Diverses Sicherheitsdienst aus dem Netz

Ob Krise oder im Boom: Die Computerkriminalität blüht gleichermaßen. Dennoch leisten kleine und mittlere Unternehmen sich selten einen IT-Sicherheitsbeauftragten. Davon profitiert der ausgelagerte Datenschutz, trendig daher kommend als "Security as a Service". Muss man das haben?

Das Erfreuliche vorneweg: Die schwierige Wirtschaftslage hat nicht dazu geführt, dass deutsche Firmen die Budgets für IT-Sicherheit kappen. Das belegt die Ergebnisse einer Studie von PricewaterhouseCoopers (PwC) und dem CIO Magazine. 721 deutsche Unternehmen haben sich an der Umfrage beteiligt, und, wie erfreulich: Das Thema steht nach wie vor auf der Agenda der Unternehmenslenker.

Doch zwischen Wille und Wirklichkeit klafft eine große Lücke. „Die Umfrageergebnisse deuten darauf hin, dass der IT-Sicherheitsbereich in Deutschland ineffizient geführt wird“, sagt Ralph Noll, Experte für IT-Sicherheit bei PricewaterhouseCoopers (PwC). „Risiko- und Schwachstellenanalysen fehlen in vielen Unternehmen. Und auch personell sind viele Firmen schlecht aufgestellt. An diesen Stellen besteht Handlungsbedarf bei den deutschen IT-Sicherheitsverantwortlichen – ansonsten fällt Deutschland im internationalen Vergleich weiter ab.“

Anzeige

Die IT-Sicherheit an den Geschäftsanforderungen auszurichten, ist die Hauptanforderung der IT-Verantwortlichen. Nach den Umfrageergebnissen bezweifelt jedoch ein knappes Drittel aller Befragten, dass dies in ihren Unternehmen gelingt. Zukunftsweisende Technik wie Virtualisierung und Cloud-Computing vereinfachen zwar die physikalische IT-Infrastruktur und optimieren die IT-Kosten. Was es aber für die IT-Sicherheit bedeutet, wenn Daten nicht mehr innerhalb des Unternehmens gespeichert werden, wird erst langsam deutlich.

Sicherheit im Online-Abonnement

PwC-Experte Noll beschreibt die ideale Vorgehensweise: „Oberste Priorität der IT-Sicherheit muss sein, den höchsten Risiken zu begegnen. Danach sollten sich die Verantwortlichen darauf konzentrieren, ihre IT-Sicherheitsorganisation zu optimieren und ihre Strategie an den Geschäftsanforderungen auszurichten. Ebenso wichtig ist es aber, den Datenschutz zu verbessern und die IT-Sicherheitsfunktion effizienter zu gestalten.“

Dahinter steckt allerdings erheblicher Aufwand. Insbesondere kleine und mittlere Unternehmen können meist gar nicht so schnell nachziehen, wie sich die Einfallstore für Datenlecks und Computerkriminalität öffnen. Abhilfe verspricht ein Trend, der wie so viele Irgendetwas „as a Service“-Angebote aus den USA nach Europa schwappt. Hinter der aufs Internet verlagerten Sicherheitslösung „Security as a Service“ (SaaS) steht die Geschäftsidee, Sicherheitsprogramme als Internet-basierte Dienste auf Nachfrage („On-Demand) und gegen Mietzahlung zur Verfügung zu stellen.

Sicherheit auf Kosten von Sicherheit?

Am bekanntesten sind Anti-Virus, Anti-Spam- und Anti-Spy-Ware. Inzwischen lassen sich aber auch komplexe Sicherungsfunktionen für den Unternehmensbereich bedarfsgerecht mieten. „Für ein kleines Unternehmen ist der Bezug der Security-Lösung, als hätten sie eine Sicherheitsspezialeinheit an Bord, die mit der aktuellsten Technik ausgerüstet ist. Trotzdem kostet dieser Schutz nur einen Bruchteil von dem, was sie ausgeben müssten, wenn sie spezielle IT-Mitarbeiter einstellen und die notwendige Technologie kaufen müssten“, erklärt Juha Ollila von F-Secure.

Eine Halbierung der Kosten im Vergleich zur selbst verwalteten IT-Sicherheit sei möglich, verspricht der amerikanische Security-Anbieter McAfee, und auch Norton Securities lockt mit der Aussicht auf gebremste Budgetausweitungen. Doch was für viele IT-Verantwortliche wie die Verheißung eines höheren Sicherheitsniveaus bei gleichzeitig sinkendem Aufwand klingt, kann risiko- und autonomiebewussten Firmenchefs den Schweiß auf die Stirn treiben.

Nur keine Hast

Denn zum einen beruhen alle SaaS-Lösungen auf einer Cloud-Client-Infrastruktur. Um diese nutzen zu können, müssen Teile der Unternehmens-IT in eben jenes Netz verlagert werden, das von Experten als Hauptwohnsitz von Hackern und Crackern betrachtet wird. Zum zweiten verlagern die Anbieter immer mehr Schutzkomponenten ins Internet. Das filtert zwar viele Gefahren heraus, bevor sie ein Endgerät oder ein Unternehmensnetz erreichen, gleichzeitig wächst aber die Gefahr eines sinkenden Datendurchsatzes und damit geringerer IT-Effizienz. Außerdem erhöht sich mit wachsender Marktdurchdringung der ausgelagerten Sicherheitslösungen das Risiko, dass sich böswillige Eindringlinge gezielt die Security Software der SaaS-Anbieter vornehmen, um ihre – und deren – Grenzen zu testen.

Experten raten daher dazu, nicht übereilt auf den Zug zu springen, sondern abzuwarten, wie sich der wolkige Trend entwickelt. Es bleibt also noch genug Zeit für einen internen Hacker-TÜV.

Mehr Sicherheit in der IT

Zehn Tipps vom Bundesamt für Sicherheit in der Informationstechnik (BSI)

  • 1. Verantwortliche für IT und IT-Sicherheit
    Legen Sie fest, wer in ihrem Unternehmen für den IT-Betrieb und wer für die IT-Sicherheit verantwortlich ist und welche Aufgaben damit verbunden sind.
  • 2. Schutz vor Schadsoftware
    Sorgen Sie für einen wirksamen und stets aktuellen Schutz vor Schadsoftware aller Art auf allen Ihren IT-Systemen. Alle IT-Benutzer sollten mit möglichst minimalen Berechtigungen arbeiten, da dies die Ausbreitung von Schadsoftware erschwert.
  • 3. Datensicherung
    Führen Sie in Ihrem Unternehmen für alle IT-Systeme regelmäßig Datensicherungen durch. Testen Sie, ob alle Datensicherungen auch jederzeit erfolgreich wieder eingespielt werden können.
  • 4. Sicherheitsrichtlinien
    Legen Sie fest, was Ihre Mitarbeiter bei der Nutzung von IT und Internet beachten müssen. Schreiben Sie auf, was Ihre Mitarbeiter unbedingt beachten müssen und geben dieses in geeigneter Weise bekannt.
  • 5. Netz-Trennung
    Sichern Sie alle Übergänge zu fremden Netzen mit Firewalls, insbesondere zum Internet, aber auch zu Kundennetzen. Server, die auch von außen erreichbar sind, sollten besonders geschützt werden. Sichern Sie auch mobile Geräte und Dienste ab.
  • 6. Updates und Patches
    Halten Sie Ihre IT-Systeme durch das regelmäßige Einspielen von Updates und Patches auf dem aktuellen Stand. Durch die Einrichtung von Standard-Arbeitsplätzen erleichtern Sie sich die Arbeit.
  • 7. Dokumentation
    Sorgen Sie für eine aktuelle Dokumentation Ihrer IT-Umgebung. Dokumentieren Sie mindestens die Konfiguration der wichtigsten Systeme, deren Vernetzung und die Service-Telefonnummern Ihrer wichtigsten Lieferanten.
  • 8. Sensibilisierung der Mitarbeiter
    Sensibilisieren Sie Ihre Mitarbeiter für den sicherheitsorientierten Umgang mit Unternehmensdaten und IT-Systemen. Klären Sie sie darüber auf, wie sie sich bei der Weitergabe und Verarbeitung von internen Informationen verhalten sollen.
  • 9. Benutzerverwaltung und Zugriffsberechtigungen
    Führen Sie eine systematische Benutzerverwaltung ein, damit nur berechtigte Personen auf Ihre Unternehmensdaten zugreifen können. Vergeben Sie restriktive Zutritts- und Zugriffsberechtigungen.
  • 10. Schutz sensibler Informationen
    Sorgen Sie für adäquaten physischen und technischen Schutz Ihrer Unternehmensdaten. Dies beginnt mit einfachen Lösungen, wie der Deaktivierung aller nicht benötigten Dienste auf den IT-Systemen. Überprüfen Sie regelmäßig, ob die Sicherheitsmaßnahmen umgesetzt werden und ob sie noch aktuell sind.

Hinterlassen Sie einen Kommentar

(Kommentare werden von der Redaktion montags bis freitags von 10 bis 18 Uhr freigeschaltet)

Bitte beantworten Sie die Sicherheitsabfrage (Anti-Spam-Schutz): *Captcha loading...