IT-Sicherheit für den Mittelstand

Alle Welt wird neugierig

Von Sabine Philipp

Für viele kleine und mittlere Unternehmen ist IT-Sicherheit vor allem eine Geldausgabe, die wenn nicht als überflüssig, so doch als ärgerlich empfunden wird. Die Maßnahmen beschränken sich daher allzu häufig auf die Installation eines Antivirenprogramms.

Ein Grund für die saloppe Praxis ist, dass KMU die Folgen eines IT-Ausfalls häufig grob unterschätzen. Das belegt eindrucksvoll die jüngere Symantec-Studie „2011 SMB Disaster Preparedness Survey“, für die in Oktober und November 2010 weltweit 1288 KMU sowie 552 Kunden von Mittelständlern in 23 Ländern befragt wurden; 80 der Befragten stammten aus Deutschland.

Gefährlicher Leichtsinn

Dabei ist ein Ausfall der IT-Systeme keineswegs auf die leichte Schulter zu nehmen. Laut Symantec entstehen durchschnittlich Kosten von 2300 Euro für jeden Tag, an dem die IT-Infrastruktur still steht.

Die Kosten sind aber nicht das einzige Problem, denn der Ausfall kann die Kunden massiv abschrecken. Die Studie zeigte, dass 54 % der KMU-Kunden infolge eines IT-Ausfalls zu Konkurrenzanbietern wechselten. In Europa waren es weniger, aber immer noch 40 %. In jedem Fall kann der Verlust von Schlüsselkunden oft nur schwer kompensiert werden.

Die Umfrage legt aber noch weitere Knackpunkte an den Tag. So kam heraus, dass 41 % der befragten Unternehmen keinen Plan für den Katastrophenfall aufgesetzt haben. In den EMEA-Ländern waren es sogar mehr als die Hälfte (54 %) der Studienteilnehmer. Nur 34 % dieser Unternehmen hatten außerdem vor, Richtlinien und Gegenmaßnahmen für den Ernstfall zu entwickeln. Für 20 % war ein solcher Disaster-Recovery-Plan überhaupt kein Thema – ein gefährlicher Leichtsinn, vor allem, wenn man die Ursachen für diese Sorglosigkeit betrachtet.

So reichte bei 56 % der Firmen in EMEA (weltweit 41 %) die Tatsache als Grund aus, dass sie noch nie betroffen waren. Für 54 % (weltweit 40 %) hat das Thema Disaster Recovery schlicht keine Priorität – und das, obwohl die Gefahr bekannt ist. Die Hälfte der Befragten gab an, dass ihr Computersystem unternehmenskritisch sei.

Serie: IT-Sicherheit
Teil 1 beschreibt die heutige IT-Sicherheitslage: Das Web bietet Angreifern bequeme Einfallstore. Teil 2 benennt die Lücken in Firmennetzwerken und zeigt die Tricks von Hackern und Spionen. Teil 3 skizziert die Zukunft der Gefahrenabwehr: System und Sicherheit unter einem Hut.

Obwohl schon der gesunde Menschenverstand besagt, dass an den Daten die Existenz des Unternehmens hängt, speichern nur 28 % der Unternehmen im EMEA-Wirtschaftsraum ihre Daten täglich (weltweit 23 %), 55 % beschränken sich auf eine wöchentliche Datensicherung. Weltweit sind es weniger als die Hälfte. Dabei hatten in den vergangenen zwölf Monaten ein Unternehmen weltweit im Schnitt mit sechs Ausfällen zu tun. Die häufigsten Gründe waren Stromausfälle und Cyberattacken.

Schnüffler kalt stellen

Eine weitere, nicht minder schwere Gefährdung ist die Betriebsspionage. „Was gibt es denn schon bei mir zu stehlen?“, fragen sich viele. Wenn man es nüchtern betrachtet: eine ganze Menge. Denn gerade der Mittelstand entwickelt innovative Lösungen, die international gefragt sind. Das Interesse kommt durchaus auch von Konkurrenzunternehmen, die solche Innovationen zu einem günstigeren Preis nachbauen – und den Erfinder dadurch in existenzielle Not bringen können.

Besonders erschreckend ist, dass die meisten Mittelständler nicht ausreichend gegen Wirtschaftskriminalität gewappnet sind, nicht nur in Fragen der IT. Das zeigt das „Gefahrenbarometer 2010“ zeigt, das Corporate Trust in Zusammenarbeit mit dem Handelsblatt veröffentlicht hat. Auch eine aktuelle Studie der Wirtschaftsprüfungsgesellschaft KPMG („Wirtschaftskriminalität in Deutschland –Fokus Mittelstand“) belegt, dass das Thema von mittelständischen Unternehmen noch stiefmütterlich behandelt wird.

Kommunikation-und-netze-2015-02.jpg

Schwarz auf Weiß
Dieser Beitrag erschien zuerst in unserer Magazin­reihe. Einen Über­blick mit freien Down­load-Links zu sämt­lichen Einzel­heften bekommen Sie online im Presse­zentrum des MittelstandsWiki.

Verräterisches Interesse

Die Spione sind indes erfinderisch. Neben dem Praktikantenspion kommen z.B. immer kleinere Kameras bei Betriebsbesichtigungen zum Einsatz. Mitunter werden auch Mitarbeiter zu Gehilfen, wissentlich oder unwissentlich. Das kann der schöne Bildschirmschoner sein, der zu den Kollegen geschickt wird oder ein USB-Stick, den jemand zufällig auf dem Firmenparkplatz findet. Dass beide Medien erprobte Verstecke für Trojaner sind, hat sich leider noch nicht bei allen herumgesprochen. Experten beklagen immer wieder, dass in vielen Belegschaften ein erschreckendes Unwissen herrscht, gegen das nur gezielte Aufklärung hilft. Vor allem bei Aushilfen.

Zugang einschränken

Häufig wird es den Betriebsspionen aber auch unnötig leicht gemacht, etwa dann, wenn die Zugriffsrechte nicht ausreichend reglementiert sind. So dürfen viele Nutzer auf Daten zugreifen, die sie nichts angehen.

Ein Grund für die mangelnde Sensibilität – gerade bei Betriebsspionage – mag daran liegen, dass die Gefahr nicht sichtbar ist. Schließlich fehlt ja nichts, wenn Informationen gestohlen werden. Die Daten existieren weiter und das Leben geht seinen Gang. Nur eine Lösung, die jeden Zugriff protokolliert, könnte hier für Aufklärung sorgen. Generell scheint das Thema Sicherheit zu abstrakt zu sein – dafür sind die Gefahren aber sehr real.

Sicherheit systematisch angehen

Einfache Maßnahmen sind meist nicht teuer, schaffen aber zumindest einen Basisschutz. Dazu gehört zumindest eine regelmäßige Datensicherung auf einem externen Medium wie einer Festplatte, die an einen anderen Ort gelagert wird. Für Ausfälle sollte ein Notfallplan erstellt und in einer Generalprobe getestet werden, damit im Katastrophenfall sichergestellt ist, dass er auch funktioniert.

Ebenso gibt es noch immer Unternehmen, die keine Firewall einsetzen oder ihren WLAN-Verkehr nicht oder tatsächlich noch mit der veralteten WEP-Verschlüsselung absichern, die Darmstädter Studenten innerhalb von fünf Minuten geknackt haben.

Fazit: Wachsam bleiben, praktisch denken

Solche Maßnahmen gehören, wie gesagt, zum Grundschutz und können nur ein erster Schritt sein. IT-Sicherheit sollte systematisch angegangen werden. Denn mit System gehen auch die Ganoven vor. Und sie werden immer besser. Trojaner-Nachlader gibt es für jedermann online, für entdeckte Softwarelücken hat sich bereits ein grauer Markt etabliert und im Januar 2011 konnt man sogar von SQL-injection-Crackern lesen, die Zugänge zu Militär- und Regierungsseiten verkauften. Auch das Handy ist alles andere als sicher.

Sicherheit ist in jedem Fall mehr als IT-Sicherheit. Auch wer sich umfassend geschützt hat, etwa mit einer der UTM-Boxen (Unified Threat Management), muss wach und bei Verstand bleiben, dabei praktisch denken und Lösungen wählen, die nicht überkompliziert sind. Sonst liegt am Ende der Leitz-Ordner mit den Vertriebskontakten doch offen neben dem Kopierer und am Bildschirm klebt ein Post-it mit dem Passwort.

Nützliche Links