Foto: Thomas Vogt/ Fotolia.com

Mittelstands-IT

Mit Minimalbudget mehr Sicherheit

Die Entscheidungsträger im Mittelstand zeigen sich oft zurückhaltend gegenüber Investitionen in Sicherheitsmaßnahmen. Sie übersehen dabei nicht nur drohende Haftungsrisiken. Erst wenn ein Schaden eintritt, stellen die Verantwortlichen das erforderliche Budget bereit, um Sicherheitslücken zu schließen.

Trotz knappen Budgets die Infrastruktur funktionsfähig zu halten und Sicherheitsvorfälle zu verhindern, stellt so manchen IT-Leiter im Mittelstand vor große Aufgaben. Doch auch bei knappen Budgets und einer Priorisierung auf die Instandhaltung und den Betrieb ist es von wesentlicher Bedeutung, die kritischen Punkte im Unternehmen zu identifizieren – eine grundlegende Analyse der sicherheitsrelevanten Schnittstellen im Unternehmen ist also unabdingbar.

Das bedeutet allerdings nicht, dass man eine komplexe Risikoanalyse für das ganze Unternehmen durchführen muss. Nur sollte bekannt sein, wo die tatsächliche Wertschöpfung erbracht wird beziehungsweise welche Arbeitsschritte in welchen Abteilungen das Unternehmen vom Wettbewerb abgrenzen. Genau in diesen Bereichen und entlang dieser Prozesse gilt es, mögliche Risiken zu erkennen und die vorhandenen Schwachstellen zu entschärfen.

Dies muss nicht immer in Investitionen in IT-Sicherheitstechnologie münden. Oft reichen schon kleine Anpassungen im Arbeitsablauf, in der Organisation oder der Art der Kommunikation. In hart umkämpften Märkten sollten Vertrieb und Innendienst zum Beispiel ihre Angebote und Preisverhandlungen nicht „offen“ per elektronischer Post versenden – andererseits ist aber auch nicht eine komplette E-Mailverschlüsselung notwendig: ein Versand der Angebotsdokumente in verschlüsselten ZIP-Archiven (und die notwendige organisatorische Richtlinie hierfür) kann nahezu kostenneutral umgesetzt werden.

Auslagerung als Chance für den Mittelstand

Dennoch bleibt die Herausforderung, dass Sicherheit nicht punktuell betrachtet werden darf, sondern ein kontinuierliches Thema ist. Nicht zuletzt aus Kostengründen können Mittelständler oft keine Mitarbeiter einstellen, die sich ausschließlich dauerhaft und konsequent mit der Sicherheit im eigenen Unternehmen auseinandersetzen.

An dieser Stelle kann sich das Unternehmen vertrauensvoll an externe Sicherheitsbeauftragte wenden und diese mit der Wahrnehmung der verbundenen Aufgaben betrauen. Wichtig hierbei ist jedoch die Unterscheidung zwischen „zuständig“ und „verantwortlich/verpflichtet“. Zwar können Geschäftsführer oder IT-Leiter einem Dienstleister die Zuständigkeit für die Sicherheitsaufgaben übertragen, die Verantwortung und Haftbarkeit verbleibt aber bei ihnen selbst. Um den Verantwortlichen die Möglichkeit zur Wahrnehmung ihrer Pflichten zu geben ohne sie zeitlich zu sehr zu binden, bietet sich die Nutzung von IT-(Security)-Governance-Werkzeugen an. Deren Einbindung sollte wiederum für den Dienstleister obligatorisch sein, denn nur so werden die relevanten Daten auch erhoben und gepflegt.

Entlastung durch Cloudservices

Entgegen der weitläufigen Meinung, ihre Nutzung sei ein Sicherheitsrisiko, stellen Cloudservices tatsächlich eine Chance für mehr Sicherheit in der Mittelstands-IT dar. Voraussetzung hierfür ist, dass die Anbieter dieser Services die Marktlücke erkennen und gefragte Sicherheitsfunktionen nicht als kostenpflichtige Extras sondern als Inklusivleistungen anbieten.

Cloudanbieter sollten genau die präventiven, lokalisierenden und übergreifenden Sicherheitsmaßnahmen als integralen Bestandteil ihres Services offerieren, die sich der Mittelstand oft nicht leisten kann: aktive Überwachung, Korrelation von Informationen und professioneller Auswertung und Nachverfolgung von Vorfällen inklusive einer lückenlosen Dokumentation. Sind diese Aufgaben als echte Mehrwerte der Clouddienste „inkludiert“, sollte es den IT-Verantwortlichen im Mittelstand leichter fallen, Services in die große Wolke auszulagern.

Stellt der Dienstleister dann regelmäßig nicht nur „Nutzungskennzahlen“ sondern auch Security Reports zur Verfügung, ist der Mehrwert auch gegenüber dem Top-Management leichter zu vertreten.

Wertvolle Informationen – kostenlos

Um die Kosten niedrig zu halten, muss sich der Mittelstand soweit wie möglich über kostenfreie oder günstige Angebote mit Sicherheitsinformationen versorgen. Dabei bieten die Arbeitsgemeinschaft für Sicherheit in der Wirtschaft e.V. wie auch der Landesverfassungsschutz sowie Initiativen wie „Deutschland sicher im Netz“ wertvolle Unterstützung bei der Selbsteinschätzung der Sicherheit oder der Analyse von Vorfällen, die etwa auf Spionage hinweisen. Auch das Bundesamt für Sicherheit in der Informationstechnik und dessen Europäisches Pendant Enisa stellen Leitfäden und frei verwendbare Vorlagen im Präventivbereich bereit. Für diverse Fachthemen wie etwa Web-Applikationssicherheit finden sich frei zugängliche Informationen und Test-Frameworks im Internet („Skipfish“ von Google).

Ohne ein Mindestmaß an interner Kompetenz und dediziertem Sicherheitsbudget steht die Sicherheit in mittelständischen Unternehmen auf wackligen Beinen. Bedienen sich die Fachverantwortlichen der Kompetenz externer Dienstleister mit zukunftsorientierten Lösungsansätzen, wie beispielsweise der Vero Certus GmbH, können sie eigene Wissenslücken leicht kompensieren und bereits mittelfristig Kosten sparen. So ist auch mit begrenzten Mitteln ein angemessenes Sicherheitsniveau erreichbar.

Stefan Schaffner, Geschäftsführer der Vero Certus GmbH

Foto: Vero Certus

Ganzheitliche Sicherheitslösungen

Besser in Expertenhand

Konkrete Zahlen für 2011 liegen noch nicht vor, es zeigt sich jedoch die Fortsetzung des Trends zu ausgefeilteren Angriffen und Attacken auf den deutschen Mittelstand. Die Träger des Wirtschaftswachstums sind längst in den Fokus ausländischer Geheimdienste, krimineller Organisationen und hervorragend ausgebildeter Einzeltäter geraten.

Foto: Kurt Michel/ Pixelio.de

Risikomanagement

No risk, more fun

Risiko ist ein Teil jeder Unternehmung. Doch die Auseinandersetzung mit Sicherheitsrisiken wird von Geschäftsführern häufig stiefmütterlich behandelt. Oft fehlt kleinen und mittleren Betrieben in der Praxis schlicht und ergreifend der Überblick über vorhandene Sicherheitslücken.

Foto: Karl-Heinz Laube/ Pixelio.de

Risikomanagement

Informationen intelligent aufbereiten

Mittlere und große Unternehmen stehen vor der Herausforderung, ein effizientes und transparentes Risikomanagement zu etablieren. Keine leichte Aufgabe – auch wenn die benötigten Informationen durch umfangreiche Audits und aktuelle Daten aus der IT in der Regel zur Verfügung stehen.

Foto: Fotolia/Zirocool

Übergriffe von Wachleuten

Ein Haftungsrisiko?

Private Sicherheitsdienstleister können je nach Aufgabenstellung rechtlich in ein brenzliges Spannungsfeld geraten, wie die jüngsten Vorfälle der Bewachung von Asylbewerberheimen zeigen. Es stellt sich daher die Frage, welche Haftungsrisiken für private Sicherheitsdienstleister bei Übergriffen durch ihre Mitarbeiter bestehen.