Schritt für Schritt

IT-Sicherheit im Mittelstand

28.05.2014

Von

Oliver Häußler arbeitet als freier Journalist und Moderator in der IT- und Telekommunikationsbranche. Seine journalistischen, wirtschaftlichen und technischen Erfahrungen sammelte der Kommunikationswissenschaftler während seiner über 20 Jahre langen Tätigkeit als Chefredakteur von renommierten Fachzeitschriften wie der Funkschau, FunkschauHandel, NetworkWorld und als Moderator von Kongressen, Webcasts und zahlreichen Podiumsdiskussionen.

Verfügbarkeit: Was ist, wenn…?

Einer aktuellen Studie von Techconsult zufolge variieren die entstandenen Kosten bei einem Systemausfall im Mittelstand im Durchschnitt zwischen 25.000 Euro bis knapp 41.000 Euro. Bei der ganzheitlichen Betrachtung sollte das Thema Verfügbarkeit aber immer im Kontext mit der Vertraulichkeit stehen. Es geht darum, Ausfallkonzepte zu entwickeln, die kritische Fragen zu beiden Themen beantworten: Was passiert, wenn ein Netzwerkswitch ausfällt? Wo liegen Daten der Verbraucher? Was passiert, wenn ein Laptop oder ein Tablet-PC verloren gehen? Werden dort gespeicherte Daten für den Geschäftsprozess benötigt? Was geschieht, wenn es sich dabei um kritische Daten handelt? Eggers: "Die Folgen müssen auch aus strategischer Sicht betrachtet werden, egal, warum etwas ausfällt."

Zur ganzheitlichen Betrachtung gehört außerdem das Thema Integrität - darunter werden Schutzmaßnahmen verstanden, die dazu beitragen, dass niemand unberechtigt und unbemerkt Daten verändern kann. Weitere Themen, die es zu berücksichtigen gilt, sind Compliance, Mitarbeiterschulung, Verantwortlichkeiten für Sicherheitsthemen und viele mehr. Überblick und Orientierung über Vorgehensweise und Methodik bieten der Standard ISO/IEC 27001:2013 aus internationaler Sicht sowie der IT-Grundschutz, um ein ganzheitliches Sicherheitskonzept im Unternehmen aufzubauen sowie angemessene Sicherheitsmaßnahmen zu identifizieren und umzusetzen.

Jörg Eggers, Chief Technologist für Mittelstandskunden HP Enterprise Services: Höchste Priorität für Unternehmens-Kronjuwelen
Foto: HP Deutschland

Angst vor der "Büchse der Pandora"

Laut Eggers und Köhler ist das Verständnis für IT-Sicherheitsthemen beim Mittelstand in den vergangenen Jahren gewachsen. Jedoch zögern viele damit, die entsprechenden Schritte zur Umsetzung in die Wege zu leiten, weil Sie Angst davor haben, die "Büchse der Pandora" zu öffnen, in der ein unbekanntes Ausmaß an Sicherheitsproblemen sichtbar wird. Dabei raten die HP-Experten, genau diesen Ansatz zu verfolgen: mit einem aktuellen Thema zu beginnen und anschließend systematisch weitere relevante Sicherheitsthemen aufzubereiten.

Eine typische Vorgehensweise in der Praxis kann beispielsweise die Erarbeitung folgender drei Aspekte sein:

1. Einstieg über das Thema Mobile Security, das derzeit viele Unternehmen bewegt.

2. Penetration-Tests: Dazu gehören Netzwerktests, die Überprüfung von Web-Apps sowie die Wireless-Funktionalität.

3. ISO-27001-Assessment: Einen Überblick verschaffen, wie das Unternehmen hinsichtlich IT-Sicherheit aufgestellt ist.

Gerade wenn es im Unternehmen keinen dedizierten Sicherheitsverantwortlichen gibt und das Fachwissen für den Aufbau eines wirkungsvollen und realisierbaren Schutzes der Unternehmenswerte fehlt, sollten mittelständische Unternehmen entweder diese Rolle implementieren oder externe Unterstützung in Anspruch nehmen. Aus rechtlicher Sicht ist die Unternehmensleitung ohnehin dazu verpflichtet und haftbar für den sicheren Betrieb, der nur durch Transparenz eine abgewogene Maßnahmenplanung ermöglicht.

Fazit: In puncto IT-Sicherheit hat der Mittelstand akuten Handlungsbedarf. Denn das bisher vielfach praktizierte Prinzip "Augen zu und durch" funktioniert im Zeitalter von Big Data, Cloud Computing und Mobility nicht mehr.