zurück zur Übersicht

Size doesn’t matter

Volles Risiko für die Informationssicherheit: Viele Firmen glauben sie seien zu klein für DatendiebstahlEs gibt kein Unternehmen, das sich Informationssicherheit nicht leisten kann. Doch viele kleine und mittlere Unternehmen (KMU) sind noch immer der Meinung, sie seien nicht groß genug, um ins Fadenkreuz von Cyber-Kriminellen zu geraten.

Dabei ist das Risiko beträchtlich: Ein erfolgreicher Angriff kann sehr teuer werden und für ein kleines Unternehmen mit begrenzten finanziellen Ressourcen schnell existenzbedrohend sein. Wenn es um IT-Sicherheit geht, begehen viele kleine und mittlere Unternehmen zwei häufige Fehler.

Unternehmensgröße nicht entscheidend

Zum einen sind diese noch immer der Meinung, sie seien nicht groß genug, um ins Fadenkreuz von Cyber-Kriminellen zu geraten. Die rasant steigende Verbreitung von Ransomware und Spear-Phishing Attacks belegt jedoch das Gegenteil. Der Hersteller Symantec hat in einer Untersuchung zum Zusammenhang zwischen Unternehmensgröße und Auftreten von Spear-Phishing herausgefunden, dass kleine Unternehmen mit weniger als 250 Mitarbeitern immer stärker von dieser Bedrohung betroffen sind. Angreifer haben nun auch die Unternehmen zum Ziel erklärt, die bisher nicht für einen gezielten Angriff mittels APT (Advanced Persistent Threat) in Frage kamen, weil ein potentieller Käufer für die erbeuteten Informationen fehlte. Sie haben erkannt, dass es immer einen potentiellen Käufer für Informationen gibt. Und sei es nur der Eigentümer der Daten selbst, wenn man es schafft, sie seinem Zugriff zu entziehen. Genau das tut Ransomware wie Locky, Crypto Wall, Tesla Crypt und Co.

Zum anderen erfüllen Unternehmen ohnehin eine Menge an externen Regularien, Vorschriften und Gesetzen. Viele meinen ein ausreichendes Schutzniveau sei allein dadurch schon gewährleistet. Dies ist jedoch ein Trugschluss. Die hundertprozentige Erfüllung der PCI-DSS-Norm beispielsweise garantiert zwar Mindeststandards in einzelnen Bereichen des elektronischen Zahlungsverkehrs. Eine ausreichende Absicherung aller Unternehmens- oder Kundendaten ist dadurch aber mitnichten gewährleistet.

Informationssicherheit als Teil der Geschäftsstrategie

Informationssicherheit ist nie eine technische Entscheidung, sondern muss ein Teil jeder Geschäftsstrategie sein. Es geht nicht darum technische Lösungen für punktuelle Probleme zu finden. IT-Sicherheit verlangt nach einem ganzheitlichen Ansatz. Erst wenn Unternehmen wissen, was ihre schützenswerten Informationen sind, von denen ihr Geschäftsbetrieb abhängt, können sie ihre IT-Security-Budgets gezielt einsetzen.

Doch wie steht es mit der Behauptung aus dem ersten Satz? Mittelständische Unternehmen konzentrieren sich in der Regel auf ihr Geschäft und haben nicht die Ressourcen eine ganze IT-Abteilung zu beschäftigen. Oft ist der Eigentümer auch der IT-Manager und einige wenige Mitarbeiter kümmern sich um den Betrieb der IT-Systeme oder das Unternehmen hat einen Dienstleister als Partner, der die Aufgaben der IT-Abteilung übernommen hat. Er beschafft Hardware, implementiert Services und betreut Systeme.Das ist gängige Praxis um die Kosten für IT-Administration überschaubar zu halten.

Warum also nicht auch die Absicherung von Daten und Systemen an einen Dienstleister vergeben? Natürlich muss so ein Partner verlässlich sein, und wissen was er tut. Operieren lässt man sich ja schließlich auch nicht vom Klempner seines Vertrauens, auch wenn er beim Badezimmerausbau hervorragende Arbeit geleistet hat. Spezialisierte IT-Security-Dienstleister sind hier also die beste Wahl. Bei der Auswahl eines Partners sollten Unternehmen prüfen, ob der Dienstleister die notwendige Expertise und Ressourcen besitzt und dedizierte Services anbietet, die auf die Erkennung und Abwehr von Angriffen zugeschnitten sind. Dann steht auch einer kostengünstigen Absicherung lebenswichtiger Firmendaten nichts mehr im Wege!

Schreibe einen Kommentar