Zu viele Lösungen für eine Menge Probleme

Nachdem 2016 der Bundestag und die Deutsche Telekom Opfer von Cyberangriffen wurden, ist sich wohl jede Organisation in Deutschland der veränderten Gefahrenlage bewusst. Es ist keine Überraschung, dass der IT-Sicherheitsmarkt boomt.

Eine aktuelle Studie zählt 954 Anbieter allein in Deutschland – die meisten mit mehreren IT-Sicherheitslösungen im Portfolio.

Der Markt ist riesig und Unternehmen werden mit einer Flut von Angeboten überschwemmt. Daher mangelt es an simplen, grundlegenden Konzepten. Besonders Mittelständler befinden sich in einer schwierigen Situation, da sie in der Regel nicht die nötigen personellen Ressourcen für umfassende IT-Sicherheitsteams haben. Trotzdem müssen auch sie Mechanismen etablieren, um Schutz und Compliance zu gewährleisten.

Ungesicherte Firmen sind ein leichtes Opfer und werden von Cyberkriminellen gezielt gesucht und gefunden – denn man ist nie zu klein, um Opfer eines Angriffes zu werden. Daher stehen IT-Verantwortliche unter Zugzwang und müssen trotz Zeitdruck Lösungen finden, die sich in bestehende Sicherheitsarchitekturen integrieren lassen und die Anwender nicht überlasten.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt drei grundsätzliche Wege für den Aufbau einer Sicherheitsarchitektur:

•  Grundlegende Sicherheitsmechanismen für alle Geschäftsprozesse und Unternehmensressourcen in einer Institution, um so bereits die größten Risiken zu minimieren. Detailliertere Schritte können später folgen – der Fokus liegt auf der Einbindung aller Bereiche in ein breitgefächertes Sicherheitskonzept.
•  Die wichtigsten Sicherheits- und Schutzfunktionen – Ausgangspunkte sind dabei die kritischsten Assets. Verglichen mit dem ersten Punkt liegt hier der Fokus mehr auf der Intensität als auf der Breite der Schutzmaßnahmen. Nicht alle Prozesse sind gleich wichtig und deshalb sollten flexible Sicherheitsmaßnahmen in Erwägung gezogen werden. Hochkritische Bereiche wie beispielsweise Adminzugänge werden strenger geschützt als ausrangierte IT, die demnächst verschrottet werden soll.
•  Für einige Branchen gibt der „BSI-Grundschutz“ präzisere Empfehlungen mit Standardmaßnahmen. Der aktuelle BSI-Standard 100-2 enthält jetzt Details zum Schutz industrieller Steuerungssysteme.

IT-Sicherheit: Vom Kostenfaktor zum Business-Enabler

In vielen Organisationen wurden über die Jahre bereits grundlegende Sicherheitsmechanismen eingeführt. Allerdings beziehen sie sich immer noch auf breitgestreute Kampagnenangriffe. Dabei versuchen die Angreifer nach dem gleichen Muster eine Vielzahl von Organisationen zu attackieren. Solche Konzepte sind nicht sonderlich effizient, aber günstig. Sie bauen auf den Leichtsinn einiger Personen und haben eine relativ geringe Trefferquote. Cyberbedrohungen sind jedoch deutlich intelligenter geworden und lassen sich leicht personalisieren. Dadurch steigen die Qualität und die Dauer der Attacken. Kriminelle bearbeiten ihre Opfer länger, um schrittweise Netzwerke zu kompromittieren und Sicherheitsmechanismen auszuhebeln. Gleichzeitig steigen sowohl Anzahl als auch Heterogenität der Geräte. Durch BYOD, IoT, Cloud-Migration und andere Innovationen wurden neue Angriffsvektoren erschlossen. Um diese zu beheben, tendieren Unternehmen zur Anschaffung weiterer IT-Sicherheitstools.

Doch genau das führt zu einer noch größeren Bedrohung: überlastete IT-Administratoren. Die Anzahl an Angriffen, Bedrohungen und Sicherheitswerkzeugen steigt zusammen mit der Arbeitsbelastung an. IT-Abteilungen verwenden immer mehr Zeit auf die Einführung und Anpassung von Sicherheitsinstrumenten und haben dadurch weniger Raum für die eigentlichen Management-Aufgaben.

Die Toleranz der Mitarbeiter ist ebenfalls begrenzt: Eine Befragung von 400 IT-Administratoren  zeigt, dass 74 Prozent des Personals in IT-Abteilungen durchaus in der Lage sind, Sicherheitsmaßnahmen ganz leicht zu umgehen. Erscheint eines der vielen Sicherheitsinstrumente lästig, wird es wahrscheinlich nicht eingesetzt. Aber nicht nur die Angestellten einer Organisation stellen ein Sicherheitsrisiko dar, auch externe Mitarbeiterinnen und Mitarbeiter sollten in ein Schutzkonzept miteinbezogen werden.

Matchmaker+ Anbieter zum Thema

zu Matchmaker+

1. Zu viele Lösungen für eine Menge Probleme
2. Verbesserung und Sicherung von IT-Umgebungen

Lesen Sie mehr zum Thema

Weitere Artikel zu connect professional

Meetingbox Huus Meet Pro im Test

Schöner meeten

Digitale Gesundheitsdaten

Bundesweiter Start der E-Patientenakte rückt näher

KI-Tools für die Lehre

Baustein für bessere Bildung

Kundenbarometer Internet B2B 2025

Welcher Internetanbieter überzeugt?

Eintritt in Europas größten TK-Markt

Schwedische Vinnergi beteiligt sich an deutscher Vivax Net

Weitere Artikel zu Viren-/Malware-Schutz

Malware in raubkopierter Software  

Jamf Threat: Hintertür in raubkopierten macOS-Anwendungen

Sicherheits-Lücke bei Google

Malware-Entwickler reaktivieren abgelaufene Google-Cookies

Trend Micro: Gefahr durch Infostealer

Auf diese Daten haben es Hacker am meisten abgesehen

Banking-Malware, Stealer und Ransomware

Crimeware-Report von Kaspersky zeigt drei neue Bedrohungen

VAD erweitert Portfolio

ICOS und Avast schließen Partnerschaft

Weitere Artikel zu Sicherheit

Human Risk Management

Mimecast übernimmt Elevate Security

Adventskalender von Exclusive Networks

„All I want for christmas“-Gadgets bis Weihnachten

Spezialist für IT-Sceurity

BOLL Engineering baut Distributionsportfolio kräftig aus

Security-Lösungen für Service Provider

SonicWall übernimmt Solutions Granted

OT-Sicherheit

TXOne Networks nun VDMA-Mitglied

Weitere Artikel zu Mobile Security

Videoüberwachung und LivEye

Mobile Videosicherheit als Dienstleistung

Unternehmen im Fadenkreuz

Cyberangriffe auf Rekordniveau

Onlinebetrug vorbeugen

o2 Telefónica mit neuer Identifizierungslösung für Händler

Mobiles Gerätemanagement

Samsung richtet Knox-Services neu aus

Mutmaßlich nordkoreanischer Hintergrund

Fake-Jobangebote für Software-Entwickler auf LinkedIn