IT-Sicherheit
Trends und Strategien für den Mittelstand
Fortsetzung des Artikels von Teil 1
Firmenhandys als hochentwickelte Spionagegeräte
Weiteres Top-Sicherheitsrisiko: das Firmenhandy. Auf Unternehmensseite ist das Smartphone als Arbeitsgerät nicht mehr wegzudenken. Es vereinfacht viele Arbeitsprozesse, ist aber auch mittlerweile lukratives Angriffsziel. Über Mikrofon und Kamera liefert es potenziell jedem Außenstehenden Bild und Ton. Zudem ist über Apps Malware Tür und Tor geöffnet. Kritisch zu sehen ist auch die Nutzung privater Messaging-Dienste wie WhatsApp, die verschlüsselt arbeiten, aber viele Metadaten (zum Beispiel wer kommuniziert mit wem) sammeln. Ohne entsprechende Schutzschilder ist für Hacker ein Eindringen in das Firmennetzwerk über das Handy meist relativ einfach, da es sehr häufig mit dem WLAN des Unternehmens verbunden wird.
Großunternehmen nutzen deswegen professionelle Mobile Device Management-Lösungen, um Firmenhandys zu verwalten. Geschäftliche Daten sind so sicher und lassen sich im Falle eines Verlusts oder Diebstahls remote löschen. Geschäftskritische Daten liegen in Datacentern (Containern) oder geschützten Cloud-Strukturen. Sie werden zwar auf dem Handy angezeigt, können aber von Kriminellen nicht oder nur schwer entwendet werden.
Security-Verantwortung meist bei IT-Leiter
In vielen Unternehmen trägt der IT-Leiter beziehungsweise der CIO die Verantwortung für die IT-Sicherheit und das Implementieren passender Sicherheitstechnologien. Das Risiko ist aber damit an der falschen Stelle aufgehängt. Denn der IT-Leiter muss sich um das operative Geschäft kümmern und nicht um die Risikoaspekte. Cyberabwehr sollte Chefsache sein, zumal eine erfolgreiche Attacke auch oft gravierende Auswirkungen auf die Geschäftsergebnisse oder die Firmenreputation hat.
Security-Strategien, die passen
Wer als Firma eine effektive Security-Strategie entwickeln möchte, muss sich auf folgende Fragestellungen konzentrieren: Was sind unsere strategischen Geschäftsfelder, und welche Prozesse dürfen nicht negativ beeinflusst werden? Welche Güter und Informationen sind vor allem wie zu schützen? Security kann dabei als positives „Abfallprodukt“ für das Qualitätsmanagement genutzt werden. Security kostet Geld, ermöglicht aber auch neues Business.
Um sich möglichst sicher aufzustellen, müssen Unternehmen dreierlei tun:
- Prevention: Mit einer aktiven Security-Strategie minimieren Unternehmen vorab das Problem, bevor es Schaden verursacht. Ziel von Präventionsmaßnahmen ist es, die Angriffsfläche der Unternehmens-IT insgesamt zu reduzieren. Zentrale Basis ist ein fortlaufendes Schwachstellenmanagement, anhand dessen Schwachstellen zeitnah gefunden, priorisiert und beseitigt werden. Wichtig sind auch fortlaufende Investitionen in Schulungsmaßnahmen zur Sensibilisierung der Mitarbeiter, um Fehlverhalten und Unachtsamkeit zu minimieren.
- Detection: Teils dauert es 200 Tage, bis ein Angriff (zufällig) entdeckt wird. Wichtig ist, dass Unternehmen ihn überhaupt erkennen. Das aber ist nicht immer einfach, da Schaddateien oft trickreich verschleiert werden. Eine wesentliche Schutzmaßnahme ist nach wie vor, Dateien direkt beim Eintritt in das Unternehmensnetzwerk mit Hilfe erprobter Verfahren wie Viren-Scanner und Mustererkennung auf bekannte und unbekannte Malware zu untersuchen. Cyberkriminelle konfigurieren aber Schaddateien mittlerweile oft so, dass sie erst zu einem späteren Zeitpunkt ein schädliches Verhalten zeigen. Dies zu entdecken und nachzuvollziehen, stellt besondere Anforderungen an die IT-Verantwortlichen in Unternehmen.
- Reaction: Basis einer angemessenen Reaktion auf Sicherheitsvorfälle sind Incident Response Pläne. Sie legen fest, wie das Unternehmen im Krisenfall (zum Beispiel Ausbrüche von Viren oder Malware, DoS-/DDoS-Attacken) reagieren sollte. Wichtig ist an erster Stelle, den durch den Vorfall verursachten Schaden zu begrenzen und die betroffenen Systeme zu isolieren, um weiteren Schaden zu vermeiden. Weiter prioritär ist die Wiederherstellung des Betriebs, um das Unternehmen wieder handlungsfähig zu machen und einem möglichen Imageverlust bzw. Vertrauensschaden entgegenzuwirken. Sinnvoll ist es, Vorfälle zu dokumentieren und zu analysieren. Aus ihnen können Unternehmen lernen und sich auf künftige Bedrohungen vorbereiten.
Eigene IT-Abteilung für den Mittelstand
Eigene IT-Expertise aufzubauen ist nicht unbedingt der beste Weg für mittelständische Unternehmen. Wichtiger ist es, genug Ressourcen zu haben, um sich auf das Kerngeschäft zu konzentrieren. Ab einer gewissen Unternehmensgröße (dreistellige Anzahl von Mitarbeitern) lohnt es sich aber. Denn dann ist es meist teurer, die IT extern verwalten zu lassen.
Darüber hinaus zeigt sich ein Unterschied zwischen der new und old economy. Viele junge Unternehmen verfügen seit Gründung über digitale Geschäftsmodelle mit virtuellen Dienstleistungen. Cybersecurity wird bei diesen Firmen von Anfang an berücksichtigt. Anders ist es bei der old economy: In zahlreichen Traditionsbranchen werden viele Dienstleistungen noch nicht digital angeboten. Für das Hosten ihrer IT-Strukturen nutzen diese Firmen meist noch on Premise Datacenter und kaufen IT-Dienstleistungen vollständig extern ein. Das bringt ihnen meist eine höhere Qualität, höhere Flexibilität, aber auch höhere Kosten.
Sichere IT sorgt für stabiles Business
Es zeigt sich: Wer IT-Security vernachlässigt und nicht strategisch angeht, der geht heute ein großes Risiko ein. Sind Unternehmen auf mögliche Sicherheitsvorfälle nicht gut vorbereitet, können Reputationsverlust und hoher wirtschaftlicher Schaden die Folge sein. Eine sichere IT-Infrastruktur sorgt für ein stabiles Business, zufriedene Mitarbeiter, Kunden und Geschäftspartner und bietet den Boden für neue Geschäftschancen. Eine Erkenntnis, die auch bei kleinen und mittleren Unternehmen langsam ankommt.
- Trends und Strategien für den Mittelstand
- Firmenhandys als hochentwickelte Spionagegeräte
Lesen Sie mehr zum Thema
