Jedes Geschäft hat einen wunden Punkt
Von Sabine Philipp
Das Schadprogramm Stuxnet hat 2010 erschreckend deutlich gemacht, in welchem Ausmaß hoch technisierte Sabotage die Produktionssteuerung der Industrie gefährden kann. Im Einzelhandel kann ein Ausfall des Warenwirtschaftssystems existenzbedrohend sein, für einen Dienstleister der Verlust der Kundendaten, während Versicherungsmakler und medizinische Praxen besondere Anforderungen an den Datenschutz erfüllen müssen. „Je nach Branche sind die Unternehmen ganz spezifischen Risiken im IT-Bereich ausgesetzt“, erklärt Henrik Groß, Analyst bei techconsult. „Bei einer übergreifenden Security-Strategie sollten diese Risiken daher ganz oben auf der Prioritätenliste stehen.“
Branchenrisiken identifizieren
Dazu muss der Betrieb sie zunächst einmal identifizieren. Allerdings: „Gerade in kleinen mittelständischen Unternehmen liegt der Fokus auf dem Tagesgeschäft“, sagt Groß. „Die IT läuft meist nebenher. Daher fehlt oft das Bewusstsein, welche Folgen z.B. ein Verlust der Kundendaten haben könnte.“ Der Projektleiter der Security Bilanz weiß aus Erfahrung, dass ein Vergleich innerhalb von Branche und Unternehmensgröße den Blick für die ganz spezifischen Risiken schärfen kann. Besonders aufschlussreich sei, welche Prioritäten vergleichbare Unternehmen setzen: Ein Dienstleister erfährt im Vergleich z.B., ob andere Dienstleister ihren Kundendaten eine besonders hohe Priorität geben, diese Daten durch ein ausgeklügeltes RAID-System schützen und zweimal jährlich den Notfall üben.
Teil 1 beginnt bei der aktuellen Sicherheitslage und sagt, wie die Security Bilanz Deutschland angelegt ist. Teil 2 sichtet die Risiken nach Branche und erläutert die Funktionsweise des Heise Security Consulters.
Derartige Vergleiche ermöglicht der in Teil 1 dieser Serie bereits genannte Self-Check per Heise Security Consulter. Das Tool baut auf Vergleichsdaten aus der Security Bilanz Deutschland auf, einer wiederkehrenden Studie, die den aktuellen Status der IT-Sicherheit und des Datenschutzes im deutschen Mittelstand ermittelt. Dazu werden einmal jährlich 500 Geschäftsführer, IT-Leiter und Datenschutzbeauftragte von Unternehmen aus Industrie, Handel, Dienstleistungssektor, Banken- bzw. Versicherungsgewerbe sowie aus dem Bereich Öffentliche Verwaltung/Non-Profit-Unternehmen in den Größenklassen 20 bis 199 Mitarbeiter, 200 bis 499 Mitarbeiter und 500 bis 1999 Mitarbeiter befragt.
Henrik Groß ist Senior Analyst bei der techconsult GmbH, wo er u.a. als Projektleiter die Aktivitäten rund um die Studie Security Bilanz Deutschland koordiniert. Daneben entwickelt der studierte Soziologe individuelle Studienkonzepte und setzt sie in Studien und Market Papers um. Als Autor hat er u.a. zu den Themen Business Performance, Client Management und Industrie 4.0 publiziert.
Henrik Groß, Analyst, techconsult GmbH, Am Platz der Deutschen Einheit, Leipziger Straße 35–37, 34125 Kassel, Tel. 0561-8109-178, Fax: 0561-8109-101, henrik.gross@techconsult.de, www.techconsult.de
Security-Strategie im Online-Vergleich
Groß zufolge setzt der Selbsttest auf unterschiedlichen Ebenen an, z.B. in den Bereichen Technik, Organisation und Rechtliches. Des Weiteren wird abgeklopft, ob die IT-Security fest im Unternehmen verankert ist und ob die Umsetzung nachverfolgt wird. Wie der Experte hervorhebt, können Interessenten die verschiedenen Ebenen auch einzeln und unabhängig voneinander testen. IT-Verantwortliche, die z.B. eine halbe Stunde Zeit haben, können zunächst einzelne Blöcke ausfüllen: wie relevant z.B. Firewalls für das Unternehmen sind und wie zufrieden die IT-Verantwortlichen mit der Umsetzung sind. Die Auswertung können sie dann sofort im Browser sehen und als PDF herunterladen. „Mit dem Ergebnis in der Hand könnten die Unternehmen dann sehen, wo es eventuell Nachholbedarf gibt und Konsequenzen für ihre Sicherheitsstrategie ziehen“, erklärt Groß.
Die Gegenüberstellung mit anderen Unternehmen zeigt anschaulich und nachvollziehbar, wie es um die eigene IT-Sicherheit beschaffen ist und ob man im Vergleich eher im Mittelfeld oder gar an der Spitze steht.
Fazit: Selbsttest zur CeBIT 2014
Den kostenlosen Self-Check sowie erste Ergebnisse der Security Bilanz Deutschland hat techconsult auf der CeBIT 2014 erstmals vor gestellt. „Die Studie soll jährlich erhoben werden – auch um zu zeigen, wie sich das Sicherheitsverhalten der Firmen im Laufe der Zeit verändert“, sagt Groß. „Darüber hinaus planen wir zusätzliche Security-Befragungen zu Sonderthemen wie etwa Mobile oder Big Data, um auch hier die Sicherheitsprobleme aufzudecken.“
