Die Erkenntnis, dass Sicherheit einem gewissen Standard genügen muss, ist mittlerweile etabliert. Zugleich wächst damit aber auch die Erkenntnis, dass gerade vielen Mittelstandsbetrieben die Aufgabe „IT-Sicherheit“ über den Kopf zu wachsen beginnt.
Dr. Tilman Frosch und Michael Zimmer von G DATA Advanced Analytics haben hierzu in einer Expertenrunde auf der SecIT in Hannover ihre Sichtweise der Entwicklung dargelegt. „Mittelständische Unternehmen sind in der Regel nicht in der Lage, sowohl qualitativ als auch quantitativ hinreichende Personalressourcen für die IT Sicherheit vorzuhalten“, erklärt Michael Zimmer, Geschäftsführer bei G DATA Advanced Analytics. „Will man auf erhöhten Schutzbedarf mit Neueinstellungen reagieren, steigen die Kosten der IT-Sicherheit jedoch schnell in Bereiche, die unter betriebswirtschaftlichen Gesichtspunkten nicht mehr gerechtfertigt werden können“.
Sicherheit als Dienstleistung
„IT“ und „IT-Sicherheit“ müssen daher getrennt voneinander betrachtet werden. Geht es um Sicherheitsfragen, sind Spezialisten gefragt. Insgesamt lautet hier die Empfehlung für Betriebe, eine Beziehung mit einem Dienstleister aufzubauen, der auf genau diesen Bereich spezialisiert ist. Zimmer dazu: „Unternehmen werden mittel- bis langfristig auf externe Dienstleistungen angewiesen sein. Dazu müssen sie ihren Schutzbedarf analysieren und entsprechende Partnerschaften eingehen“
Ein kompetenter Partner kann eine lokale IT-Abteilung bei der Entwicklung eines Sicherungskonzeptes wirkungsvoll unterstützen und die Umsetzung begleiten. Sollte einmal der Notfall eintreten, so kann ein qualifizierter Dienstleister einem Betrieb ebenfalls mit Rat und Tat zur Seite stehen und dabei auch die Aufgaben erfüllen, für die sich die Anstellung eines eigenen Experten nicht rentiert.
Fehlgeleitetes Problembewusstsein
Die Probleme lägen gerade im Mittelstand deutlich anders als etwa bei Großkonzernen, wie Tilman Frosch darlegt: „Die Früchte hängen für Angreifer oft viel zu tief – dabei ist es gar nicht schwer, die Probleme zu identifizieren“. Zudem mache man sich bisweilen über Szenarien Gedanken, die im konkreten Fall überhaupt nicht anwendbar sind. So lange jemand, der einem Unternehmen Schaden zufügen will, dies ohne großen Aufwand tun kann, dann wird er diesen Aufwand auch nicht betreiben. „Das Problem sind nicht die hochspezialisierten und –qualifizierten Angreifer, die in den Medien allzu oft als Schreckgespenst herhalten müssen“, erläutert Tilman Frosch. „Diese machen bestenfalls 1% aller Angriffe auf Unternehmen aus. Die meisten Betriebe müssen sich mit viel Einfacherem, aber deshalb nicht weniger Wichtigem befassen.“.
Oftmals werden Netzwerke nur deshalb kompromittiert, weil Angreifer es viel zu einfach haben.
Diese Messlatte höher zu legen ist eine Aufgabe, in der Dienstleister wie G DATA Advanced Analytics mit Betrieben kooperieren kann. Liegt die Messlatte hoch genug, hat dies oft schon eine abschreckende Wirkung auf potenzielle Angreifer.
