Suchen

IT-Security Management & Technology Conference 2019 Der Mittelstand hat Nachholbedarf bei der IT-Sicherheit

Autor / Redakteur: Michael Zimmer / Peter Schmitz

Der IT-Schutzstatus im deutschen Mittelstand ist ungenügend. Häufig wird die eigene Gefährdung unterschätzt und daher die Absicherung der IT-Systeme vernachlässigt. Das wissen Angreifer und somit geraten KMUs verstärkt ins Visier der Cyberkriminellen. Dabei lassen sich auch mit kleinen Budgets viele der häufigen Schwachstellen beseitigen, beispielsweise beim Umgang mit Passwörtern und Berechtigungen.

Firmen zum Thema

Mittelständische Unternehmen sind häufig noch damit überfordert, das richtige Maß an benötigter IT-Sicherheit zu finden.
Mittelständische Unternehmen sind häufig noch damit überfordert, das richtige Maß an benötigter IT-Sicherheit zu finden.
(Bild: gemeinfrei / Pixabay )

Drei von vier Unternehmen mit 100 bis 500 Mitarbeitern waren nach Angaben des Branchenverbandes Bitkom in den letzten Jahren von IT-Sicherheitsvorfällen betroffen. Während sich Großunternehmen eigene Abteilungen für IT-Sicherheit leisten, sind die IT-Teams kleinerer und mittlerer Unternehmen in der Regel mit der Aufrechterhaltung der Betriebsfähigkeit ihrer Infrastruktur vollkommen ausgelastet. Dabei gibt es fast täglich neue Meldungen über erfolgreiche Angriffe – Ransomware, Trojaner und entdeckte Sicherheitslücken. Und Kriminelle werden immer schneller: Der Trojaner Emotet wird mittlerweile pro Tag in bis zu 200 verschiedenen Versionen in leicht veränderter Form verbreitet.

Welchen Stellenwert IT-Security letztendlich in der Unternehmensstrategie einnimmt, unterscheidet sich stark. Jedes Unternehmen muss die Risiken und deren Eintrittswahrscheinlichkeit abwägen. Die wirtschaftliche Abhängigkeit des Geschäftsmodells von der Verfügbarkeit der IT-Systeme und der gespeicherten Daten sind ebenso zu betrachten wie die Compliance-Anforderungen, denen das Unternehmen unterliegt. Grundsätzlich besteht jedoch in vielen KMUs die Notwendigkeit, IT-Sicherheit überhaupt als Teil der Unternehmensstrategie anzusehen. Hier erst nachträglich zu reagieren, kann einen erheblichen finanziellen Mehraufwand sowie unnötige Betriebsausfälle und -störungen bedeuten. Hinzukommt, dass der Mittelstand und kleinere Unternehmen besonders stark unter dem Fachkräftemangel leiden. Ein weiteres Problem stellt die sogenannte Schatten-IT dar: Netzwerkfähige Geräte, von denen nicht einmal der Administrator weiß.

Ergänzendes zum Thema
Hier geht es zur Anmeldung für die IT-Security Management & Technology Conference 2019

Die „IT-Security Management & Technology Conference 2019“ wird von der Vogel IT-Akademie gemeinsam mit marktführenden Lösungsanbietern an vier Terminen und Orten durchgeführt. Auf dem Ganztagsprogramm stehen Keynotes von IT-Security-Experten, zahlreiche Fachvorträge und Workshops mit Umsetzungsbeispielen aus der Praxis sowie Roundtables zum Meinungs- und Erfahrungsaustausch. Teilnehmer können sich außerdem über neueste IT-Sicherheits-Technologien informieren und das Matchmaking-Tool zur Vereinbarung von persönlichen One-on-One-Meetings mit den passenden Ansprechpartnern nutzen.

Termine & Anmeldung

  • 18.06.2019 Darmstadt
  • 25.06.2019 Köln
  • 04.07.2019 München
  • 09.07.2019 Hamburg

Die Teilnahmegebühr beträgt 290 Euro (zzgl. MwSt.). Bewerben Sie sich hier um einen Teilnahmeplatz.

Weitere Infos rund um die Konferenz finden Sie auch unter dem Hashtag #ITSECCON auf Twitter

Status-Check auch für kleinere Unternehmen wichtig

IT-Sicherheit in mittelständischen Unternehmen zu verbessern, ist kein einfacher Prozess. Doch wie kann sich ein Mittelständler umfassend absichern? Ein klassischer Antivirenschutz reicht alleine nicht mehr aus. Als erster Schritt bietet sich ein Security-Assessment an. Mit dieser Dienstleistung bekommen Unternehmen einen guten und kosteneffizienten Überblick über mögliche Schwachstellen in der eigenen IT. Ein solcher Status-Check steht in aller Regel am Anfang einer Beschäftigung mit dem komplexen Thema IT-Security. Im Unterschied zu einem vollumfänglichen Pentest ist ein Status-Check auch für kleine und mittlere Unternehmen leistbar und die Ergebnisse sinnvoll nutzbar. Eine Überprüfung der eigenen IT führt im Unternehmen idealerweise dazu, dass auch Policies für Passwörter und andere sicherheitsrelevante Prozesse auf den Prüfstand gestellt oder überhaupt erst definiert werden. Denn kaum ein professioneller Angreifer setzt nicht auf diese Angriffsvektoren.

Awareness für Mitarbeiter

Mitarbeiter spielen oft eine entscheidende Rolle, wenn es darum geht einen Cyberangriff abzuwehren. KMUs sind aufgrund des geringeren Technik-Einsatzes besonders auf die aktive Awareness ihrer Mitarbeiter angewiesen. Ein regelmäßiges Training zu Themen der IT-Security sollte ebenso selbstverständlich sein wie solche zum Brandschutz oder zur Ersten Hilfe.

Vorbereitung für einen Sicherheitsvorfall

Grundsätzlich gelten für KMUs die gleichen Empfehlungen wie für größere Unternehmen: Die Unternehmen sollten sich auf einen IT-Sicherheitsvorfall ebenso vorbereiten wie auf andere kritische Ereignisse. IT-Sicherheitsvorfälle sollten präventiv nach den Grundsätzen des Business Continuity Management (BCM) betrachtet werden. Die maximal tolerierbare Ausfallzeit (MTA) für kritische Systeme sollte ermittelt sein. Ebenso sollten alle notwendigen Daten, wie ein Netzplan oder Kontaktadressen, auch ohne die IT-Infrastruktur des Unternehmens verfügbar sein. Eine Minimallösung zur Aufrechterhaltung der Kommunikation, zum Beispiel über Mobilfunk oder eine separate DSL-Lösung, sollte vorbereitet sein. Zum Ausgleich der KMU-typischen Schwäche in der Vorfallbewältigung ist ein Abschluss von Incident Response Dienstleistungsvereinbarungen mit kompetenten Partnern zu empfehlen. Diese sollten bereits bei den präventiven Maßnahmen einbezogen sein.

Sicherheitsrelevante IT-Dienstleistungen auslagern

Mittelständische Unternehmen sind derzeit häufig noch damit überfordert, das richtige Maß an benötigter IT-Sicherheit zu finden. Einerseits hat die Mehrzahl der Firmen nur wenige konkrete gesetzliche Vorgaben, gleichzeitig steigt der Druck durch Regelungen wie der EU-Datenschutzgrundverordnung oder geforderte Branchenstandards. Investitionen in Sicherheitslösungen werden in vielen Fällen durch Mängel in deren Anwendung konterkariert. Denn eine SIEM-Lösung beispielsweise liefert zwar viele Informationen, stellt aber selbst noch keine Sicherheit her. Dazu bedarf es gut ausgebildeter Mitarbeiter, die diese Daten auch regelmäßig auswerten. Logfiles zu speichern hilft im Zweifel wenig, wenn diese nicht analysiert werden können.

Michael Zimmer, Geschäftsführer der G DATA Advanced Analytics GmbH.
Michael Zimmer, Geschäftsführer der G DATA Advanced Analytics GmbH.
(Bild: G DATA)

Vor diesem Hintergrund vertrauen daher zahlreiche mittelständische Unternehmen bei der Bewältigung dieser Aufgaben auf externe Dienstleister. Die Auslagerung sicherheitsrelevanter IT-Dienstleistungen mag auf den ersten Blick befremdlich erscheinen, ist aber in anderen Bereichen (Werksschutz, Organisationsberatung, Hosting) längst alltäglich und sollte bei der Einführung einer IT-Sicherheitsstruktur definitiv in Erwägung gezogen werden.

Über den Autor: Michael Zimmer ist Geschäftsführer der G DATA Advanced Analytics GmbH in Bochum und berät mittelständische Unternehmen und Behörden bei der effizienten Umsetzung ganzheitlicher IT-Sicherheitskonzepte. Im Spannungsfeld zwischen disruptiven Technologien, neuer Bedrohungsszenarien, Fachkräftemangel und regulatorischen Anforderungen sieht er die Notwendigkeit flexibler Dienstleistungskonzepte als Konsequenz. G DATA ist Premium-Partner bei der IT-Security Management & Technology Conference 2019. Michael Zimmer hält dort den Vortrag „Effiziente Resilienz statt trügerischer Sicherheit“.

(ID:45907736)