IT-Sicherheit: Darauf sollten Sie achten

Immer häufiger warnen Experten davor, dass kleine und mittlere Unternehmen eklatante Schwächen bei der IT-Sicherheit aufweisen. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) erlässt immer neue Regeln und gibt Hinweise heraus, wie sich die IT-Sicherheit verbessern lässt sowie was Unternehmen beachten sollen.

Bei einem genaueren Blick zeigt sich jedoch, dass die Schwächten in der IT nicht durch mangelnde Information oder Regeln entstehen. Laut einer Umfrage des BSI sind sich 91 Prozent der deutschen Unternehmen der Gefahren durch Cyberkriminalität bewusst. Dennoch kommt es immer wieder zu erfolgreichen Cyberattacken auf Unternehmen. Die Zahl dieser Angriffe nimmt sogar deutlich zu. 

Mit diesen Problemen kämpfen mittelständische Unternehmen beim Thema IT-Sicherheit

Eines der zentralen Probleme für mittelständische Unternehmen bei der IT-Sicherheit sind die Ressourcen. Zwar hat die absolute Mehrheit der kleinen und mittleren Unternehmen eigene Strukturen in Form einer IT-Abteilung oder eines IT-Verantwortlichen geschaffen. Jedoch haben sich auch die Aufgaben für diesen Bereich in den letzten Jahren enorm erweitert.

Dies führt dazu, dass die IT-Abteilung in mittelständischen Unternehmen oft viel zu klein ist oder über zu wenig Mittel verfügt, um eine ausreichende Sicherheit zu gewährleisten. Dies zeigt sich bereits an der Notwendigkeit, Systeme, die mit dem Internet verbunden sind, rund um die Uhr in Echtzeit zu überwachen.

In großen Unternehmen gibt es hierfür Security Operations Center, die getrennt von der IT-Abteilung agieren und rund um die Uhr besetzt sind. Für mittelständische Unternehmen ist das in vielen Fällen aufgrund fehlender finanzieller Mittel nicht zu leisten. Hinzu kommt der Mangel an qualifiziertem Fachpersonal.

Weitere Probleme zeigen sich bei der Umsetzung aktueller Gesetze und Vorschriften. In den letzten Jahren hat sich hier viel verändert, beispielsweise durch die Europäische Datenschutzverordnung oder das IT-Sicherheitsgesetz 2.0 des BSI. Obwohl die DSGVO bereits seit 2018 aktiv ist, sind viele Unternehmen beim Thema Datensicherheit überfordert. Daraus können einerseits empfindliche Strafen resultieren, andererseits sind auch die Daten durch Cyberkriminelle bedroht.

In der Organisation zeigen sich weitere Schwächen. So hat jedes zweite Unternehmen keinen Notfallplan für die IT-Sicherheit. Ein solcher Plan legt konkrete Schritte fest, wie auf eine Cyberattacke reagiert wird.

Konkrete Maßnahmen für die Verbesserung der IT-Sicherheit

In vielen mittelständischen Unternehmen zeigt sich, dass bei der IT-Sicherheit konkreter Handlungsbedarf besteht. Viele Entscheidungsträger setzen hier noch auf die klassische Herangehensweise, diese Aufgaben mit eigenen Mitteln und intern zu bewältigen. Jedoch ist es inzwischen auch bei der IT-Sicherheit sinnvoll, die Vorteile des Outsourcings zu nutzen. Wie bei anderen Bereichen der IT-Infrastruktur zeigen sich auch hier die Vorteile solcher Konzepte. Dazu gehören Kostensenkungen und der Zugang zu modernsten Lösungen sowie Fachwissen.

Konkrete Unterstützung lässt sich bei einem regionalen IT-Systemhaus finden. Die Zusammenarbeit mit einem festen Partner ist gerade bei der IT-Sicherheit entscheidend. So lässt sich eine sinnvolle Gesamtstrategie entwickeln, die alle Bereiche der IT-Sicherheit abdeckt. Dies beginnt mit der Entwicklung einer IT-Sicherheitsstrategie sowie einer Beratung zur IT-Sicherheit. Auf diese Weise entsteht zunächst ein Plan, welche Bereiche der IT-Sicherheit verbessert werden müssen. Basierend darauf erfolgt die Implementierung konkreter Lösungen.

In diesem Zusammenhang entsteht beispielsweise ein Notfallplan für die IT. Über diesen werden konkrete Maßnahmen festgelegt, wie direkt auf einen Cyberangriff reagiert wird. Dies lässt sich dann auch mit eigenem IT-Personal umsetzen. Dank eines Notfallplans lässt sich, beispielsweise bei einem Ransomware-Angriff, Schlimmeres verhindern.

Ebenfalls helfen externe IT-Dienstleister bei der Umsetzung von Backup-Systemen nach aktuellen Sicherheitsstandards. Auch hier gibt es oft Schwächen. Eine umfangreiche Backup-Strategie, die einmal implementiert ist, arbeitet heutzutage vollkommen autark und gewährleistet gleichzeitig, dass selbst nach einem vollständigen Datenverlust, etwa durch Ransomware, eine Recovery gelingt.

Warum das Thema IT-Sicherheit immer wichtiger wird

Es gibt eine Reihe von Gründen, warum für Unternehmen die IT-Sicherheit inzwischen eines der wichtigsten Themenbereiche im Alltag ist. Die Digitalisierung des Mittelstandes nimmt Fahrt auf und deshalb hängen immer mehr zentrale Prozesse des Kerngeschäfts an digitalen Systemen. Viele Unternehmen, auch aus dem mittelständischen Sektor, können bereits heute ihre Arbeit nicht mehr ausführen, wenn die digitale Technik ausfällt. In Zukunft wird sich dieser Trend noch deutlich fortsetzen, da ein immer stärkerer Wechsel auf digitale Strukturen stattfindet. Bereits das steigert die Risiken für Industrieunternehmen deutlich.

Zudem werden die Strukturen immer komplexer. Aus den kleinen Netzwerken, die nur intern einige Rechner vernetzt haben, sind in vielen Unternehmen inzwischen unübersichtliche Gefüge geworden, die weit über das lokale Netzwerk hinausgehen. Zu einer modernen IT-Infrastruktur gehören beispielsweise Cloud-Plattformen, Mitarbeitende im Homeoffice oder zahlreiche mobile Endgeräte, die sich in unterschiedlichen Netzwerken bewegen.

Ein weiterer Punkt betrifft die Aktivitäten von Cyberkriminellen. In den letzten Jahren ist hier zu beobachten, dass Hacker immer raffinierter und gezielter vorgehen. In der Szene haben sich auch Dienstleistungen für Cyberangriffe etabliert. Als „Ransomware as a Service“ sind vorkonfigurierte Trojaner bekannt, die selbst wenige versierten Kriminellen die Möglichkeit für Cyberattacken geben. Die eigentlichen Entwickler erhalten eine finanzielle Beteiligung. Das sorgt für ein rapides Wachstum bei den gefährlichen Angriffen mit Ransomware, die Daten verschlüsseln und den Zugriff auf die eigenen Systeme verwehren.

Fazit: IT-Sicherheit ist ein Pflichtthema

Die Entwicklung in der IT zeigt deutlich, dass an einem Fokus auf die IT-Sicherheit kein Weg vorbei geht. Selbst für kleine Unternehmen ist es eine der Kernaufgaben, die eigenen digitalen Systeme zu schützen. Outsourcing ist ein geeignetes Mitteln, um mit begrenzten Ressourcen ein hohes Sicherheitsniveau zu gewährleisten.