IT-Sicherheit im Mittelstand
Eine Frage der Geschäftsprioritäten
Wirksame Informations- und IT-Sicherheit ist weniger eine Frage des Budgets als der Konsequenz, mit der die Sicherheitsstrategie an den Geschäftsprioritäten ausgerichtet wird. Dafür fehlt mittelständischen Unternehmen selten das Geld, häufiger jedoch spezialisiertes Personal. Angesichts der Komplexität der Aufgabe, ein akzeptables Risikoniveau bei sich schnell ändernden Bedingungen zu erhalten, ist Unterstützung durch Dienstleister eine echte Alternative.
"China verschärft Firmenspionage" betitelte die Financial Times Deutschland vor kurzem eine
Reportage, nach der chinesische Hacker Geschäftsgeheimnisse verstärkt auf elektronischem Weg zu
erspähen suchen. Besonders gefährdet – so zitiert das Blatt Berthold Stoppelkamp, Geschäftsführer
der Arbeitsgemeinschaft für Sicherheit der Wirtschaft – sei dabei der deutsche Mittelstand. Die
Erfahrung zeigt: Je kleiner ein Betrieb, desto größer ist die Wahrscheinlichkeit, dass die
Informations- und IT-Sicherheit Lücken aufweist. Sie besteht häufig aus Einzellösungen, die oft
erst dann eingeführt wurden, wenn es bereits einen Vorfall gegeben hat. Und es fehlt an
strategischen und ganzheitlichen Konzepten.
IT-Risiken sind Geschäftsrisiken
Als Grund dafür wird immer wieder das geringe IT-Budget von mittelständischen Unternehmen
genannt. Aber dieses Argument ist bei diesem Thema nur bedingt gültig. Informations- und
IT-Sicherheit dient dazu, spezifische Risiken eines bestimmten Geschäftsmodells zu minimieren. Die
Grundsätze und Mittel des Sicherheitsmanagements müssen sich direkt aus den individuellen Zielen
und Geschäftswerten eines Unternehmens ableiten. Spielt der Außendienst eine wesentliche Rolle für
den Geschäftserfolg, ergeben sich für die Sicherheitsstrategie andere Schwerpunkte als für einen
Zulieferer, der sein Warenwirtschaftssystem für andere Unternehmen öffnen muss. Wer die
Sicherheitsstrategie passgenau für seine Zwecke zuschneidet, investiert nur so viel, wie für den
ausreichenden Schutz seiner erfolgskritischen Prozesse unbedingt erforderlich ist. Je präziser das
Sicherheitskonzept, desto kosteneffizienter die Lösung.
Entscheidend ist dabei ein systematischer Ansatz, der die individuellen Geschäftswerte,
unternehmerischen Ziele, operationalen Risiken und die relevanten regulatorischen Anforderungen
gleichermaßen berücksichtigt. Die Strategie muss sich an der vorhandenen IT-Infrastruktur,
realistischen Bedrohungs- und Risikoszenarien und an den Kosten orientieren, die durch ein
bestimmtes Sicherheitsniveau entstehen. Und sie muss neben der Technik auch Prozesse und Menschen
berücksichtigen. Das gelingt auch in mittelständischen Unternehmen.
Systematische Bewertung von Risiken und Kosten
Um die Strategie zu definieren, bedarf es zunächst einer Risiko- und Schutzbedarfsanalyse, die
die Risiken mit den Kosten vergleicht, die für deren Minimierung anfallen (siehe Tabelle). Diese
Analyse unternimmt die Geschäftsführung zusammen mit Bereichsverantwortlichen, IT-Spezialisten und
abhängig vom Bedarf auch externen Beratern. Sie bewerten, welche Auswirkungen zum Beispiel der
Ausfall des Fakturierungs-systems haben kann: Wie hoch ist der finanzielle Verlust und wie schnell
tritt er ein? Wie schnell werden andere Geschäftsprozesse beeinträchtigt? Welche rechtlichen
Konsequenzen kann es geben? Dabei müssen neben den Systemen im Rechenzentrum auch die
Netzwerkanbindung, die Software und die Mitarbeiter berücksichtigt werden. Die realistischen
Risikoszenarien reichen vom Feuer im Computerraum über einen Angriff aus dem Internet bis hin zu
unwissentlich oder bewusst hervorgerufenen Schäden durch das eigene Personal.
Eine Analyse dieser Art ist auch in einem eng abgesteckten Rahmen – beispielsweise nur für
wenige, besonders geschäftskritische Prozesse – möglich. Zudem lassen sich die Resultate
priorisieren und schrittweise umsetzen. Damit wird Sicherheit auch für Unternehmen mit begrenztem
IT-Budget erschwinglich. Die Investition in diese Analyse lohnt sich nicht zuletzt deshalb, weil
sich daraus konkrete Schritte zur Umsetzung einer Sicherheitsstrategie ableiten lassen. Dazu zählen
so einfache wie effiziente und kostengünstige Maßnahmen wie die Bestimmung eines zentralen
Sicherheitsbeauftragten.
Beispiel Netzwerksicherheit
Aus der Analyse werden in einem zweiten Schritt Leitlinien zur Gestaltung der künftigen
Sicherheitsarchitektur abgeleitet. Diese kann grundsätzlich aus einer Vielzahl von Teilen bestehen,
zum Beispiel Business-Continuity-Plänen, Sicherheitsregelwerken, Trainingsplänen oder
Stellenbeschreibungen. Dazu zählt auch die Definition von Prozessen, mit denen ein Unternehmen
aktiv Bedrohungen und Vorfällen (Incidents) begegnen kann, und natürlich die Bestimmung von
technischen Komponenten, mit denen das Unternehmen abgesichert werden kann.
Netzwerksicherheit zum Beispiel ist eine Kernkomponente der meisten Sicherheitsarchitekturen –
und gleichzeitig eine große Herausforderung für mittelständische Unternehmen: Um das Netzwerk an
den Rändern abzusichern, nutzen Unternehmen zum Beispiel Firewalls, Router, Gateways,
Intrusion-Detection- oder Intrusion-Prevention-Systeme, "Honeypots" und "Honeynets" (Server oder
Netzsegmente, die als Falle für Angreifer fungieren) und Antivirusprogramme. Partnerschaften,
Zusammenschlüsse, integrierte Lieferketten, Internetshops und wechselnde Belegschaften machen es
allerdings immer schwieriger, klar abzugrenzen, wo das Intranet aufhört und das Internet
beginnt.
Wichtig ist es deshalb festzulegen, welche Nutzer mit welchen Rechten auf bestimmte Systeme und
Anwendungen zugreifen können. Das leistet Identity-Management. Mit geeigneten Lösungen für das User
Provisioning und das Access-Management kann nicht nur der Zugang von Mitarbeitern zum Netzwerk
kontrolliert werden. Damit lassen sich auch die Zugriffsrechte von Kunden und Partnern für den
Internet-shop oder das Warenwirtschaftssystem automatisch zuweisen und verwalten. Tritt dennoch ein
Schadensfall ein, sorgt schließlich eine Lösung zur Datensicherung und -wiederherstellung dafür,
dass beeinträchtigte Systeme und Daten schnell wieder online sind – vorausgesetzt, Mitarbeiter und
IT-Abteilung halten sich an die vereinbarten Regeln für das regelmäßige Daten-Backup.
Permanente Anpassung erhöht Komplexität
Die Implementierung einer Sicherheitsstrategie mit allen Komponenten und Technologien kann sehr
komplex sein – je nachdem, welche Teile des Unternehmens und der Infrastruktur sie mit einbezieht.
Es gilt nicht nur, die vorhandene Architektur zu warten und zu kontrollieren. Wenn das
Sicherheitssystem einmal in Betrieb ist, muss es permanent an geänderte Geschäftsprioritäten sowie
regulatorische Vorschriften einerseits und an neue Bedrohungen andererseits angepasst werden. Vor
allem letztere lassen sich immer schwerer voraussagen. Denn die Häufigkeit, Schnelligkeit und
Komplexität der Angriffe durch Industriespionage, durch Würmer oder Viren nehmen kontinuierlich zu.
Das heißt für Unternehmen, dass sie ihre Sicherheitstechnologien fortgesetzt überprüfen und
gegebenenfalls aktualisieren oder neue Technologien in die bestehende Infrastruktur integrieren
müssen. Damit steigt die Komplexität im Unternehmen – und das kann wiederum selbst zu einem
Sicherheitsrisiko werden.
2007 - das Jahr der Sicherheitsdienstleistungen
Diese komplexen Strukturen sind besonders für kleine und mittelständische Unternehmen eine große
Hürde bei der Informations- und IT-Sicherheit. Denn die Gleichung ist einfach: Je kleiner ein
Betrieb, desto weniger spezialisiertes IT- und Sicherheitspersonal kann er sich leisten. Ausgehend
von einem ähnlichen Befund hat das Marktforschungsunternehmen Forrester in einem Report 2007 zum
Jahr der Sicherheitsdienstleistungen ausgerufen. Gerade für kleinere Unternehmen können sie ein
Schlüssel zur wirksamen Informations- und IT-Sicherheit sein. Denn der Dienstleister verfügt über
die Spezialisierung, die dem Unternehmen fehlt.
Die Angebote sind vielfältig. Dazu zählen beispielsweise zeitlich und inhaltlich begrenzte
Dienstleistungen wie Risiko- und Sicherheits-Assessments sowie Schulungen. Weiter gehen so genannte
Sicherheitspartnerschaften. Sie umfassen kontinuierliche Leistungen, die auf die individuellen
Risiken eines Unternehmens zugeschnitten sind, etwa die Analyse der Firewall-Logfiles, die
präventive Alarmierung bei neuen Bedrohungen und die Entwicklung von Lösungsvorschlägen für
Sicherheitsprobleme. End-to-End-Dienstleistungen umfassen auch die Entwicklung, Zertifizierung und
kontinuierliche Weiterentwicklung der gesamten Sicherheitsarchitektur. Mittels so genannter
Managed-Security-Services kann ein Unternehmen schließlich Teile des Sicherheitsmanagements
auslagern – Komplexität ist damit kein Thema mehr.
Fazit
Wie komplex – und damit auch wie teuer – die Umsetzung letztlich ist, bestimmt jedes Unternehmen
mit seiner Sicherheitsstrategie: Werden nur einzelne, kritische Unternehmensbereiche betrachtet
oder ist ein größerer Teil der Infrastruktur auf dem Prüfstand? Wird Unterstützung von außen
benötigt? Welche organisatorischen und technischen Lösungen sind wirklich sinnvoll und sollten
umgesetzt werden? Eines dürfen Unternehmen allerdings nicht außer Acht lassen, um einen wirksamen
Schutz für das Unternehmen aufzubauen: Sicherheitslösungen sollten immer aus der
Geschäftsperspektive getrieben werden. Jedes Konzept greift zu kurz, bei dem sich Unternehmen
einseitig auf die IT und nicht auf die Prozesse konzentrieren, die das Geschäftsmodell tragen.
Gleiches gilt, wenn nur die Kosten von Sicherheitsmaßnahmen bewertet werden, ohne sie mit den
potenziellen geschäftlichen Auswirkungen zu vergleichen. Die Lösung der Sicherheitsprobleme des
Mittelstands sind daher weniger in einer Erhöhung des IT-Budgets zu suchen, sondern in einer
engeren Verknüpfung von Geschäft und IT.
Lesen Sie mehr zum Thema
