Aktuelles, Experten, Gastbeiträge - geschrieben von am Dienstag, Dezember 10, 2013 18:44 - noch keine Kommentare

IT-Sicherheit für alle Unternehmensgrößen relevant

KMU sind sich ihrer Bedeutung als Ziel von Attacken oft gar nicht bewußt

Von unserer Gastautorin Christine Schönig

[datensicherheit.de, 10.12.2013] Es kommt nicht auf die Größe an… oder sollte es zumindest nicht, wenn es um Sicherheit geht. Aber für kleine Unternehmen ist es nicht immer leicht, unternehmensfähigen Schutz zu erreichen. Christine Schönig, Technical Manager bei Check Point, weist auf die Maßnahmen hin, die kleinere und mittelständische Unternehmen (KMU) ergreifen können, um ihre Sicherheitseinstellung zu verbessern.

IT-Sicherheit nimmt keine Rücksicht auf Größe. Eine Hackergruppe kann weltweit hunderte oder tausende von Mitgliedern haben, wie z.B. Anonymous, oder nur eine Handvoll, wie die Gruppe, die 2012 die erfolgreichen Eurograbber-Angriffe auf Banken startete – in jedem Fall ist die Störung für die Zielorganisationen gleichermaßen schwerwiegend.
Genauso ist es bei Organisationen, die von Kriminellen ins Visier genommen werden: Nur weil ein Unternehmen klein und relativ unbekannt ist, bedeutet das nicht, dass es vor einem Angriff geschützt ist. Kleinere und mittelständische Unternehmen (KMU) sind die Zielscheibe für Angriffe, die Teil einer Netzerweiterung für Cyberkriminelle sind. Eine 2013 vom Britischen „Department for Business, Innovation and Skills“ durchgeführte Studie fand heraus, dass kleine Unternehmen größeren Gefahren des Verlustes vertraulicher Informationen durch Cyber-Angriffe ausgesetzt sind, als je zuvor. 87 Prozent der kleineren Unternehmen quer durch alle Branchen erlebten 2012 einen Verstoß, 2011 waren es noch 76 Prozent. Außerdem lagen die durchschnittlichen Kosten des schlimmsten Sicherheitsverstoßes für kleine Unternehmen  zwischen £35.000 und £65.000.

Warum gerade KMU betroffen sind

Der Fokus der aktuellen, im Trend liegenden Angriffe liegt auf Spear-Phishing-Attacken und Social-Media-Profiling, um Zugang zu Netzwerken zu erlangen. Kriminelle nehmen Organisationen ins Visier, die über Vermögenswerte verfügen, die für sie von besonderem Wert sind. KMU können als eine Art Sprungbrett benutzt werden, von dem aus ein Partnerunternehmen angegriffen wird, z.B. indem Lücken in der Lieferkette ausgenutzt werden.

Ein Hightech-Startup-Unternehmen, zum Beispiel, entwickelt vielleicht gerade geistiges Eigentum für einen viel größeren Partner; oder eine kleine Finanz-PR-Firma ist vielleicht im Besitz eines Entwurfs mit Informationen über ein bevorstehendes kritisches Geschäft für eine FTSE100-Organisation. Das war 2012 der Fall bei der Sicherheitslücke im Kartenprozessor bei Global Payments FTSE100 , der hunderttausende von Visa- und MasterCard-Inhaber betraf. Das kleinere Unternehmen verfügte über wertvolle Assets, an die bei den größeren Firmen schwerer heranzukommen gewesen wäre, weshalb das kleine zum Angriffsziel wurde. Die Angreifer setzen auch auf kleinere Unternehmen, die über weniger Sicherheitskontrollen und weniger Sicherheitsstufen verfügen.
Natürlich wird das nicht immer der Fall sein, aber im Allgemeinen besteht eine Beziehung zwischen der Größe eines Unternehmens und der Zeit und den Ressourcen, die es für Sicherheit und deren Management zur Verfügung hat. Typischerweise wenden Organisationen rund 6 Prozent ihres gesamten IT-Budgets für die Sicherheit auf – was bedeutet, dass Unternehmen mit kleineren Budgets den Sicherheitsteil dieses Budgets so klug wie möglich verteilen müssen.

Investitionen in Sicherheit

In welche Art von Sicherheit sollten Organisationen also investieren? Was den Schutz angeht, so gelten für KMU die gleichen Regeln wie für alle anderen Unternehmensgrößen: sie müssen entscheiden, welche ihrer Assets unternehmenskritisch sind, und dann die Richtlinien und Lösungen einführen, um diese Assets zu schützen, und die Risiken, denen sie ausgesetzt sind, zu minimieren.
Bis vor kurzem hätte dies von kleineren Unternehmen eine unverhältnismäßig große Investition in die Sicherheit verlangt. Zwei Entwicklungen haben KMU jedoch in die Lage versetzt, ihre Assets mit unternehmensfähiger Sicherheit zu schützen.
Erstens ermöglicht das Cloud-Modell den Organisationen, Sicherheit schnell einzurichten, diese Sicherheit für sie verwalten zu lassen (mit Lösungs- und Bedrohungs-Updates, die vom Anbieter der Cloudsicherheit verwaltet werden) und natürlich mit geringem oder ganz ohne Kapitalaufwand im Voraus und bei vorhersehbaren monatlichen Kosten. Und was noch wichtiger ist, auf diese Weise können moderne, integrierte Dienste bereitgestellt werden – von Antivirus und Firewall bis zu Webanwendungen und Kontrolle der Sozialen Medien. Somit können sich Unternehmen auf ihre unternehmerischen Belange und das Wachstum konzentrieren und den Schutz des Netzwerks den Experten überlassen. Es gibt eine ganze Reihe von Cloud-Sicherheitsanbietern von etablierten Führern der Sicherheitsbranche, die dies zu einer attraktiven Option für Unternehmen machen, die nach einer Minimierung ihres Kapitalaufwands streben. Da die Sicherheitsbedrohungen immer raffinierter und immer häufiger werden, ist es sogar für die Sicherheitsteams der Unternehmen, die am besten mit Ressourcen ausgestattet sind, ein Problem, einen Schritt voraus zu sein, damit voll-verwaltete Cloud-Dienste dem Management kleinerer Firmen die Probleme ersparen können.
Die zweite Option wird durch das dramatische Sinken der Einführungskosten für flexible, ausbaufähige Sicherheits-Appliances vor Ort möglich. Dies ermöglicht umfassende, integrierte Sicherheitsfunktionen, die früher größeren Organisationen vorbehalten waren (wie virtuelle, private Netzwerke, Intrusion Prevention, Anti-Spam, Anwendungskontrolle und URL-Filterung) und die nun für hunderte statt tausende von Pfund verfügbar sind. Für viele Firmen rückt das die moderne Sicherheit viel leichter in die Nähe der zuvor erwähnten  6 Prozent IT-Ausgaben.

Mitarbeiterschulung von besonderer Bedeutung

Wie zuvor erwähnt, hat die Größe einer Organisation keinen Einfluss auf ihre Sicherheitsbereitschaft. Ein Haupteinflussfaktor dafür ist das Bewusstsein der Mitarbeiter in Bezug auf IT-Sicherheitsfragen. In unserem Sicherheitsbericht 2013 stellten wir fest, dass 54 Prozent der weltweit annähernd 900 untersuchten Organisationen  mindestens einen potentiellen Datenverlustvorfall infolge von E-Mails erlebt haben, die fälschlicherweise an einen externen Empfänger gesandt wurden oder infolge von Informationen, die unsachgemäß online gestellt wurden. Wir stellten auch fest, dass 52 Prozent der Mitarbeiter Gefahr laufen, aufgrund unsicherer Verhaltensweisen am Computer einen Verstoß am Arbeitsplatz zu begehen.
Es sind diese einfachen, menschlichen Fehler, die Angreifer versuchen, auszunutzen: nichtsahnende Angestellte dazu verführen, Links in Phishing-E-Mails anzuklicken, um ihre PCs zu infizieren, oder unabsichtlich sensible Informationen auf der falschen Internetseite zu posten. Leider sind wir alle dazu konditioniert, anderen zu vertrauen, und es ist schwierig, diese Haltung zu ändern, denn Mitarbeiter möchten hilfsbereit sein und möchten spüren, dass sie ihre Aufgaben effektiv ausführen.
Hier kann Mitarbeiterschulung für die Verstärkung der Sicherheit eine entscheidende Rolle spielen: bei Mitarbeitern das Bewusstsein für potentielle Risiken und Bedrohungen wecken sowie für die Frage, wie ihr Verhalten diese Risiken minimieren kann, indem sie Phishing-Emails, gefälschte Internetseiten und anderes vermeiden. Und hier haben kleinere Unternehmen einen Vorteil: sie müssen weniger Mitarbeiter schulen. Oft sind es diese kleinen Maßnahmen, die den Unterschied zwischen einem Sicherheitsereignis und einer „normalen Situation“ machen.

© Check Point

© Check Point

Christine Schönig

Die Autorin:

Christine Schönig ist seit 2009 Technical Managerin bei Check Point Software Technologies GmbH.

Weitere Informationen zum Thema:

Check Point Software Technologies
www.checkpoint.com



Kommentieren

Kommentar

Kooperation

TeleTrusT

Mitgliedschaft

German Mittelstand e.V.

Mitgliedschaft

BISG e.V.

Multiplikator

Allianz für Cybersicherheit

Datenschutzerklärung