Firmenfachbeitrag 30.04.2018, 08:16 Uhr

Digitaler Einbruch: Wie sich mittelständische Unternehmen schützen können

Viren oder Trojaner, die Netzwerke angreifen und damit Unternehmen schädigen - die Attacken häufen sich und werden immer professioneller. Auch Schweizer Mittelstandsunternehmen sind beliebte Ziele. Sie sind oft ungenügend gerüstet und tun zu wenig für ihre digitale Sicherheit. Wie können sich diese Unternehmen mit limitierten Ressourcen vor Cyber-Angriffen schützen?
Ein «Security Operation Centre» und «Rent-a-CISO» können Unternehmen vor gefährlichen Cyberangriffen schützen
Die Digitalisierung und die damit verbundenen technischen Möglichkeiten, verschaffen Unternehmen bedeutende Wettbewerbsvorteile. Dabei werden Infrastrukturen, Prozesse und Daten mit dem Internet vernetzt. Dies erhöht jedoch auch das Risiko, Opfer eines Cyberangriffs zu werden. Diese erfolgen auf unterschiedlichste Art und Weise und ändern sich durch die laufende Professionalisierung der Angreifer und wachsende technische Möglichkeiten ständig. Phishing, Ransomware, Malware, DDoS, Datenabflüsse, Social Engineering sind die häufigsten Gefahren, die von vielen Unternehmen jedoch unterschätzt werden. Darüber noch den Überblick zu haben und stets auf dem neusten Stand zu sein, überfordert viele. Das kontinuierliche Funktionieren der IT ist dennoch eine Grundanforderung in vielen Betrieben. Ob gezielt oder zufällig, der Schaden eines Cyberangriffs kann ein Unternehmen empfindlich treffen oder gar dessen Existenz gefährden. Die Einführung von Sicherheitsstandards übersteigt oftmals die Ressourcen von mittelständischen Unternehmen. Mit einigen grundlegenden und einfachen Massnahmen können allerdings auch mittelständische Unternehmen bereits viel für ihre Sicherheit tun.

Bereits grundlegende Massnahmen verbessern die Sicherheit

Allgemein sollte jedes Unternehmen seine spezifischen Risiken identifizieren und die Sicherheits-Massnahmen entsprechend anpassen, sowohl in technischer wie auch organisatorischer Hinsicht. Die Geschäftsleitung muss die allgemeine Bedrohungslage regelmässig prüfen und entsprechende Aktivitäten zur Prävention, Detektion und Reaktion einleiten. Weitere grundlegende Massnahmen sind der physische Schutz, Netzwerksicherheit durch Firewalls und Unterteilung in Zonen, die Härtung und Aktualisierung von Systemen, Malware-Schutz, Datenverschlüsselung und konsequente Zugriffsverwaltung.

«Risiko» Mitarbeiter

Mit diesen grundlegenden Massnahmen kann ein gezielter Angriff zwar nicht in jedem Fall abgewehrt, aber das Risiko zumindest gesenkt werden. Dabei sind nicht nur technische Vorkehrungen wichtig: Auch die Mitarbeitenden müssen über den sicheren Gebrauch der IT-Mittel sensibilisiert werden, beispielsweise mit klaren Richtlinien für die Datennutzung oder mit regelmässigen Schulungen. Denn nur schon ein unbedachter Klick auf einen Link in einem E-Mail mit augenscheinlich vertrauenswürdigem Absender und schon kann sich die Tür für Betrug, Datendiebstahl und Sabotage öffnen.

Vertiefende und massgeschneiderte Lösungen für den Mittelstand

Um personelle und finanzielle Aufwände zu reduzieren, können auch externe Fachleute beauftragt werden und Unternehmen mit massgeschneiderten und vertiefenden Massnahmen gezielt unterstützen. Die Dienstleistungen setzen sich aus einzelnen Bausteinen zusammen und reichen bis zu Full Service-Lösungen:
  • Passende Sicherheitsvorgaben zum Umgang mit IT-Mitteln und Daten definieren
  • Pragmatische Schutzkonzepte für die kritischen Werte des Unternehmens entwickeln und implementieren
  • Aufgaben und Verantwortlichkeiten festlegen sowie Schulung der betroffenen Mitarbeitenden (Management, Fachapplikationsverantwortliche, Systemadministratoren)
  • Sensibilisieren der Benutzer und aufzeigen von korrektem Verhalten
  • Aufsetzen und Betreiben von Firewalls, Netzwerkzonen, Fernwartungsgateways, verschlüsselte Datenleitungen, Virenschutz und weitere technische Schutzeinrichtungen
  • Sichere Konfiguration von Servern, Clients und Anwendungssoftware sowie regelmässige Aktualisierung der Software (insbesondere Betriebssystem und Browser)
  • Regelmässige Überprüfung des Ist-Zustands der Systeme und zeitnahes Beurteilen und Initiieren von (Sofort-)Massnahmen bei neuen Schwachstellen oder Bedrohungen
  • Überwachung und Aufzeichnung von Daten zur Erkennung und Prüfung von verdächtigen Ereignissen
  • Notfallmanagement im Ereignisfall um den Schaden möglichst zu begrenzen (inkl. Vor-Ort-Support Team)
Oftmals übersteigt die Einführung eines zertifizierten Informationssicherheitsmanagements nach ISO 27001, die Ressourcen von mittelständischen Unternehmen. Dann kann ein Sicherheitscheck, welcher sich am ISO 27001-Standard orientiert, einen guten Überblick über die aktuelle Sicherheits-Lage der IT geben. Dieser ist in wenigen Tagen gemacht und kann als Basis für eine allfällige spätere Zertifizierung dienen.

Attraktive Lösung: «Mieten» von Sicherheits-Experten

Interessant und attraktiv kann auch der Bezug eines «Security Operation Centers» (SOC) Service oder das ‘mieten’ eines «Chief Information Security Officer» (CISO) sein. Diese Lösungen sind insbesondere bei Unternehmen mit 500 bis 2'000 Mitarbeitenden bereits erfolgreich im Einsatz und haben sich bewährt.
Das Security Operation Center überwacht zentral bestimmte IT-Ressourcen und Daten, sucht nach Anzeichen für Angriffe und steuert die Reaktion auf IT-Bedrohungen. Mit automatisierten Verfahren wird die Vielzahl der Sicherheitsmeldungen analysiert und die relevanten Meldungen für die zu schützenden IT-Systeme behandelt. Je nach Vereinbarung bespricht ein SOC dies zuerst mit dem Kunden, bevor die Abwehr beginnt oder das SOC leitet direkt den kompletten Prozess von der Erkennung über die Bewertung bis hin zur Abwehr der Attacken ein. SOC-Leistungen sind bei vielen IT-Dienstleistern als Services erhältlich.
Der «gemietete CISO» kann als Übergangslösung oder im längerfristigen Mandat unterstützen. Mögliche Tätigkeiten sind:
  • Entwickeln einer Sicherheitsstrategie
  • Aufbau eines Informationssicherheits-Managementsystem (ISMS)
  • Beurteilen von stetig ändernden Geschäftsprozessen und Technologien
  • Neue Regulatorien bewerten
  • Bewertung von Cyber-Gefahren und erarbeiten von Lösungen für Prävention, Detektion und Reaktion (sofern nicht durch SOC Service abgedeckt)
  • Verfassen von Stellungnahmen zur Wirksamkeit von aktuell implementierten Schutzkonzepten
  • Vertreten von firmenpolitischen Interessen gegenüber internen oder externen Stakeholdern
  • Dringende Risikoentscheide fällen
  • Führung von Spezialisten (bei Bedarf)
Wichtig für die Wahl des richtigen Partners ist, dass dieser die IT-Umgebung und die (Sicherheits-)Kultur des Unternehmens kennt und sich mit der Geschäftsleitung laufend zur Risikosituation austauscht. Der Partner wird so zur Anlaufstelle bei Fragen und Ereignissen und die Massnahmen können individuell und proaktiv auf das Unternehmen angepasst werden.
Der Autor
Michael Plüss ist Expert Consultant bei Avectris, einem IT Full Service Provider und Anbieter von sicheren Cloud-Lösungen. Der diplomierte Wirtschaftsinformatiker, Master in Information Security und ISO 27001 Lead Auditor ist an der Schnittstelle von Business und IT Security zuhause. Er verfügt über umfassende Fachkenntnisse im IT Security Management – vom IT Riskmanagement über das Definieren von Sicherheitsvorgaben und –anforderungen bis zur vollständigen Übernahme der «CISO»-Tätigkeiten (Rent-a-CISO).



Das könnte Sie auch interessieren