Mit Minimalbudget mehr Sicherheit

Trotz knappen Budgets die Infrastruktur funktionsfähig zu halten und Sicherheitsvorfälle zu verhindern, stellt so manchen IT-Leiter im Mittelstand vor große Aufgaben. Doch auch bei knappen Budgets und einer Priorisierung auf die Instandhaltung und den Betrieb ist es von wesentlicher Bedeutung, die kritischen Punkte im Unternehmen zu identifizieren – eine grundlegende Analyse der sicherheitsrelevanten Schnittstellen im Unternehmen ist also unabdingbar.

Das bedeutet allerdings nicht, dass man eine komplexe Risikoanalyse für das ganze Unternehmen durchführen muss. Nur sollte bekannt sein, wo die tatsächliche Wertschöpfung erbracht wird beziehungsweise welche Arbeitsschritte in welchen Abteilungen das Unternehmen vom Wettbewerb abgrenzen. Genau in diesen Bereichen und entlang dieser Prozesse gilt es, mögliche Risiken zu erkennen und die vorhandenen Schwachstellen zu entschärfen.

Dies muss nicht immer in Investitionen in IT-Sicherheitstechnologie münden. Oft reichen schon kleine Anpassungen im Arbeitsablauf, in der Organisation oder der Art der Kommunikation. In hart umkämpften Märkten sollten Vertrieb und Innendienst zum Beispiel ihre Angebote und Preisverhandlungen nicht „offen“ per elektronischer Post versenden – andererseits ist aber auch nicht eine komplette E-Mailverschlüsselung notwendig: ein Versand der Angebotsdokumente in verschlüsselten ZIP-Archiven (und die notwendige organisatorische Richtlinie hierfür) kann nahezu kostenneutral umgesetzt werden.

Dennoch bleibt die Herausforderung, dass Sicherheit nicht punktuell betrachtet werden darf, sondern ein kontinuierliches Thema ist. Nicht zuletzt aus Kostengründen können Mittelständler oft keine Mitarbeiter einstellen, die sich ausschließlich dauerhaft und konsequent mit der Sicherheit im eigenen Unternehmen auseinandersetzen.

An dieser Stelle kann sich das Unternehmen vertrauensvoll an externe Sicherheitsbeauftragte wenden und diese mit der Wahrnehmung der verbundenen Aufgaben betrauen. Wichtig hierbei ist jedoch die Unterscheidung zwischen „zuständig“ und „verantwortlich/verpflichtet“. Zwar können Geschäftsführer oder IT-Leiter einem Dienstleister die Zuständigkeit für die Sicherheitsaufgaben übertragen, die Verantwortung und Haftbarkeit verbleibt aber bei ihnen selbst. Um den Verantwortlichen die Möglichkeit zur Wahrnehmung ihrer Pflichten zu geben ohne sie zeitlich zu sehr zu binden, bietet sich die Nutzung von IT-(Security)-Governance-Werkzeugen an. Deren Einbindung sollte wiederum für den Dienstleister obligatorisch sein, denn nur so werden die relevanten Daten auch erhoben und gepflegt.

Entgegen der weitläufigen Meinung, ihre Nutzung sei ein Sicherheitsrisiko, stellen Cloudservices tatsächlich eine Chance für mehr Sicherheit in der Mittelstands-IT dar. Voraussetzung hierfür ist, dass die Anbieter dieser Services die Marktlücke erkennen und gefragte Sicherheitsfunktionen nicht als kostenpflichtige Extras sondern als Inklusivleistungen anbieten.

Cloudanbieter sollten genau die präventiven, lokalisierenden und übergreifenden Sicherheitsmaßnahmen als integralen Bestandteil ihres Services offerieren, die sich der Mittelstand oft nicht leisten kann: aktive Überwachung, Korrelation von Informationen und professioneller Auswertung und Nachverfolgung von Vorfällen inklusive einer lückenlosen Dokumentation. Sind diese Aufgaben als echte Mehrwerte der Clouddienste „inkludiert“, sollte es den IT-Verantwortlichen im Mittelstand leichter fallen, Services in die große Wolke auszulagern.

Stellt der Dienstleister dann regelmäßig nicht nur „Nutzungskennzahlen“ sondern auch Security Reports zur Verfügung, ist der Mehrwert auch gegenüber dem Top-Management leichter zu vertreten.

Um die Kosten niedrig zu halten, muss sich der Mittelstand soweit wie möglich über kostenfreie oder günstige Angebote mit Sicherheitsinformationen versorgen. Dabei bieten die Arbeitsgemeinschaft für Sicherheit in der Wirtschaft e.V. wie auch der Landesverfassungsschutz sowie Initiativen wie „Deutschland sicher im Netz“ wertvolle Unterstützung bei der Selbsteinschätzung der Sicherheit oder der Analyse von Vorfällen, die etwa auf Spionage hinweisen. Auch das Bundesamt für Sicherheit in der Informationstechnik und dessen Europäisches Pendant Enisa stellen Leitfäden und frei verwendbare Vorlagen im Präventivbereich bereit. Für diverse Fachthemen wie etwa Web-Applikationssicherheit finden sich frei zugängliche Informationen und Test-Frameworks im Internet („Skipfish“ von Google).

Ohne ein Mindestmaß an interner Kompetenz und dediziertem Sicherheitsbudget steht die Sicherheit in mittelständischen Unternehmen auf wackligen Beinen. Bedienen sich die Fachverantwortlichen der Kompetenz externer Dienstleister mit zukunftsorientierten Lösungsansätzen, wie beispielsweise der Vero Certus GmbH, können sie eigene Wissenslücken leicht kompensieren und bereits mittelfristig Kosten sparen. So ist auch mit begrenzten Mitteln ein angemessenes Sicherheitsniveau erreichbar.