IT-Sicherheit für kleine und mittlere Unternehmen


Günter H. Hirschmann

Hackerattacken, Spam-Mails und Computer-Viren sowie mangelndes Bewusstsein für IT-Security sind globale Probleme, unter denen besonders viele kleine und mittlere Unternehmen leiden. Meist sind Sicherheitsprobleme auf die mangelnde Bereitschaft zurückzuführen, Geld für IT-Sicherheit auszugeben und sich intensiv mit der komplexen Materie zu befassen.

Obwohl sich die meisten Eigentümer und Manager kleiner und mittlerer Unternehmen (KMU) darüber im Klaren sind, dass eine effiziente IT-Sicherheit von existenzieller Bedeutung ist, beschränken sich ihre Bemühungen meist auf den Einbau einer Firewall. Technische Schutzmaßnahmen, wie die Installation von Firewalls, sind jedoch nur ein Element des ganzheitlichen IT-Sicherheitsmanagements. Die Erreichung der IT-Sicherheitsziele eines Unternehmens kann nur gewährleistet werden, wenn das Sicherheitsmanagement als Prozess übergreifend in allen Geschäftsbereichen verankert ist. Mit Standards wie dem Grundschutzhandbuch des Bundesamtes für Sicherheit in der Informationstechnik (BSI) sowie ISO 17779 stehen hierfür allgemein anerkannte Methoden zur Verfügung, die es erlauben, gegenüber Geschäftspartnern, Kunden oder Lieferanten die Implementierung eines den Anforderungen entsprechenden IT-Sicherheitsmanagement-Systems nachzuweisen. Erfahrungen zeigen allerdings, dass sich viele KMU hiermit nicht selten überfordert fühlen.

 

Risiko-Faktor Mensch

Wenn es darum geht, eine IT Sicherheitsrichtlinie zu formulieren und umzusetzen und die Mitarbeiter in diesem Bereich zu schulen, liegen KMU gegenüber den Großunternehmen weit zurück. Gemäß einer aktuellen Studie, die im Auftrag von eSe Security von dem Marktforschungsinstitut Forrester 2004 in Dänemark, Schweden und Deutschland durchgeführt wurde, hat weniger als die Hälfte der befragten KMU eine IT-Sicherheits-richtlinie formuliert. Gleichwohl sind 89 % davon überzeugt, dass die IT-Sicherheit wichtig ist. Die Studie zeigte jedoch, dass den Unternehmen nicht bewusst ist, dass sich Netzwerksicherheit nicht auf eine Firewall und/oder ein Virenschutzprogramm beschränken darf. Von 13 verschiedenen allgemein erhältlichen Sicherheitstechnologien und -methoden werden von den Unternehmen weniger als die Hälfte tatsächlich eingesetzt. 92 % der Unternehmen verwenden zumindest eine Firewall, während weniger als 10 % angeben, sie regelmäßig zu scannen. Die Würmer und Trojaner, von denen viele Unternehmen heimgesucht werden, verschaffen sich oft über die Notebooks der Mitarbeiter Zutritt zum System. Diese werden infiziert, während sie nicht von der Firewall geschützt werden. Deshalb ist es so wichtig, ein klar definiertes, der ISO-Norm entsprechendes Sicherheitskonzept zu haben, mit dem auch die Mitarbeiter durch Schulungen vertraut gamcht wurden. Der menschliche Faktor ist hier von entscheidender Bedeutung, denn das schwächste Glied in der Kette der IT-Sicherheit ist in vielen Fällen der Risiko-Faktor Mensch. Dies wird von vielen KMU übersehen.

Im Widerpruch zur anwachsenden Bedeutung von E-Mails gibt es beispielsweise in vielen deutschen Unternehmen noch immer keine Richtlinien zur E-Mail-Nutzung. Bereits heute werden viele vertragliche Dokumente und wichtige Geschäftsunterlagen elektronisch erzeugt, verschickt und gespeichert. Gemäß einer Untersuchung von Hitachi Data Systems archivieren rund 61 % der Unternehmen ihre E-Mails über einen Zeitraum von bis zu drei Jahren oder länger. Durch die gestiegenen Anforderungen dürfte sich dieser Prozentsatz auf absehbare Zeit sogar noch signifikant erhöhen.

 

Banken als Wegweiser

Banken und andere Finanzdienstleister sind darum bemüht, die IT Sicherheit stärker ins Bewusstsein von KMU zu rücken. 35 % der von Forrester Befragten gaben an, dass ihre Bank die anspruchsvolle Anforderungen an die IT-Sicherheit stelle, aber auch Kunden, Partner, Handelsorganisationen und der Gesetzgeber spielen eine zentrale Rolle. Dies dürfte kaum verwundern, zumal Kreditinstitute, die auf Grund der weltweiten Verknüpfung ihrer Systeme besonders anfällig für Attacken von Hackern sind, sich des Problems bereits vor Jahren angenommen haben. Die systemtechnischen Sicherheitsvorkehrungen bedürfen aber nicht zuletzt wegen der hohen Sensibilität der Daten einer permanenten Weiterentwicklung. Schon heute ergeben sich aus einer Reihe von gesetzlichen Regelungen (KonTraG, KWG, MaK usw.) weitreichende Anforderungen an das Risiko-Management und die Sicherheit der Informationsverarbeitung in Kreditinstituten. Auch die neue Baseler Eigenkapitalübereinkunft (Basel II) verlangt explizit eine Hinterlegung so genannter operationeller Risiken mit Eigenkapital. Und Risiken, die sich aus der Nutzung moderner Informationstechnologien ergeben, gelten als zentraler Bestandteil der operationellen Risiken.

Da die Informationstechnologie heute in vielen Fällen die Geschäftsprozesse der Banken vollständig determiniert, sind Risiken in der IT-Sicherheit aus Sicht der operationellen Risiken wohl die größten Risiken überhaupt, denen sich eine Bank ausgesetzt sieht.

 

ISO-Norm-kompatible IT-Security Konzepte

Die Lösung von Sicherheitsproblemen ist allerdings keine Frage der Branche oder der Unternehmensgröße. Auch kleineren Unternehmen außerhalb des Kreditsektors steht die Möglichkeit offen, ihre Unternehmensnetzwerke kostengünstig vor Angriffen von außen zu schützen, regelmäßige Sicherheitschecks durchführen und IT-Sicherheitsrichtlinien zu implementieren.

So hat z.B. die Firma eSe Security mit dem Produkt En.Gate – kurz für Environment Gate – eine Sicherheitslösung entwickelt, die im computergesteuerten Dialog mit dem Unternehmer/Geschäftsführer zunächst ein ISO 17999-konformes IT-Security-Konzept für das Unternehmen entwickelt. Aus diesem ISO-Norm-basierten IT-Security-Konzept erfolgt dann automatisch die Konfigurierung eines Gateways mit Firewall, Spamfilter, Forwarding & Intranet DNS, DHCP Server und Mail-Gateway. Außerdem generiert diese Lösung dann ein unternehmensspezifisches eLearning-Programm für die Mitarbeiter des Unternehmens mit dem Ziel, deren Sicherheitsbewusstsein zu heben und ihnen aktuelle Sicherheitsinformationen zur Verfügung zu stellen. Vor allem bei Streit- und Regressfällen kann dies von großer Bedeutung sein, da die ISO-Zertifizierung des Systems einen unabhängigen Nachweis über ein dem aktuellen Stand der Technik entsprechendes Sicherheitsmanagement darstellt. Die eSe IT-Security Lösung wird dabei von externen Partnern installiert, die auch die Beratung und den Service übernehmen. En.Gate Basic wird so finanziert, dass der gewerbliche Endkunde lediglich ab 49 € pro Monat bezahlt, je nach Anzahl der PC-Arbeitsplätze im LAN. eSe Security vertreibt seine IT-Sicherheitslösung auf mehr als 60 verschiedenen Märkten in aller Welt.

 

Wachstums- und Rentabilitätssteigerung

Nach den Erkenntnissen einer aktuellen Deloitte Sicherheitsstudie 2004 entstehen die besten Lösungen dann, wenn die Methoden und Sicherheitsnormen – nebst Sensibilisierung, Ausbildung, Schulung, Technologie und Strategie – in bewährte Geschäftssprozesse einfliessen. Unternehmen müssen für Sicherheit in einer offenen Umgebung sorgen, ohne mit der Unternehmensstrategie der Wachstums- und Rentabilitätssteigerung in Konflikt zu geraten.

 

Günter H. Hirschmann ist geschäftsführender Gesellschafter der eSe Security GmbH mit Sitz in Dortmund.

Risk Academy

Die Intensiv-Seminare der RiskAcademy® konzentrieren sich auf Methoden und Instrumente für evolutionäre und revolutionäre Wege im Risikomanagement.

Seminare ansehen
Newsletter

Der Newsletter RiskNEWS informiert über Entwicklungen im Risikomanagement, aktuelle Buchveröffentlichungen sowie Kongresse und Veranstaltungen.

jetzt anmelden
Lösungsanbieter

Sie suchen eine Softwarelösung oder einen Dienstleister rund um die Themen Risikomanagement, GRC, IKS oder ISMS?

Partner finden