Immer schön die Balance halten

An je mehr Orten Firmenmitarbeiter auftreten – ob mobil, in Filialen oder als Teleworker –, desto höher steigt das Risiko, dass wichtige Geschäftsdaten und -anwendungen angegriffen werden. Gefragt ist hier das Maß an IT-Sicherheit, das einerseits hinreichend schützt, andererseits das Budget gerade von Mittelständlern nicht sprengt.

Die wachsende Gefahr hat viele Gesichter: Viren, Würmer, Spyware, Spam-Mail, unkontrollierter Content, Hacking, Identitätsklau, Abhören bis hin zu attackierten, verlorenen oder gestohlenen Endgeräten mit wichtigen Daten. Mit der Integration der Telefonie ins IP-Netz sehen die Angreifer neben den Datenanschlüssen auch die Sprach-Ports als lohnendes Ziel an.
Das Grundproblem entlang der Kommunikationskette vom Endgerät bis zu den zentralen IT-Ressourcen des Unternehmens:

Die Entscheider wissen nicht, wann, wie oder wo Angreifer zuschlagen werden. Der Marktanalyst Gartner rät, eine ganzes Arsenal an Sicherheitswerkzeugen aufzufahren.

Mittelständische Firmen können sich das komplette Abwehrprogramm an Sicherheitstechniken selten leisten. Zumal da nach der Anschaffung zahlreiche Aktivitäten mit erheblichem Aufwand folgen: Installation, Konfiguration, separater Betrieb, ständige Aktualisierungen, Benutzerunterstützung, Support und Wartung.

Angesichts dessen bleibt den Entscheidern nur eins: vorab zu analysieren, welche geschäftstragenden Anwendungen und Daten – zentral oder dezentral auf Servern beziehungsweise Endgeräten – geschützt werden müssen. Um Angriffsrisiken und -stoßrichtungen bewerten zu können, muss an allen Weitverkehrsschnittstellen gescannt werden. Solche Scans brauchen nicht von eigenen teuren Spezialisten ausgeführt zu werden. Sie lassen sich auch als Online-Scans von einem auf diesem Feld kompetenten Dienstleister übers Netz abrufen. Einbruchstests, ebenso von Dienstleistern angeboten,beleuchten zusätzlich die Gefahr, in der geschäftswichtige Daten und Anwendungen schweben.

Geht der mittelständische Betrieb in dieser Weise vor, klärt sich schnell das Bild, welche Sicherheitstechniken wo und mit welcher Funktionsbreite gebraucht werden. Zur Auswahl stehen VPNs (Virtual-Private-Network), Firewall, NAT (Network-Adress-Translation),
DMZ-Dienste (De-Militarized-Zone), Authentisierung/Autorisierung, Antivirus-Software, Spam-, E-Mail- und Content-Filter, IPS (Intrusion-Prevention-System), Festplattenverschlüsselung, Backup & Retrieve. Für den zentralen Einsatz kann eine Unified-Threat-Management-Lösung (UTM) eine lohnende Möglichkeit sein, die alle wichtigen Sicherheitstechniken auf einer Hardware-Plattform vereint.

Dadurch lassen sich nicht nur die Einkaufskosten senken, sondern auch die Betriebskosten durch Werkzeugintegration niedrig halten. Gerade mit Blick auf den Aufwand lohnt es sich für mittelständische Firmen, kostenbewusst zu handeln. Denn die IT-Sicherheit unterliegt einem ständigen Wandel, also Lebenszyklus. Sie muss damit bei organisatorischen Veränderungen oder bei neuer Markt- oder Gefahrenlage immer wieder an die Situation angepasst werden. Solche Lifecycle-Überlegungen mit allem damit verbundenen Installations-, Konfigurations-, Administrations-, Aktualisierungs- und Unterstützungsaufwand werden in vielen Fällen dann doch zur Delegation von IT-Sicherheit führen. Zumal einige Dienstleister ein breites Portfolio an Managed-Security-Services (MSS) bieten, aus dem sich mittelständische Firmen, je nach Sicherheitsbedarf ihrer Geschäftsdaten und Anwendungen, flexibel bedienen können. Selbst eine duale Strategie, also nur einen Teil der IT-Sicherheitsverantwortung abzugeben, ist möglich. MSS heißt: Sicherheitsdienste – ob für den zentralen Einsatz oder den Schutz von dezentralen Servern, PCs und mobilen Geräten – lassen sich fix und fertig vom Dienstleister vorkonfiguriert abrufen.

Sämtliche Betriebsleistungen bis hin zu notwendigen Integrationsmaßnahmen sind bei MSS inklusive. Sie werden als fixe monatliche Gebühren fällig. Nutzung und Kosten stehen dadurch, anders als bei IT-Security in Eigenregie, in einem direkten und für die Entscheider einfach nachvollziehbaren Verhältnis. Einsparungen von 30 Prozent, teils mehr, können mittelständische Firmen über MSS, je nach Verteilungsgrad ihres Geschäftsauftritts, erreichen. Und sie können sich überall dort, wo sie IT-Sicherheit delegieren, den Einsatz von teuren Spezialisten ersparen und parallel das Sicherheitsniveau anheben. Vorausgesetzt, die Wahl des Dienstleisters stimmt. Der sollte das Unternehmen von Anfang an unterstützen: von der Schwachstellenanalyse bis hin zu einem bedarfsorientierten Sicherheitskonzept für den gezielten Abruf von Managed Security Services.