Bild: EtiAmmos/shutterstock.com

Kleine Daten, grosse Gefahr

IT-Hacks werden meist nur dann öffentlich bekannt, wenn grosse Konzerne wie zuletzt United Airlines, JP Morgan oder Sony betroffen sind. Daher wähnen sich kleine und mittelständische Unternehmen häufig in Sicherheit.

Ein Irrtum, der fatale Folgen haben kann. Denn Hacker nehmen keineswegs nur die Grossen ins Visier. Auch KMU verfügen über wertvolle Daten wie Informationen über Kunden, Mitarbeiter, Finanzen und geistiges Eigentum. Für Betrüger sind sie als Ziel oft sogar doppelt attraktiv: Zum einen sind die Zugriffshürden aufgrund mangelnder Expertise im Bereich IT-Sicherheit oft leichter zu überwinden als bei den Weltkonzernen. Zum anderen fehlt es vielfach an den notwendigen Budgets, um die IT-Infrastruktur adäquat abzusichern.

Die Investitionen in die IT steigen – und damit auch die Angriffsfläche

Die IT-Ausgaben insgesamt steigen derzeit und es werden ständig neue Investitionen – etwa der Einkauf mobiler Technologien – getätigt. Doch mit der Zahl der vernetzten Geräte wächst auch die Verwundbarkeit, denn die bislang bestehende Grenze zwischen der internen Firmen-IT und dem Internet existiert nicht mehr. So gab es 2014 über 43 Millionen registrierte Angriffe über das Internet. Dies bedeutet mehr als 117 000 Attacken täglich. IT-
Sicherheit ist noch unverzichtbarer geworden – zum Schutz des Unternehmens, der Mitarbeiter und des geistigen Eigentums. Vor allem kleine und mittlere Unternehmen stehen damit aber vor einer Herkules-Aufgabe. Denn sie können die Absicherung ihrer immer komplexer werdenden IT-Landschaft kaum mehr aus eigener Kraft leisten. Der Aufwand dafür ist immens und das erforderliche Know-how extrem hoch. Sie müssen sich in erster Linie auf ihr Kerngeschäft fokussieren – Kunden bedienen, Aufträge generieren und dabei Herr über den Verwaltungsaufwand bleiben. Für IT-Sicherheit fehlen dann schlicht die Ressourcen.

Risikofaktor Mitarbeiter

Hinzu kommt, dass sich Mitarbeiter im Umgang mit mobilen Endgeräten und Lösungen oft sehr unbekümmert verhalten. Das AVG Partner-Unternehmen Centrify hat herausgefunden, dass ein Drittel der Nutzer seine Geräte gar nicht sichert. Andere verwenden lediglich elementare, leicht erratbare Passwörter und gefährden so die wertvollen Unternehmensdaten. Das ist umso bedenklicher, da Hacker mit immer raffinierteren Maschen agieren. So bewegen sie etwa mit Social-Engineering-Techniken Mitarbeiter dazu, realistisch anmutende, aber betrügerische E-Mails oder gefälschte Webseiten zu öffnen.

Viele Unternehmen setzen auf ein Mobile Device Management (MDM), um sich vor den wachsenden Gefahren aus dem Netz zu schützen. Darüber sind alle mobilen Geräte der Mitarbeiter zentral autorisiert. Zudem müssen die Mitarbeiter eine Reihe von IT-Vorschriften akzeptieren, bevor sie auf Unternehmensressourcen oder -daten zugreifen können. Im Gegenzug erhalten IT -Administratoren die nötigen Privilegien, um Sicherheitsverfahren anzuwenden. Dazu gehört etwa, ein Gerät remote zu lokalisieren, es zu sperren, Daten zu löschen oder zu prüfen, ob spezielle Geräte, Netzwerke und VPN den Unternehmensrichtlinien entsprechen. Doch auch ein MDM birgt Risiken: Mitarbeiter können sich in ihrer Arbeit behindert sehen und auf eigene Faust gefahrenträchtige Lösungen suchen.

Best-Practices für KMUs

Dabei gibt es auch für kleine Unternehmen, die noch keine IT-Komplettlösung integrieren können, einige Best Practices zum Schutz der sensiblen Daten. Zum einen sollten Unternehmen ihre Mitarbeiter zum Thema IT-Sicherheit schulen und sie über aktuelle Bedrohung informieren. Ebenso sollten die Unternehmensdaten in verschlüsselten Datenbanken gespeichert werden. Jeder Zugang zu einer Datenbank mit Kundendaten sollte mit einem sicheren Passwort versehen sein, welches in regelmässigen Abständen geändert wird. Weiterhin ist es wichtig, dass die Unternehmen eine Malware Detection Software auf allen Servern und Arbeitsplätzen nutzen und sicherstellen, dass diese regelmässig gepatcht und upgedatet wird. Standardisierte Netzwerksicherheits-Kontrollen erhöhen zusätzlich die IT-Sicherheit im Unternehmen. Weiterhin sollten Unternehmen sicherstellen, dass ihr Krisenmanagement oder Krisenplan auch Vorgehensweisen bei einer eventuellen Datenschutzverletzung beinhaltet.

Managed Service Provider als Helfer der KMU

Zudem können sich Unternehmen auch externe Unterstützung zur Absicherung ihrer Systeme holen – denn dank Cloud sind Mangaged Security Services heute auch für KMU bezahlbar. Schliesslich ist durch die Bereitstellung wichtiger Sicherheitsfunktionen wie Malware-Schutz, Content-
Filterung, Backup und E-Mail-Schutz über die Cloud keine Investition mehr im Vorfeld notwendig. Für Kunden fallen nur Kosten bei tatsächlicher Nutzung an. Der Schlüssel dazu liegt in Remote Monitoring- und Management-Lösungen. Diese arbeiten auf Protokollebene und kommen dadurch ohne lokal installierte Agenten aus. Damit kann der Service-Provider alle Geräte im Netzwerk des Unternehmens inventarisieren und überwachen, Fehler und Probleme frühzeitig erkennen und mit geringem Aufwand beseitigen. So können auch KMU Leistungsmerkmale der IT-Security nutzen, die bislang aus Kostengründen oder wegen den damit verbundenen Aufwänden kaum sinnvoll vor Ort implementierbar waren oder Gross-
unternehmen vorbehalten blieben, wie etwa Single Sign-On. Denn auch diese Technologie bieten viele Anbieter heute schon als Cloud-basierten Service an und erhöhen damit die Nutzbarkeit, Sicherheit und Compliance über alle mobilen Geräte hinweg – einschliesslich traditioneller Windows und OSX Laptops.

Zeit zu Handeln

Angesichts der steigenden Bedrohungen können KMU es sich schlichtweg nicht leisten, erst dann in IT-Sicherheit zu investieren, wenn sie als Opfer von Datendiebstahl in die Schlagzeilen geraten. Abgesehen vom finanziellen Verlust eines solchen Vorfalls ist der Image-Schaden unkalkulierbar – und das hart erarbeitete Kundenvertrauen unwiderruflich beschädigt.

Allerdings fehlt es gerade kleineren Unternehmen oft an dem notwendigen Know-how und Ressourcen, um ihre System adäquat abzusichern. Grosse Unternehmen wollen den enormen Aufwand immer häufiger nicht selbst leisten. Daher ist jetzt ein neuer Ansatz für die IT-Sicherheit erforderlich. Sie muss vor allem bezahlbar und beherrschbar bleiben. Komplexe Best-of-Breed-Angebote, die vor Ort beim Anwender betrieben werden, gehören damit der Vergangenheit an. Flexibilität und Skalierbarkeit sind Trumpf. Daher werden immer mehr Unternehmen zukünftig ihre Security-Funktionen über die Cloud beziehen. Die IT-Infrastruktur wird dann komplett remote über Monitoring- und Management-Lösungen verwaltet. Die dafür nötigen Tools sind bereits am Markt verfügbar.

Download (PDF, 1.23MB)

Autor: François Tschachtli ist Sales Director DACH & Benelux bei AVG Business
Share this...
Share on Facebook
Facebook
Tweet about this on Twitter
Twitter