Wer ist der denkbar schlechteste Berater beim Thema IT-Security? Die Angst! Mit hohem Aufwand gegen ein konkretes Unternehmen zielgerichtete IT-Attacken von Profis oder Insidern sind meist sehr medienpräsent aber nicht der Regelfall. Die meisten von uns erlebten Angriffe, vor allem im KMU-Bereich, sind Zufallsgeschichten. Sicherheit allgemein ist für Unternehmen stets eine Gratwanderung zwischen den Kosten für Maßnahmen und dem dadurch reduzierten Risiko. Um hier den richtigen Weg zu finden, ist ein vernünftiger Umgang mit dem Thema Sicherheit notwendig.
Die Frage ist immer: Welche Maßnahmen kann ein Unternehmen in welchem Ausmaß sinnvoll setzen, um einen ausreichenden Grad an Sicherheit zu gewährleisten? Hier empfiehlt es sich, mit einem ganzheitlichen Konzept anzusetzen. Für die meisten Unternehmen ist dies jedoch nicht umsetzbar. Die häufigsten Ursachen sind knappe Ressourcen und die fehlende Außensicht.
Wie ein Angreifer vorgeht
Die meisten Schadensfälle entstehen aus 08/15-Bedrohungen. Der Angreifer scannt wahllos tausende IT-Adressen und attackiert die, die am einfachsten Zutritt ermöglicht – durch eine schlechte Konfiguration, einen angeklickten CryptoLocker bis hin zu Schwachstellen in verwendeter Software. Oft reicht daher ein ‚Best-of-breed´-Standard an Sicherheit aus, weil manche Bedrohungsszenarien für ein Unternehmen gar nicht relevant sind. Dieses gilt es zu identifizieren.
Die Hausaufgaben bei der Security
IT-Security braucht daher unbedingt eine Strategie. Als Erstes muss ein Unternehmen den Datenbestand und die Datenströme festlegen. Weiß das Unternehmen, wie schutzbedürftig seine Daten sind? Was hängt im Unternehmen von den Daten ab? Wie schnell müssen Daten im Ernstfall wieder verfügbar sein? In diesem Zusammenhang müssen die Kernprozesse und die wichtigsten Mitarbeiter identifiziert werden. Erst wenn ein Unternehmen diese Hausaufgaben gemacht hat, kann es sich eingehender mit seiner IT-Security befassen.
Die drei Säulen der Security
IT-Security kann und darf nicht isoliert technisch gesehen werden. Security muss überall inbegriffen sein: in einem Notebook, in Cloud-Services, Endpoints, Software – aber auch im Kopf der Mitarbeiter. Ein Unternehmen sollte seine Security-Strategie auf drei große Säulen hin ausrichten: in Bezug auf den Menschen, die Organisation und die Technik.
Die kritischste Säule dabei ist immer noch der Mensch. Das Thema Security muss ja im Bewusstsein jedes einzelnen Mitarbeiters ankommen. Man kann nicht von jedem User verlangen, ein Sicherheitsexperte zu sein. Es muss Richtlinien für sein Handeln geben. Im Rahmen unserer Awareness-Trainings unterstützen wir beispielsweise Unternehmen bei der Festlegung solcher Richtlinien.
„Egal, wie viele Millionen Dollar ein Unternehmen in Sicherheit investiert – solange darin nur eine Person arbeitet, die manipulierbar ist, bin ich drin.“ (Kevin Mitnick, 2016 ehemaliger US-amerikanischer Hacker)
Die Basis für ein hohes Maß an Sicherheit
Innerhalb der drei Säulen Mensch, Organisation und Technik muss das Unternehmen seinen Ist-Stand bestimmen, mögliche Bedrohungen erkennen, eventuelle Risiken bewerten – und dann die entsprechenden Maßnahmen treffen. Wenn ein Unternehmen diesen Prozess laufend durchspielt, hat es schon einmal ein sehr großes Maß an Sicherheit erreicht. Das ist ein Prozess, bei dem ein IT-Provider wie ACP die Unternehmen als Trusted Advisor durchgängig begleiten kann. Die internen IT-Abteilungen der Unternehmen können sich dabei voll auf ihre Kernprozesse konzentrieren. Der externe Dienstleister wiederum kümmert sich um die passenden Ressourcen und das ergänzende Know-how für einen 360-Grad-Blick, der optimalerweise auch den riesigen Markt für Security-Produkte umfasst.
Kriterien für einen guten IT-Dienstleister
- IT-Betreuung ist ein Vertrauensthema – und IT-Security noch einmal mehr. Die Nähe zu einem externen Dienstleister ist bei diesem Thema daher wichtig. Viele Kunden sehen es als Asset, wenn der IT-Dienstleister ein österreichisches Unternehmen ist. Für sie ist es von immensem Vorteil, wenn der Partner ein Bild von sich vermitteln kann und nicht bloß anonyme Dienste anbietet.
- Eine umfassende Beratung. IT-Security ist eine Querschnittsmaterie. Daher muss der IT-Dienstleister in allen relevanten Bereichen zuhause sein und alle Sicherheitsagenden übernehmen können.
- Ein proaktiver Zugang des IT-Dienstleisters, das Unternehmen in Workshops oder bei Jour Fixes über technische Innovationen, Neuerungen aber auch aktuelle Bedrohungen laufend zu informieren – und wie das Unternehmen konkret davon betroffen sein könnte. Voraussetzung hierfür ist, dass der IT-Dienstleister entsprechend gut mit dem Unternehmen vertraut ist.
IT-Security ist mehr Wert
Eine Analyse der IT-Security bietet dem Unternehmen zusätzlich die Chance, technische Modernisierungspotentiale auszumachen und sich digital besser aufzustellen. Der Digitalisierungszug, der derzeit durch die Lande fährt, ist sicher noch jahrelang unterwegs. Das ist also eine Riesenchance für Unternehmen!
