Der Einsatz von E-Mail und Internet sind aus dem Unternehmensalltag nicht mehr wegzudenken. Nach der Studie „IT-Sicherheitslage im Mittelstand 2013“ des Vereins Deutschland sicher im Netz e.V. (DsiN) nutzen 97 Prozent der Unternehmen die E-Mail und 98 Prozent das Internet zu geschäftlichen Zwecken. Die Verbreitung von mobilen Endgeräten wie Smartphones ist auf 60 Prozent angewachsen und jeder sechste Betrieb greift mittlerweile auf Cloud-Angebote zurück. Doch so nützlich die modernen Endgeräte und Technologien auch sind: Ihr Einsatz erhöht die Anzahl der Übergänge zwischen Firmennetz und der Außenwelt – und damit auch die Anforderungen an die Sicherheitsstrategie der KMU. Das bedeutet, dass sich die Sicherheits- und Compliance-Risiken häufen. Im schlimmsten Fall kann es zum Verlust von internen Daten kommen und Image-Schäden, das Abwandern von Kunden zu Mitbewerbern bis hin zu strafrechtlichen Konsequenzen nach sich ziehen. Die IT-Verantwortlichenstehen vor der schwierigen Aufgabe, diese Lücken abzusichern und unter Kontrolle zu halten.

Mit Einzelmaßnahmen wie Firewall, Virenschutz-Software, Security-Gateway oder Intrusion-Prevention-System stellen Unternehmen den technisch versierten Cyber-Angreifern kein großes Hindernis in den Weg. Für Sicherheit können sie nur sorgen, wenn alle Lösungen in einer ganzheitlichen Sicherheitsstrategie münden. Dabei gilt es, vorab die eigenen Entscheidungen und Umsetzungen zur Informationssicherheit auf den Prüfstand zu stellen, so dass bereits in der Planungsphase potenzielle Schwachpunkte erkannt werden. Eine Sensibilisierung der Mitarbeiter für den verantwortungsvollen Umgang mit der technischen Ausstattung rundet das Sicherheitskonzept ab.

Wichtige Bausteine der IT-Sicherheitsarchitektur

Gerade in kleineren und mittelständischen Firmen ist das erforderliche Spezialwissen häufig nicht vorhanden. Zudem fehlen den internen IT-Mitarbeitern oftmals die Zeit und die notwendige Distanz, um einen neutralen, kritischen Blick auf die IT-Infrastruktur und die damit verbundenen Geschäftsprozesse und Schwachstellen zu werfen. Eine Zusammenarbeit mit externen IT-Fachleuten ist daher ratsam, um schützenswerte Daten, Systeme und andere Werte zu identifizieren. Mit Test- und Sicherheits-Analysemethoden decken die Experten Schwachstellen und sicherheitsrelevante Vorfälle auf und unterbinden direkte und indirekte Angriffe auf Systeme und Informationen. Bei Penetrationstests beispielsweise kommen Schwachstellen-Scanner zum Einsatz, um in Netze, Systeme und Accounts einzudringen.Erst wenn am Ende dieser Untersuchungen die kritischen Stellen im Netzwerk bekannt sind, lässt sich eine wirksame Security-Architektur aufbauen. Sie sorgt für einrobustes IT-System, das aktuellen Cyber-Angriffen standhält.

Nicht zu vernachlässigen sind Aspekte wie die Identifizierung und Authentifizierung von Benutzern. Denn eine exakte Unterscheidung zwischen berechtigten und unberechtigten Zugriffen auf die IT-Ressourcen einer Organisation ist essentiell für die Informationssicherheit. Ein Identity & Access Management (IAM) ist daher ein wichtiger Baustein. Er versetzt das Unternehmen in die Lage, Identitäten und damit verbundene Berechtigungen sicher und geregelt zu erstellen, zu verteilen und zu verwalten. Hierüber lässt sich über ein sogenanntes Federated IAM auch die Kollaboration mit Partnern über Unternehmensgrenzen hinaus absichern. Neben der Benutzerverwaltung und Rechtevergabe sollte ein IAM alle Berechtigungen und Berechtigungsvorgänge revisionssicher nachweisen.

Sieht die IT-Strategie eines KMU den Cloud-Einsatz vor, sollten die Sicherheitsmaßnahmen des Cloud-Service-Providers oder der firmeninternen Private Cloud bewertet werden. In solchen Fällen empfiehlt sich die Nutzung eines Audit-Rechts zur Durchführung eines Cloud-Security-Assessment, im Idealfall mit Unterstützung von externen Cloud-Security-Spezialisten. Sie prüfen,ob zum Beispiel ein Webauftritt oder die IT-Systeme Schwachstellen und Angriffsflächen für Hacker bieten. Auf Basis der Resultate lassen sich weitergehende Maßnahmen definieren. Dazu zählt das gezielte Absichern von Cloud-Services und der entsprechenden Daten und IT-Systeme.

Hausgemacht ist nicht immer besser

IT-Verantwortliche kleiner und mittelständischer Firmen, die den Aufbau und Betrieb einer komplexen IT-Security-Infrastruktur nicht intern stemmen wollen, können ihr Netzwerk alternativ in Form eines Managed Security Servicesichern. Dienste wie etwa Atos High Performance Security (AHPS) überwachen kontinuierlichdie IT-Systeme. Ein weiterer Vorteil eines Managed Security Service besteht darin, dass alle aktuellen Angriffe und Bedrohungsformen bekannt sind und Gegenmaßnahmen rasch erfolgen. Hinzu kommt, dass sich gemanagte IT-Sicherheitsdienste flexibel an die Bedürfnisse des Unternehmens anpassen lassen. Speziell für Unternehmen und Organisationen, die durch eine hohe Dynamik geprägt sind, ist dies eine interessante Alternative zu einem „hausgemachten“ Ansatz.

Es ist davon auszugehen, dass die IT-Umgebungen von Unternehmen künftig noch komplexer und offener werden. Cloud Computing etwa steht noch am Anfang seiner Entwicklung. Mit einem Patchwork unterschiedlicher IT-Sicherheitssysteme lassen sich die dadurch steigenden Anforderungen in Bezug auf Cyber-Security, Compliance und Risikomanagement nicht erfüllen. Notwendig ist ein Umdenken – hin zu einem ganzheitlichen Verständnis der IT-Sicherheit.