Managed-Security
"Wird schon gut geh'n!"
Gut geschützt? Fehlanzeige! Erschreckend viele Mittelständler begegnen den Cyber-Gefahren mit erschütternder Gedanken- und Sorglosigkeit. Dabei lassen sich die Risiken aufspüren, schließen – oder an IT-Dienstleister und Cloud-Provider abgeben.
Alle paar Wochen finden sich auf den Panoramaseiten Meldungen wie „Mann vergisst Umschlag mit 10.000 Euro im Café“. Wir Leser wundern uns: Verrückt, wie gedankenlos die Leute sind. Stimmt. Andererseits: Was sind schon 10.000 Euro im Vergleich zum Wert wichtiger Firmen- und Kundendaten – und was passiert, wenn nicht Bargeld, sondern Firmen-Laptop oder -Handy irgendwo vergessen werden?
Gedankenlosigkeit scheint offensichtlich auch in der Wirtschaft sehr weit verbreitet: Ein Fünftel der mittelständischen Unternehmen war bereits Opfer von Cyber-Attacken – trotzdem hat jede fünfte Firma keinerlei Prozesse zur Informationssicherheit definiert. Dabei belief sich der Schaden bei einem Drittel der geschädigten Betriebe auf bis zu 100.000 Euro. Die Hälfte der Betroffenen weiß allerdings gar nicht, welche Bereiche beziehungsweise Daten angegriffen wurden und welche Folgen dies hatte. Diese Zahlen veröffentlichte dieses Frühjahr die Unternehmensberatung Pricewaterhouse Coopers (PwC): „Präventionsmaßnahmen werden von den mittelständischen Unternehmen zweifellos vernachlässigt. Dies dürfte auch darauf zurückzuführen sein, dass viele Befragten die Risiken deutlich unterschätzen. Es ist davon auszugehen, dass etliche Attacken von den Unternehmen gar nicht bemerkt werden, weil erforderliche Monitoring- und Kontrollverfahren fehlen“, kommentiert Derk Fischer, PwC-Partner und Experte für IT-Sicherheit.
Und das ist nur eine Erhebung. Fast zeitgleich stellte die „Initiative Deutschland sicher im Netz“ (DsiN) ihren „Sicherheitsmonitor 2014“ vor. Fazit: Die Digitalisierung des Geschäftsalltags steigt – aber das Sicherheitsbewusstsein der kleinen und mittleren Unternehmen sinkt. Die Security werde zwar als wichtig wahrgenommen, die Unternehmen hadern aber bei der praktischen Umsetzung. Mangelnde Kenntnisse und Defizite in der Organisation und Überforderung spielen eine Rolle. „Insgesamt deutet die IT-Sicherheitslage im Mittelstand auf einen umfassenden Handlungsbedarf hin, insbesondere bei kleinen und kleinsten Betrieben. Ganzheitliche IT-Sicherheitskonzepte und organisatorische Maßnahmen, eine Sensibilisierung von Mitarbeitern sowie auch technische Vorkehrungen sind zu selten tägliche Praxis“, bilanzieren die Herausgeber.
Cyberkriminelle haben gerade Mittelständler als lohnende Beute ausgemacht. Laut dem Symantec „Sicherheitsreport 2013“ richten sich bereits ein Drittel aller Attacken gezielt gegen kleine und mittlere Unternehmen. Und Deutschland belegt dabei unrühmliche Spitzenplätze: Platz eins in Europa als Ursprungsland für Phishing-Webseiten und bei webbasierten Angriffen, Platz zwei hinter Großbritannien in der Verbreitung von Schadcodes.
Die eigenen Schwachstellen kennen
Was also sollten gerade kleine und mittlere Unternehmen tun? Es gibt nur zwei Wege: Weitermachen nach der Devise „Wird schon gut geh‘n“. Oder die IT-Sicherheit tatsächlich ernst nehmen und angehen. Der erste Schritt: Die eigenen Schwachstellen erkennen. Wie sind PCs, File-, Mail- und Webserver geschützt? Reicht eine – und welche Sicherheitssoftware? Oder muss in spezielle Lösungen investiert werden, die beispielsweise alle Mails auf dem Mailserver überprüfen und den gesamten Netzwerkverkehr am Gateway überwachen? Sind die eigene Website und der Online-Shop abgeschirmt? Kleinere Firmen nutzen dafür gern weitverbreitete Standard-Tools, die schnell installiert und einfach bedient werden können – die aber auch Hacker als Lieblingszugang schätzen. Und wie ist das Backup geregelt für den Fall, dass ein Schädling wichtige Dateien oder gar die Festplatte im Datei-Server mit allen Konzeptstudien und Projektplanungen infiziert?
Die wichtigste Schwachstelle aber bleibt Gedanken- und Sorglosigkeit – und damit der Faktor Mensch: Mitarbeiter laden sorglos zweifelhafte Dateien herunter. Sie verwenden vermeintlich gefundene, tatsächlich aber bewusst ausgelegte und verseuchte USB-Sticks. Oder sie nutzen private und firmeneigene Mobilgeräte parallel – und, verlieren sie. Trotzdem schulen und informieren laut DsiN-Sicherheitsmonitor nur 28 Prozent der Mittelständler ihre Mitarbeiter in punkto Sicherheit. „Aufklärungsmaßnahmen in Unternehmen werden seit Jahren vernachlässigt, obwohl sie für einen wirksamen Schutz vor Angriffen enorm wichtig sind“, sagt Prof. Dieter Kempf, DsiN-Beirat und Präsident des Bitkom.
Sicherheit kostet Zeit und Geld. Und kleinere Firmen haben in der Regel weder üppige IT-Budgets noch eigene Server- oder Netzwerkadministratoren, geschweige denn Sicherheitsexperten an Bord. Oft schreckt auch einfach die Komplexität, wenn die IT-Infrastruktur über die Jahre und wegen Übernahmen und Fusionen aus Systemen und Software der verschiedensten Hersteller zusammengewachsen ist. Vor allem aber fehlen den Umfragen zufolge allzu häufig dokumentierte Sicherheitsstandards und -prozesse. Sie zu erarbeiten und umzusetzen muss der erste Schritt sein. Hilfestellung geben Leitfäden und Checklisten fast aller IT-Verbände und -Initiativen, das Bundesamt für Sicherheit in der Informationstechnik oder die Industrie- und Handelskammern.
- "Wird schon gut geh'n!"
- Externes Know-how einholen
- Sichere Geschäfte
Lesen Sie mehr zum Thema
