Wie Wichtig Ist Die IT-Sicherheit Bei KMUs?

Was müssen KMUs im Bezug auf IT-Sicherheit beachten?

Deutsche Behörden beziffern den Schaden durch Datendiebstahl auf 50 Milliarden Euro jährlich. Wie schätzen Sie die Situation ein, gerade im Hinblick auf kleine und mittlere Unternehmen (KMU)?

Unser Geschäftsführer Ralph Friederichs beantwortet wichtige Fragen zur IT-Sicherheit im folgenden Interview.

IT-Sicherheit ist ein sehr wichtiges Thema. In kleinen und mittelständischen Unternehmen ist das Risiko meist höher als in großen Unternehmen, weil Angreifer davon ausgehen, dass kleinere Betriebe schlechter geschützt sind. Nicht selten glauben Chefs dort, dass sich niemand für ihre betrieblichen Daten interessiert. Sie denken: Wenn vor Ort schon kaum jemand weiß, dass ich erfolgreich bin, warum soll es dann jemanden im Ausland kümmern? Es wird allgemein lieber eine neue Maschine gekauft anstatt eine Sicherheitssoftware.

Dabei sollte man jedoch beachten, dass eigentliche Know-how liegt oft bei den Zulieferern und damit den KMUs. Das betrifft nicht nur Innovationen, sondern auch Fragen zur Logistik und zur Effizienz von Prozessen. Leider steckt man gerade dort, wo es viel Erfindungsreichtum gibt, nicht die gleiche Energie in Schutzmaßnahmen. Dieser Diskrepanz begegne ich leider immer wieder. Oft wird auch befürchtet, dass IT-Sicherheit das Innovationstempo hemmt.

Wird derartiges Verhalten dadurch gefördert, dass aufgedeckte Fälle von Wirtschaftsspionage kaum an die Öffentlichkeit dringen?

An die Öffentlichkeit gelangen in der Regel nur die großen, spektakulären Fälle. Davon liest man dann in der Zeitung oder es gibt einen Beitrag in den Nachrichten. Auffallend ist aber auch, dass diese immer mehr zunehmen.

Bei den kleinen und mittleren Unternehmen gibt es eine große Dunkelziffer. Wenn jemand betroffen ist, gibt er das ungerne zu. Es könnte ja dem Image der Firma schaden. Zusätzlich zum Verlust des geistiges Eigentums will man nicht noch riskieren, dass die Reputation leidet. Schweigen aber verhindert, dass anderswo Führungskräfte die Brisanz des Themas erkennen.

Ist es den Betrieben vielleicht auch zu teuer, in IT-Sicherheit zu investieren?

Virenschutz, Firewalls, Verschlüsselungen und Datensicherung bekommt man schon für wenige tausend Euro. Wenn ich mir dann noch einen Berater für zwei Tage ins Haus hole, bin ich schon sehr weit. Damit bewege ich mich im Bereich um die 10.000 Euro und weiß, wo ich Baustellen habe. Sicherheit aber verdient nun mal kein Geld.

Dabei gibt es einfache und hilfreiche Wege das eigene Risiko erstmal zu bewerten und die größten Gefahrenherde zu identifizieren. Oftmals gibt es in kleinen und mittleren Unternehmen auch ein Budget für IT-Sicherheit. Das muss man nur sinnvoll verteilen. Da hilft es natürlich, wenn zuvor der konkrete Bedarf systematisch ermittelt wurde. Dann wird nicht an der falschen Stelle investiert. Da herrscht insgesamt jedoch noch viel Unwissenheit.

Wie ist das konkrete Vorgehen, um Licht ins Dunkle zu bringen und wo liegen Fallstricke im betrieblichen Ablauf?

Ein Berater kann das methodische Vorgehen einer Analyse zeigen, und er kann sie moderieren. Danach wissen Sie, wo Ihre „Kronjuwelen“ sind und die können Sie dann effektiv schützen. Flankierend geschieht das durch die Schulung der Mitarbeiter – damit die wissen, wie man mit Datenhaltung umgeht. Niemand muss Angst haben, dass dabei sensible Bereiche angetastet werden. Der externe Berater kennt ja die vertraulichen Daten nicht. Zudem gilt der Grundsatz: Der Prophet im eigenen Haus wird überhört.

Warum sind die Mitarbeiter ein wichtiger Faktor beim Thema IT-Sicherheit?

Wo man nicht den Mitarbeiter sensibilisiert, kann dieser – sehr oft unbewusst – die größte Schwachstelle sein. Man wird freundlich angesprochen und hilft jemandem, ist sich sicher aber nicht im klaren darüber, dass eine Frage mit Hintergedanken gestellt worden sein kann. Unter dem Begriff „Social Engineering“ versteht man das systematische ausspähen von Mitarbeitern in Unternehmen. Oftmals sind diese ja auch über XING, LinkedIn, Facebook und Co. vernetzt. Über diese Wege wird vertrauen aufgebaut und am Ende Schadcode eingeschleust.

Was kann man konkret dagegen tun?

Je weiter die Menschen von der Technik weg sind, umso leichtsinniger gehen sie mit Daten um. Schnelligkeit und Verfügbarkeit schlagen die Sicherheit. Der Chef etwa muss immer auskunftsfähig sein. Besonders wenn er unterwegs ist, werden Standards im Zweifelsfall missachtet. Der Vertriebler genauso, er will verkaufen. Da ist ihm nichts heilig – im vertrauen darauf, dass schon nichts passieren wird.

Hier helfen nur hohe technische Standards, klare Prozesse und Aufklärung, Aufklärung, Aufklärung.

Kann eine umfassende IT-Sicherheit, angesichts immer komplexerer Wertschöpfungsketten, überhaupt gewährleistet werden?

Man muss überlegen: Was ist der Level an IT-Sicherheit den ich brauche? Reicht mit ein mittleres Niveau, weil meine Daten gar nicht so kritisch sind, oder muss ich hohen Schutz anstreben? Da muss man differenzieren und abwägen. Das bedeutet ja nicht, die Hände in den Schoß zu legen. Je höher der Aufwand für das Eindringen in ein Netzwerk, desto geringer die Lust einer Angreifers.
Das schreckt ab.

Umfassender Schutz ist aber immer eine Kombination aus drei verschiedenen Bereichen. Organisatorische Maßnahmen und Prozesse, technische Maßnahmen und Präventionen durch Aufklärung.
Und das sollte alles Chefsache sein!

Wenn ein Unternehmen all diese Punkte berücksichtigt hat, wie sicher ist man dann? Gibt es den 100-prozentigen Schutz?

100-prozentigen Schutz gibt es leider nie. Es ist immer ein Wechselspiel zwischen Angreifern und Verteidigern. Genau wie beim Virenschutz, wo es immer wieder neue Viren gibt gegen die ich entsprechende Erkennungen programmieren muss.

Sicherheit ist also kein Projekt sondern ein Prozess. Es ist nicht damit getan alle technischen Systeme auf den aktuellen Stand zu bringen, eine neue Firewall zu installieren, die Geräte zu verschlüsseln oder die Datensicherung zu aktualisieren. Man muss das auch regelmäßig überwachen, aktualisieren und betreuen. Nur so bleibt mein Schutz auch dauerhaft hoch.

Hört sich nach einem großen Aufwand an. Wie können Mittelständler das realisieren?

Das ist ein großer Aufwand und wenn ich bei Null anfange, auch alleine kaum zu stemmen. Hierzu holt man sich am besten Experten ins Haus. Diese sollten Sie umfangreich beraten und in allen drei Bereichen, also Prozesse und Organisation, technische Maßnahmen und Aufklärung unterstützen.

In der Regel bieten diese Experten auch entsprechende Überwachungssysteme und Wartungsmodelle an. Das ist oftmals viel effektiver und effizienter, als das sich der Mittelständler selber so etwas aufbaut. Es ist schon ein Unterschied, ob sie zwei oder drei Firewalls überwachen oder 50. Da kann man ganz andere Technologien einsetzten. Die Überwachung wird engmaschiger und erfolgt zeitnah.

 Und wie überprüfe ich die Qualität meiner Experten?

Testen Sie die Sicherheit in Ihrem Unternehmen. CYBERDYNE bietet hierzu geeignete Sicherheitstests bis hin zu sogenannten Penetrationstests an. Dabei wird versucht in ihre IT-Systeme einzubrechen und an Daten zu kommen. Alles natürlich in kontrollierter Umgebung, mit der Zustimmung des Kunden und streng vertraulich. Und das muss nicht mal teuer sein.

Unternehmen wie bspw. Microsoft, lassen übrigens ganze Teams gegeneinander antreten. Das eine Team versucht die Systeme zu schützen, das andere Team versucht anzugreifen. Ein ständiges Spiel um die Sicherheit nachhaltig zu erhöhen. Ganz so umfangreich muss es für den Mittelständler sicher nicht sein. Die Richtung ist aber gut.

Möchten Sie wissen, wie es um die IT-Sicherheit Ihres Unternehmens steht? Dann nehmen Sie bitte gerne Kontakt zu uns auf!

Ralph Friederichs

1994 gründete er die heutige CYBERDYNE IT GmbH und ist seit dem alleiniger Gesellschafter und Geschäftsführer des Unternehmens. Ralph Friederichs ist Experte und Berater für Cloud Computing, Digitalisierung und Managed IT Services. In seiner Freizeit beschäftigt er sich mit Online Marketing und ist mit dem Mountainbike unterwegs.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.