einem hohen Sicherheitsrisiko werden. Unternehmen sollten daher sicherstellen, dass sie alle ungenutzten Seiten geschlossen haben. Ein vollständiger Überblick über ihre Webanwendungen kann das Cyber-Risiko um einiges reduzieren.
Gerade mittelständischen Unternehmen ist die Wichtigkeit dieser Sicherheitsmaßnahmen jedoch oftmals nicht bewusst. Zudem ist bei deren Umsetzung viel Durchhaltevermögen gefragt. Um mehr Sicherheit zu erzwingen, könnte hier in Zukunft der Gesetzgeber aktiv werden, Denkbar sind feste Regeln, die Unternehmen dazu auffordern, ihre Anwendungen regelmäßig auf Sicherheitslücken zu überprüfen. Auf diese Weise wäre sichergestellt, dass alle Unternehmen ihre Verantwortung für den Schutz ihrer Daten bestmöglich wahrnehmen. Unternehmen, die sich nicht an diese Regeln halten, hätten dann die entsprechenden Konsequenzen zu tragen.
Kleine Schritte, große Wirkung
Mittelständische Unternehmen können es sich nicht leisten, die Bedrohungen durch unsichere Webanwendungen zu vernachlässigen. Cyberkriminelle sind ihnen schon auf den Fersen und schlagen aus ihrem nachlässigen Sicherheitsverhalten Profit. Auch wenn kleine Unternehmen Schwachstellen und Sicherheitsverstöße nicht gänzlich vermeiden können, sollten sie ihre Köpfe nicht einfach in den Sand stecken. Denn am Ende liegt der Schaden bei dem Unternehmen selbst. Schon mit einfachen Schritten wie die Identifizierung der gesamten Bandbreite an Webanwendungen sowie regelmäßigen Updates und Analysen können mittelständische Unternehmen die Bedrohungen durch Cyber-Kriminalität langfristig verringern.
Julian Totzek-Hallhuber ist Solution Architekt bei Veracode
- Mittelständische Unternehmen stecken Kopf in den Sand
- IT-Sicherheit für den Mittelstand
Lesen Sie mehr zum Thema
