Keine Frage des »ob«, sonders des »wann«
Kleine Unternehmen in großer Gefahr
Fortsetzung des Artikels von Teil 1
Mitarbeiter werden als Risikofaktor unterschätzt
Unabhängig von der etwas niedrigeren Gesamtwahrscheinlichkeit reicht ein einzelner erfolgreicher Angriff auf oder gar durch einen Mitarbeiter, um das gesamte Unternehmen zum Opfer zu machen und großen Schaden anzurichten. Dieses Risiko steigt somit gerade dann besonders drastisch, wenn die Mitarbeiter schlecht geschult sind. Dennoch geben in einer aktuellen Umfrage des deutschen Security-Anbieters G Data rund 20 Prozent der befragten Unternehmensverantwortlichen aus KMU an, dass sie entsprechende Schulungen ihrer Mitarbeiter nicht für notwendig halten. Zum Vergleich: bei den befragten Großunternehmen sind Sicherheitstrainings inzwischen ohne Ausnahme etabliert – meist werden sie sogar regelmäßig abgehalten.
Durch solche Nachlässigkeiten ist das spezifische Risiko für KMU also sogar schon am Ausgangspunkt deutlich höher. Und auch im weiteren Verlauf sieht es für die KMU nicht gut aus. Denn in der Folge kommt bei ihnen eine wahre Kaskade an potenziell katastrophalen Fehlermöglichkeiten hinzu. Selbst wenn sie – auch das ist keine Selbstverständlichkeit – eine eigene Sicherheitsstrategie haben, sind sie im Durchschnitt schlechter abgesichert, haben Updates oft nicht Griff und sind nur eingeschränkt über den jeweils aktuellen Stand der Bedrohungs- und Sicherheitslage informiert. Alleine schon, weil sie eben auch eine deutlich kleinere IT-Abteilung haben, die mit all den Aufgaben schnell überfordert ist, und keine hochspezialisierte Security-Truppe aufbauen können, wie etwa ein Großkonzern.
Wenn dann tatsächlich ein erfolgreicher Angriff erfolgt, ist das Chaos schnell perfekt. Die Absicherung ist subotimal und Notfallpläne sind Mangelware. Genau deshalb aber ist die Anfangs beschriebene Sicherheit so trügerisch und es gerade dann höchste Zeit, seine Sicherheit ergebnisoffen infrage zu stellen und gegebenenfalls zu überdenken, wenn noch nichts passiert ist – damit das auch in Zukunft so bleiben kann.
Für Systemhäuser bietet sich hier ein weites Spielfeld. Wenn sie denn den Fuß in die Tür bekommen, wozu allzu oft noch immer gewaltige Überzeugungsarbeit nötig ist. Hilfreich dabei können neben den reinen Argumenten vor allem praktische Ansätze wie Penetrationstests oder Security Assessments sein, die Schwachstellen und auch ihre möglichen Folgen deutlich sichtbar offenlegen. Anschließend gilt es die Lücken bestmöglich zu schließen. Etwa mit einer grundlegenden Verbesserung der Absicherung, ob als Managed Service oder in der Hand des Kunden, speziellen Trainings für die IT-Verantwortlichen und anderen Mitarbeiter und auch Angeboten wie Business Continuity oder Disaster Management.
- Kleine Unternehmen in großer Gefahr
- Mitarbeiter werden als Risikofaktor unterschätzt
Lesen Sie mehr zum Thema
