IT-Sicherheit ist ein weites Feld. Es umfasst die sogenannten Schutzziele Vertraulichkeit, Verfügbarkeit und Integrität. Um eine ganzheitliche IT-Sicherheitsvorkehrung zu treffen, fehlt es vielen Unternehmen meist an Personal wie auch an Wissen. "Zwar gibt es bei etwas größeren Mittelstandsunternehmen in der Regel Richtlinien, die die Themen IT- und Informationssicherheit darstellen", stellt Sebastian Köhler, Security Consultant Executive bei HP Enterprise Services, fest, aber diese werden "oft nicht oder unzureichend dokumentiert beziehungsweise umgesetzt, und es fehlen häufig organisatorische Konzepte". Es mangelt an vielen Stellen, nicht zuletzt auch daran, dass es nur selten Security- oder Compliance-Verantwortliche gibt, was dazu führt, "dass Security nebenher betrieben wird", so Köhler.

Dramatischer Anstieg der Cyber-Attacken

Nicht ohne Folgen: Jedes zweite Unternehmen war bereits Ziel einer Cyberattacke. Da die Anzahl der Angriffe seit 2010 um über 70 Prozent zugenommen hat, ist auch künftig mit einer erhöhten Bedrohung zu rechnen. Allerdings bemerken die Betroffenen meist nichts davon. Denn es vergehen durchschnittlich 243 Tage, bis ein Sicherheitsverstoß aufgedeckt wird.

Diese Zahlenbeispiele, die Marktforschungsunternehmen wie Forrester Research, Ponemon Institute und Coleman Parkes Research ermittelten, zeigen die Situation der IT-Sicherheit von Unternehmen jeglicher Größe an. Speziell beim deutschen Mittelstand ist die Sicherheitsgefahr noch gravierender. Schließlich sind mittelständische Unternehmen in Deutschland wirtschaftlich sehr erfolgreich und verfügen über entsprechend schützenswertes Know-how. Allerdings ist die notwendige integrierte Security für sie eine große Herausforderung. So stellt die Untersuchung "IT-Sicherheitslage im Mittelstand 2013", die von der DsiN zusammen mit dem Innenministerium durchgeführt wurde, Handlungsbedarf fest bei den Themen "Sichere Nutzung mobiler Endgeräte", "Cloud Computing sicher und rechtskonform nutzen" sowie "E-Mail-Sicherheit".

Alle Geschäftsprozesse sind IT-abhängig

Köhler appelliert an die Unternehmen, besser über Sicherheit nachzudenken. Inzwischen sind nahezu alle Geschäftsprozesse IT-abhängig, "aber der Mittelstand kennt den Grad der Abhängigkeit häufig nicht und weiß nicht, wie relevant sie sind und wie lange das Unternehmen überleben kann, wenn diese unterbrochen werden". Bricht beispielsweise das Bestellsystem bei einem Onlinehändler zusammen, kann ihn der Ausfall jede Minute große Summen kosten. Manchmal sind es ganz einfache Dinge, die einen Prozess zum Stillstand bringen: Fällt beispielsweise der Etikettendrucker im Logistikzentrum aus, kann nichts mehr versandt werden - der Geschäftsprozess ist unterbrochen.

Köhler setzt bei der Sicherheitsberatung eben da an. "Die erste Aufgabe ist es, die Geschäftsprozesse zu verstehen und sie zu analysieren. Danach arbeitet man sich pyramidenartig herunter, prüft, wo die Risiken liegen, und adressiert die Themen Verfügbarkeit, Vertraulichkeit und Integrität". Um nicht nach dem Gießkannenprinzip ein überproportioniertes Sicherheitskonzept aufzubauen, werden schützenswerte und weniger schützenswerte Daten im ersten Schritt kategorisiert und klassifiziert. Köhler: "Die sogenannten Kronjuwelen, also die zu schützenden Unternehmenswerte, bekommen höchste Priorität". Oft liege der Anteil an Kronjuwelen nur bei einem Prozent aller Informationen, stellt Jörg Eggers, Chief Technologist für Mittelstandskunden bei HP Enterprise Services, fest. "Das können strategische Dokumente sein, Dokumente über Zukäufe oder Prototypenentwicklung oder anderes Unternehmens-Know-how". Für die Kronjuwelen wird der optimale Schutz erarbeitet, für die anderen Daten reicht ein niedrigeres Schutzniveau. Eggers empfiehlt eine "Ausgewogenheit zwischen Sicherheit und Funktionalität".

Im zweiten Schritt wird untersucht, wo die Daten liegen. "Es kommt schon mal vor, dass jemand wichtige Kennzahlen auf seinem vermeintlich sicheren USB-Stick speichert, den er oder sie abends mit nach Hause nimmt", so Eggers. Das können Kreditkartennummern inklusive Prüfziffern sein, da mit diesen Daten regelmäßig die Reisen der Mitarbeiter gebucht werden. Sicherheitstechnisch betrachtet ist das natürlich völlig inakzeptabel und erfordert eine klare Regelung, wo welche Daten zu liegen haben. Zusätzlich ist eine Schulung durchzuführen, und die Mitarbeiter müssen für das Thema besser sensibilisiert werden.

Im dritten Schritt werden sowohl für die streng vertraulichen als auch für alle anderen Daten organisatorische und technische Maßnahmen in Bezug auf Aufnahme, Verarbeitung, Zugriffs- und Löschungsrechte festgelegt.