IT-Sicherheit ist auch für KMUs bezahlbar …
… aber leider nicht kostenlos zu haben
Im Rahmen seiner CAS Zertifikatsarbeit evaluierte Christian Heimann diverse Methoden und Vorgehensweise für eine „Bezahlbare Überprüfung der digitalen Sicherheit von KMUs“ und stellte fest, dass sich KMUs dem digitalen Wandel sehr bewusst sind. Besorgniserregend ist jedoch, dass viele kleine Unternehmen überfordert sind an der Vielzahl der am Markt angebotenen technischen IT-Sicherheits-Tools.
Aus diesem Grund wird oftmals für die IT-Sicherheit weder Budget geplant noch etwas unternommen. Wenn etwas unternommen wird, dann kümmern sie sich hauptsächlich um die technischen Aspekte. Ihnen ist der Wert Ihrer Daten bewusst, jedoch vergessen sie dabei die menschliche Komponente. Mitarbeiter werden gar nicht bis ungenügend geschult und sensibilisiert, was das Risiko eines erfolgreichen Angriffs erhöht. Einen Notfallplan haben nur knapp ein Drittel der kleinen Unternehmen, ein solcher Plan würde im Falle eines erfolgreichen Angriffes und die damit verbunden Krisensituation entschärfen, da man keine Zeit verliert.
Digitalisierung von Arbeitsprozessen: Jedes neue Gerät ein Angriffspunkt
Bei den zwei Drittel der KMUs, für die IT-Sicherheit eine hohe Bedeutung hat, haben nur 20 Prozent ihre IT-Sicherheit bisher überprüft, dies gibt zu denken.
Gemäß der führenden Forschung und Beratungsfirma Gartner (2017) wird die Anzahl IoT-Geräte bis 2020 auf 20 Milliarden steigen! IoT-Geräte sind nicht nur Angriffsziel, sondern können auch selbst zum Angreifer werden (z. B. Missbrauch als Teil eines Botnets), deshalb geht es beim Schutz von IoT nicht nur um die eigene Sicherheit, sondern auch um die Sicherheit der Allgemeinheit. Gartner geht davon aus, dass 2020 25 Prozent aller identifizierbare Cyber-Angriffe auf Unternehmen eine IoT Komponente aufweisen, aber weniger als 10 Prozent der IT-Sicherheit-Budgets in IoT investiert wird.
Im vergangenen Jahrzehnt wuchs das Verständnis, dass IT Ausgaben ein entscheidender Posten ist. Nun muss nur noch das Verständnis wachsen, dass die IT-Sicherheit leider nicht kostenlos zu haben ist, jedoch bereits mit wenig Budget vieles sicherer werden kann. Ein Schlüsselelement dazu ist, sein Inventar zu kennen, um stets Übersicht über die eigenen Systeme zu haben (Netzwerk, Geräte, Zugriffsrechte, Cloud-Services).
Christian Heimann hat sich, unter anderem, mit Pascal Mittner, CEO der First Security Technology AG über ihre Vulnerability Management Lösung unterhalten. Unter Vulnerability Scan oder Automated Testing versteht man das Aufspüren von Schwachstellen durch Analyse von Endpunkten. Eine gute Schwachstellen-Management-Lösung liefert nicht nur Indikationen zu den Schwachstellen, sondern auch direkt Handlungsempfehlungen zur Behebung der Schwachstellen.
Pascal Mittner stellte im Gespräch klar, dass Vulnerability Management als Frühwarnsystem funktionieren und für die Analyse des zugewiesenen Bereichs sorgen soll. Maßnahmen können und sollen nicht vom gleichen System umgesetzt werden. Das Prinzip der „Gewaltentrennung“ soll eingehalten werden.
38 neue Schwachstellen pro Tag
Wenn man im Bereich der Cyber Security den IT-Verantwortlichen fragt, wie oft eine Sicherheitsprüfung stattfinden soll, so wird oft ein Intervall zwischen drei und fünf Jahren gewünscht. Sie vergessen dabei, dass die IT-Infrastruktur dynamisch ist und bereits ein Jahr für eine technische Umgebung viel zu lang ist, zudem gibt es täglich 38 neue Schwachstellen.
Auch kleine Unternehmen verlieren den Überblick über die Systeme, die sich im Netzwerk befinden. Oft werden Geräte wie Router, Switches, IoT oder Test-Systeme einfach vergessen, fehlen im Inventar und werden deshalb auch nicht in das IT-Security-Konzept integriert.
Pascal Mittner erklärt: „Nebst der Dokumentation der Infrastruktur dient das Schwachstellen-Management als Hilfsmittel, um frühzeitig Probleme zu erkennen und ihnen entgegen zu wirken. Das steigert die Effizienz und Effektivität der Unternehmen, gibt Ressourcen frei, hilft große Schäden zu verhindern und in die richtigen Maßnahmen zu investieren.“
Themenkanäle: Sicherheitsmanagement, IT-Sicherheit
