Mehr Sicherheit für den Mittelstand

Ein Blick auf die Unternehmenslandschaft in Deutschland macht deutlich, dass sehr viele kleine und mittelständische Unternehmen (KMU) aus Mangel an internem Know-how IT-Security-Lösungen auf Basis ihrer finanziellen Möglichkeiten und ihrem eigenen Sicherheitsbewusstsein heraus wählen. Geht es dabei um einen Sektor, der sich nicht primär mit IT beschäftigt, stellt diese hier oftmals nur ein Mittel zum Zweck dar, sodass man sich von der Minimallösung eine gute Resilienz gegenüber Cyberbedrohungen verspricht. Angesichts der angespannten Lage und des hohen Risikos, das von Hackern ausgeht, kann dies nicht genügen. Eine gute Lösungsstrategie, bestenfalls mit Unterstützung eines Managed Security Service Providers, kann einen Ausweg aus diesem Dilemma bieten.

„Cyberschäden bedrohen die deutsche Wirtschaft stärker als Naturkatastrophen oder Fachkräftemangel“, war erst vor kurzem im Handelsblatt zu lesen. Ein Blick auf das aktuelle „Risk Barometer“ der Allianz Commercial, einem Tochterunternehmen des Münchner Versicherers, zeigt, dass diese Aussage mehr als zutreffend ist. Demnach erleben Datenverluste und -missbrauch, Datenrechtsverletzungen, Datendiebstahl, Urheberrechtsverletzungen, Hackerangriffe und Betriebsunterbrechungen infolge von IT-Ausfällen derzeit (wieder einmal) ein unangenehmes Hoch. Für 44 Prozent der Umfrageteilnehmer sind Cybervorfälle das größte Risiko für ihr Geschäft. Schätzungen der Allianz zufolge belaufen sich die weltweiten Schäden, die allein auf Ransomware-Attacken zurückzuführen sind, bereits auf 265 Milliarden US-Dollar im Jahr. Doch obwohl die Zahlen alarmierend und die Konsequenzen ernst zu nehmen sind – auf den Ernstfall vorbereitet sind längst nicht alle Unternehmen. Oftmals mangelt es am Risikobewusstsein, denn gerade kleine Unternehmen bezweifeln, ernstlich in das Fadenkreuz der Hacker geraten zu können. Doch weit gefehlt: Einer Studie des Versicherers HDI zufolge haben es Angreifer verstärkt auf Kleinunternehmen abgesehen. So gaben 39 Prozent der Unternehmen, die über zehn bis 49 Mitarbeiter verfügen, an, bereits Ziel einer Cyberattacke gewesen zu sein. Ebenso wahr ist jedoch auch, dass vielen dieser Betriebe schlichtweg die personellen und finanziellen Mittel fehlen.

Mangelt es dem Mittelstand an einer angemessenen IT-Sicherheitskultur?

Unterster Standard in Sachen IT-Sicherheit ist eine Kombination aus Firewall und Anti-Malware-System, welches allerdings in den meisten Fällen nicht mit den aktuellen Entwicklungen Schritt halten kann. Bei der Absicherung von E-Mail-Konten setzen viele Unternehmen immer noch auf die vom Hersteller bereitgestellten Systemtools, während mobile Sicherheit kaum vorhanden ist und eine Perimeter-Firewall ab der dritten Generation an Bedrohungen genügen soll. 

Geht es um die Erarbeitung einer adäquaten IT-Sicherheitsstrategie, gilt es, die Gemengelage aus finanziellen Mitteln, Zeitaufwand und dem Bewusstsein für IT Security zu betrachten. Kleine Unternehmen, die keine dedizierte Person für die IT beschäftigen, sehen sich oftmals gezwungen, eine Lösung zu wählen, die ohne großen zeitlichen und finanziellen Aufwand zu installieren ist. Das Bewusstsein für IT Security ist hier vergleichsweise niedrig, sodass in der Regel eine Mischung aus Best to Integrate bzw. Best to Manage zum Einsatz kommt. Durch die Auslagerung an einen externen Spezialisten, wie einen Managed Security Services Provider (MSSP), stellt dies eine bezahl- und kalkulierbare Option dar, welche ein hohes Maß an Sicherheit und Kontrolle bereitstellt.

Betrachtet man den deutschen Mittelstand, findet man dort zwar dediziertes IT-Personal vor – allerdings ist dieses nicht immer ausschließlich für die IT Security zuständig. Dank der größeren Belegschaft ist hier meist eine Firewall im Einsatz, und auch die moderne Endpoint-Lösung genießt einen höheren Stellenwert. Hinzu kommen VPN-Clients, und mit dem höheren Bedarf an IT-Beratung findet in der Regel auch die Multi-Faktor-Authentifizierung Eingang in das IT Security-Portfolio. Ein im Vergleich zu den kleinen Unternehmen höheres Maß an Risiko- und Sicherheitsbewusstsein hat außerdem zur Folge, dass mehr Geldmittel zur Verfügung gestellt werden. Während sich in diesen Fällen ein Best to Integrate- bzw. Best to Manage-Ansatz weiterhin großer Beliebtheit erfreut, beginnen Unternehmen auch häufig damit, produktübergreifende Cybersecurity -Plattformen einzusetzen. 

Doch um in immer komplexer werdenden und verteilten Netzwerken ein möglichst hohes Sicherheitsniveau gewährleisten zu können, ist neben einer guten Visibilität der jeweiligen Infrastruktur auch ein sehr breites Fachwissen vonnöten. Denn am Ende geht es nicht mehr nur um die klassische Sicherheit von Netzwerken und Endgeräten, sondern auch um den Schutz der Daten, Applikationen und Cloud-Lösungen – und dies alles unter Betrachtung gesetzlicher Rahmenbedingungen, wie des IT-Sicherheitsgesetzes 2.0 und der nationalen Umsetzung NIS2.
 

Managed Security Services und hybride Lösungsmodelle als Ausweg

Wo immer weniger echte Security-Administratoren zum Einsatz kommen, steigt der Stellenwert von MSSP-Dienstleistern. Nicht nur verfügen sie über das notwendige Know-how, sodass sich die Mitarbeiter ihrer Kunden wieder auf ihr Kerngeschäft konzentrieren können; sie betrachten auch dedizierte Marktsegmente, um dort aufkommende Technologien als Early Adopters mitzutreiben. Dies kann der Fokus auf lokale Datacenter sein oder der Betrieb abseits von Public Clouds, rein on-premise. Neben der rein finanziellen Abwicklung (OPEX statt CAPEX) ist auch die höhere Qualität der Services aufgrund der Spezialisierung der MSSPs ein entscheidender Vorteil. Bei deren Services handelt es sich in vielen Fällen gerade nicht um Lösungen von der Stange, sondern solche, die in gewissem Maße an die individuellen Bedürfnisse der Kunden angepasst werden. Aufgrund ihrer Flexibilität im Hinblick auf Vertragslaufzeiten und Abrechnungsmodelle lassen sie ihren Kunden genügend Raum, um agil zu bleiben und sich auf veränderte Anforderungen einzustellen, wie etwa solche, die sich aus der Weiterentwicklung des Netzwerks oder der Migration von Workloads in die Cloud ergeben. 

Mit einem starken MSSP-Partner im Rücken sind Unternehmen jeder Größe somit in der Lage, ihr Cyberrisiko zu senken und sich gleichzeitig stärker auf ihre eigenen Kunden und deren Bedürfnisse zu fokussieren. Im Aufbau befindliche MSSP-Dienstleister suchen auch häufig den Rat ihrer Cyber Security Distribution. Zusammen mit den Experten werden hier Marktsegmente analysiert und entsprechende Kontakte zu Herstellern und Personen geknüpft, um den sicheren Geschäftsbetrieb ihrer Unternehmenskunden auch mit steigernder Bedrohungslage weiterhin garantieren zu können.