Prüfen, wie es um die IT-Sicherheit im Unternehmen bestellt ist
Das Thema IT-Sicherheit bedarf eines ganzheitlichen Ansatzes. Mittels Security Assessments erhalten IT-Verantwortliche ein aussagekräftiges Bild über das Netzwerk und potenzielle Schwachstellen – bei gleichzeitig geringem Aufwand und niedrigen Kosten.
Immer wieder werden auch kleine und mittelständische Unternehmen Opfer globaler Cyberattacken. Denn immer noch investieren sie zu wenig in einen ganzheitlichen IT-Schutz und in zeitgemässe Sicherheitstechnologien, weil für viele Verantwortliche IT-Sicherheit schlicht und einfach ein Kostentreiber ist. Ein zweiter Grund, warum Hacker in Unternehmensnetzwerke eindringen können: Bei vielen Firmen sind die Netzwerke in der Regel über mehrere Jahre gewachsen und damit sehr heterogen. Dies geht einher mit einer steigenden Komplexität.
Das grosse Manko dabei: Die Sicherheit wächst meist nicht mit, weil die Netzwerke sehr flach aufgebaut sind. Unterschiedliche Bereiche des Unternehmens befinden sich in ein- und demselben Netzwerk – ohne eine sinnvolle und damit auch sichere Abgrenzung einzelner Bereiche. Sicherheitsvorfälle lassen sich dann nur sehr schwer eingrenzen, sodass eine Malware-Infektion oder eine Kompromittierung enormen Schaden anrichten kann. So können durch Erpressungstrojaner verschlüsselte Daten ein Unternehmen finanziell erheblich belasten, wenn Cyberkriminelle alle Daten verschlüsseln und zuvor auch die Backups vernichten. Unternehmen verbessern ihre IT-Sicherheit signifikant, wenn sie bestehende Sicherheitslücken schliessen. Ein Status-Check hilft, diese aufzudecken.
Ohne Prüfung geht es nicht
Das Thema IT-Sicherheit bedarf eines ganzheitlichen Ansatzes. Unternehmen sollten dabei auch den aktuellen Zustand der IT und der IT-Prozesse aus der Sicherheitsperspektive prüfen. Viele Unternehmen denken dabei sofort an einen vollumfänglichen Penetrationstest. Allerdings bedarf es schon einer hohen Reife in Bezug auf IT-Sicherheit, um bei einem solchen Test verwertbare Ergebnisse zu erhalten und diese korrekt zu interpretieren. Das können aber nur hochqualifizierte IT-Sicherheitsfachkräfte leisten. Für kleine und mittelständische Firmen ist ein richtiger Penetrationstest daher also kaum zu finanzieren.
Sicherheitschecks zeigen Schwachstellen
Um eine IT-Sicherheitsprüfung auch für KMUs realisieren zu können, ist ein speziell auf die Bedürfnisse von KMUs ausgelegter Sicherheitscheck zu empfehlen. Bei einem solchen Check erhalten KMUs eine detaillierte Auswertung und Vorschläge, wie sich die IT-Sicherheit gezielt verbessern lässt. Anhand eines Fragebogens erheben Analysten den Status von zentralen IT-Themen wie Authentifikation, proaktiven Sicherheitsmassnahmen oder den Umgang mit Virenfunden. Auch daraus ergeben sich Ansatzpunkte, die helfen können, die IT-Sicherheit zu verbessern.
Einen ersten realistischen Eindruck von der IT-Sicherheit ihres Netzwerks erhalten Firmen durch ein Security Assessment. Damit lassen sich vollautomatisiert potenzielle Lücken in der Abwehr erkennen. Ein derartiger Cyber-Defense-Status-Check zeigt auf diese Weise konkreten Handlungsbedarf für die IT an. Ergänzend lässt sich mittels Schwachstellenscan die vorhandene Infrastruktur von aussen checken. Bereits dieses Security Assessment liefert ein klares Bild über das Netzwerk und potenzielle Schwachstellen – bei gleichzeitig geringem Aufwand und niedrigen Kosten. Wer dann noch mehr über seinen Security-Status wissen will, kann beispielsweise mit versierten Sicherheitsexperten in den direkten Dialog gehen.
Typische Fehler gefährden die Unternehmenssicherheit
Immer wieder finden IT-Sicherheitsexperten typische Fehler in Netzwerken. Ein Beispiel sind veraltete Versionen der Verschlüsselungsstandards SSL oder TLS. Diese bieten Angreifern einen Einfallsvektor und die einfache Möglichkeit, die gesamte Kommunikation abzugreifen und entschlüsselt mitzulesen. In vielen Fällen ist die interne oder externe Certificate Authority möglicherweise nicht vertrauenswürdig. Auch unsichere Secure-Shell-Dienste oder aktivierte Remote-Desktop-Dienste finden Sicherheitsexperten häufiger, als ihnen lieb ist.
----------
Viele Firmen hoffen einfach nur, dass ihnen nichts passieren wird
Gerade kleinere Unternehmen sollten das Thema IT-Sicherheit ganzheitlich betrachten, sagt Cornelia Lehle, Sales Director bei G Data Schweiz. Warum dafür als erster Schritt oft ein Security Assessment von Nutzen ist, erklärt sie im Interview. Interview: Coen Kaat
Warum sollten Cyberkriminelle KMUs angreifen? Haben die überhaupt spannende Daten?
Cornelia Lehle: Die Gründe, warum Cyberkriminelle KMUs angreifen, sind sehr vielfältig. Denn auch sie haben wertvolle Daten – etwa Kundendaten, Konstruktionspläne oder innovative Produktideen. Hinzu kommt, dass KMUs auch in der Lieferkette von Konzernen integriert sind. Und Cyberkriminelle suchen sich hier das schwächste Glied in der Kette, um einen Konzern zu infiltrieren. Nach unseren Erfahrungen haben kleine Betriebe bei der IT-Sicherheit deutlichen Nachholbedarf. Ein Grund dafür ist, dass sie IT-Sicherheit immer noch für einen Kostentreiber halten. Anstelle dem Thema IT-Sicherheit mit dem entsprechenden Ernst zu begegnen, setzen viele Firmen auf das Prinzip Hoffnung, dass ihnen schon nichts passieren wird.
Wie verlieren KMUs bei natürlich gewachsenen Netzwerken die Security nicht aus den Augen?
Gerade kleinere Unternehmen sollten das Thema IT-Sicherheit ganzheitlich betrachten. Der erste sinnvolle Schritt ist oft ein Security Assessment – also eine Erhebung des Ist-Zustands der IT und der IT-Prozesse aus der Sicherheitsperspektive. Wir klopfen mit unseren Kunden eine lange Liste von potenziellen Problemstellen ab und nehmen uns dann mit einem Schwachstellenscan von aussen und auch von innen die tatsächlich vorhandene Infrastruktur vor. Ein Schwachstellenscan ist eine kostengünstige Möglichkeit, einen ersten Eindruck der Realität im Unternehmensnetz zu bekommen.
Was müssen KMUs beim Thema IT-Security besonders beachten?
Bevor sich ein Unternehmen entscheidet, in bestimmte Technologien oder Prozesse zu investieren, sollte klar sein, was gegen wen zu sichern ist und ob es beispielsweise Bereiche gibt, die besonders schützenswert sind. Ein Threat Modelling mit professioneller Unterstützung hilft, Investitionen in IT-Sicherheit sinnvoll zu steuern. Dabei wird systematisch geklärt, vor welchen Risiken sich die Firma schützen kann und sollte und was genau eigentlich geschützt werden muss. Die öffentliche Diskussion fokussiert sich häufig auf technisch extrem hochentwickelte Angriffe mit bislang unbekannten Schwachstellen – Zero-Day-Exploits genannt. Das ist aber gerade für kleinere Unternehmen gar nicht relevant. Wir sehen in unserer Arbeit allerdings fast täglich, dass geschickt verbreitete Malware in Kombination mit Schwachstellen im Sicherheitsmanagement für enormen Schaden sorgen kann. Dabei kann selbst etwas eigentlich sehr Einfaches, wie ein Erpressungstrojaner, ein Unternehmen in den Konkurs treiben, wenn alle Daten verschlüsselt und zuvor die Backups gelöscht wurden.
Welche spezifischen Bedürfnisse muss ein auf KMUs zugeschnittener Sicherheitscheck erfüllen?
Die meisten Lösungen jenseits von Endpoint Protection und Security Gateways – also Antivirenprogramme und Firewalls – richten sich von ihrer Konzeption und vom Preis her an Enterprise-Kunden mit vielen tausend oder sogar hunderttausend Arbeitsplätzen wie etwa ein Penetrationtest. Das kann sich ein Mittelständler oder Kleinunternehmer natürlich nicht leisten. Es braucht also ein bezahlbares Angebot. Gleichzeitig sollte ein derartiger Test die Produktivität nicht ausbremsen, in dem Prozesse nur eingeschränkt laufen. Beim Status-Check führen unsere Sicherheitsexperten ein zirka einstündiges Gespräch mit dem IT-Verantwortlichen. Anhand eines Fragebogens erheben die Analysten den Status von zentralen IT-Themen wie Authentifikation, proaktive Sicherheitsmassnahmen oder Umgang mit Virenfunden. Die Fragen lassen sich nur mit Ja oder Nein beantworten, sodass unsere Experten bereits im Gespräch Empfehlungen geben können, um die IT-Sicherheit zu verbessern. Zusätzlich überprüfen unsere Sicherheitsexperten mit einem automatisierten Schwachstellenscan von aussen die vorhandene Infrastruktur und identifizieren potenzielle Lücken in der Abwehr. Bereits dieses Security Assessment liefert konkret umsetzbare Ergebnisse über das Netzwerk und potenzielle Schwachstellen – bei gleichzeitig geringem Aufwand und niedrigen Kosten.
Was passiert nach dem Check?
Die Status-Checks von G Data geben Unternehmen einen ersten realistischen Eindruck der IT-Sicherheit ihres Netzwerks sowie konkrete Hinweise, wo Handlungsbedarf besteht. Die Firmen erhalten eine detaillierte Auswertung und Vorschläge, um die IT-Sicherheit gezielt zu verbessern. Oft sind es die kleinen Hebel, die eine grosse Wirkung haben – wie etwa das Patchen von Lücken oder das Einspielen von aktuellen Updates. Dabei unterstützen wir natürlich unsere Kunden und arbeiten gemeinsam daran, die IT-Sicherheit zu steigern.
Peoplefone lanciert Mobile-Abos für Geschäftskunden
Update: Österreichischer Investor übernimmt Devolo
TIM und Veritas: Der ultimative Schutz vor Ransomware-Angriffen für Schweizer Unternehmen
Endpoint Detection and Response als Managed Service nutzen
Wie der IT-Arbeitsplatz von morgen gemäss HP aussieht
Die wichtigsten Werkzeuge für die Abwehr
"Wir suchen Partner, die wachsen möchten"
Logpoint hat neu zwei Partnerprogramme
Cybersicherheit mit Infinigate Cloud
