Weshalb KMU mit technischen IT-Sicherheits-Tools oft überfordert sind

Mit der zunehmenden Digitalisierung von Arbeitsprozessen in Unternehmen kommt mit jedem neuen Gerät auch ein neuer Angriffspunkt in den Betrieb. Viele kleine Unternehmen sind überfordert an der Vielzahl der am Markt angebotenen technischen IT-Sicherheits-Tools. Aus diesem Grund wird oftmals für die IT-Sicherheit weder Budget geplant noch etwas unternommen.

Technische IT-Sicherheits-Tools gibt es zuhauf. Doch viele KMUs zeigen sich mit der Vielfalt überfordert und setzen damit ihre Sicherheit aufs Spiel. (Bild: Fotolia.com)

Im vergangenen Jahrzehnt wuchs das Verständnis, dass IT-Ausgaben ein entscheidender Posten sind. Nun muss nur noch das Verständnis wachsen, dass die IT-Sicherheit leider nicht kostenlos zu haben ist, jedoch bereits mit wenig Budget vieles sicherer werden kann.

Risikobewusstsein vorhanden, Notfallplan aber nicht…

Im Rahmen seiner CAS Zertifikatsarbeit evaluierte Christian Heimann diverse Methoden und Vorgehensweise für eine «Bezahlbare Überprüfung der digitalen Sicherheit von KMU» und stellte fest, dass sich KMUs dem digitalen Wandel sehr bewusst sind. Besorgniserregend ist jedoch, dass viele kleine Unternehmen überfordert sind an der Vielzahl der am Markt angebotenen technischen IT-Sicherheits-Tools. Aus diesem Grund wird oftmals für die IT-Sicherheit weder Budget geplant noch etwas unternommen. Wenn etwas unternommen wird, dann kümmern sie sich hauptsächlich um die technischen Aspekte. Ihnen ist der Wert Ihrer Daten bewusst, jedoch vergessen sie dabei die menschliche Komponente. Mitarbeiter werden gar nicht bis ungenügend geschult und sensibilisiert, was das Risiko eines erfolgreichen Angriffs erhöht. Einen Notfallplan haben nur knapp ein Drittel der kleinen Unternehmen, ein solcher Plan würde im Falle eines erfolgreichen Angriffes und die damit verbunden Krisensituation entschärfen, da man keine Zeit verliert.

Neue Geräte – neue Angriffspunkte

Bei den zwei Drittel der KMUs, für die IT-Sicherheit eine hohe Bedeutung hat, haben nur 20 Prozent ihre IT-Sicherheit bisher überprüft. Dies gibt zu denken. Gemäss der führenden Forschung und Beratungsfirma Gartner (2017) wird die Anzahl IoT-Geräte bis 2020 auf 20’000’000’000 steigen! IoT-Geräte sind nicht nur Angriffsziel, sondern können auch selbst zum Angreifer werden (z.B. Missbrauch als Teil eines Botnets). Deshalb geht es beim Schutz von IoT nicht nur um die eigene Sicherheit, sondern auch um die Sicherheit der Allgemeinheit. Gartner geht davon aus, dass 2020 25% aller identifizierbare Cyber-Angriffe auf Unternehmen eine IoT Komponente aufweisen, aber weniger als 10% der IT-Sicherheit-Budgets in IoT investiert wird.

Vulnerability Management

Im vergangenen Jahrzehnt wuchs das Verständnis, dass IT Ausgaben ein entscheidender Posten ist. Nun muss nur noch das Verständnis wachsen, dass die IT-Sicherheit leider nicht kostenlos zu haben ist, jedoch bereits mit wenig Budget vieles sicherer werden kann. Ein Schlüsselelement dazu ist, sein Inventar zu kennen, um stets Übersicht über die eigenen Systeme zu haben (Netzwerk, Geräte, Zugriffsrechte, Cloud-Services).

Mehrwert der regelmässigen IT-Sicherheitsprüfung (Grafik: First Security Technology AG)

Christian Heimann hat sich, unteranderem, mit Pascal Mittner, CEO der First Security Technology AG über ihre Vulnerability Management Lösung unterhalten. Unter Vulnerability Scan oder Automated Testing versteht man das Aufspüren von Schwachstellen durch Analyse von Endpunkten. Eine gute Lösung für das Schwachstellen-Management liefert nicht nur Indikationen zu den Schwachstellen, sondern auch direkt Handlungsempfehlungen zur Behebung der Schwachstellen. Pascal Mittner stellte im Gespräch klar, dass Vulnerability Management als Frühwarnsystem funktionieren und für die Analyse des zugewiesenen Bereichs sorgen soll. Massnahmen können und sollen nicht vom gleichen System umgesetzt werden. Das Prinzip der «Gewaltentrennung» soll eingehalten werden.

38 neue Schwachstellen pro Tag

Wenn man im Bereich der Cyber Security den IT Verantwortlichen fragt, wie oft eine Sicherheitsprüfung stattfinden soll, so wird oft ein Intervall zwischen drei und fünf Jahren gewünscht. Sie vergessen dabei, dass die IT-Infrastruktur dynamisch ist und bereits ein Jahr für eine technische Umgebung viel zu lang ist, zudem gibt es täglich 38 neue Schwachstellen. Auch kleine Unternehmen verlieren den Überblick über die Systeme die sich im Netzwerk befinden. Oft werden Geräte wie Router, Switches, IoT oder Test Systeme einfach vergessen, fehlen im Inventar und werden deshalb auch nicht in das IT Security Konzept integriert. Pascal Mittner erwähnt, dass «Nebst der Dokumentation der Infrastruktur dient das Schwachstellen Management als Hilfsmittel, um frühzeitig Probleme zu erkennen und Ihnen entgegen zu wirken. Das steigert die Effizienz und Effektivität der Unternehmen gibt Ressourcen frei, hilft grosse Schäden zu verhindern und in die richtigen Massnahmen zu investieren.»

Mit dem FS Cyber Control – die Swiss Made Schwachstellen-Management-Lösung für KMUs werden unter anderem die oben erwähnten Schritte umgesetzt. Die IT-Infrastruktur wird inventarisiert, anschliessend die Systeme (IPs) gescannt und daraus ein Report erstellt mit empfohlene Massnahmen um die gefunden Schwachstellen zu beheben. Die Reports sind, unabhängig der IT-Kenntnisse, einfach zu verstehen. «Anhand eines Ampelsystems Rot, Gelb, Grün sehen sie schnell wie es um ihre IT steht und die Lösung ist zudem für KMUs bezahlbar», sagt Pascal Mittner und ergänzt: «Der FS Cyber Control ist einfach in die bestehende Umgebung zu integrieren und vollautomatisch. In diesem Sinne gibt es für KMUs keine Ausrede mehr, dass sie ihre Cyber Security, aus Überforderung, vernachlässigen.»

Weitere Informationen: First Security AG

(Visited 52 times, 1 visits today)

Weitere Beiträge zum Thema