Stand der IT Sicherheit

Unternehmen unter 500 Mitarbeitern sind aktuell Ziel von Cyberangriffen durch kommerzielle Hacker. Der erforderliche Aufwand für den Hacker ist sehr gering, so dass die Rendite auch bei kleineren Lösegeldforderungen in einem recht guten Wert liegt. Für die betroffenen Unternehmen ist jedoch häufig die Konsequenz eines Hackerangriffs entweder die Insolvenz oder eine lang anhaltende wirtschaftliche Schwäche.  Selbst eine Lösegeldzahlung schützt das Opfer nicht vor weiteren Schäden.

Stand der IT Sicherheit ermitteln und verbessern

Daher empfiehlt es sich den Stand der eigenen IT Sicherheit zu ermitteln und nachhaltig zu verbessern. Folgende IT-Sicherheitsbereiche sollten überprüft werden:

  • Organisation und Sensibilisierung
  • Identitäts- und Berechtigungsmanagement
  • Datensicherung
  • Patch- und Änderungsmanagement
  • Schutz vor Schadprogrammen
  • IT-Systeme und Netzwerke

Wo intern Fachwissen fehlt, sollte die Geschäftsleitung nicht davor zurückschrecken externe IT Dienstleister zu beauftragen. So kommt das notwendige qualifizierte Fachpersonal ins Haus, um die komplexen Themen zu bearbeiten. Dabei liegt der Vorteil auf der Hand, dass man keine Lohnkosten hat für hochqualifiziertes Personal. Da die Experten dieser spezialisierten IT Unternehmen mehrere Kunden gleichzeitig betreuen, haben sie ein aktuelles Wissen zu den Schutzvorkehrungen gegen die derzeit laufenden Cyberangriffe.

CyberRisikoCheck nach DIN SPEC 27076?

Das BSI hat maßgeblich am CyberRisikoCheck nach DIN SPEC 27076 mitgearbeitet. Dabei gilt zu beachten, dass die Bezeichnung irreführend ist. Hier geht nicht um eine von der Internationalen Standards Organisation (ISO) genormten Spezifikation. Es gibt aktuell keine ISO 27076. Sie kann auch nicht als ISO Zertifikat ausgestellt werden. Diese spezielle deutsche Norm kann jedoch beim Beuth Verlag gegen Zahlung der Lizenzgebühr eingesehen werden.

Das “Cyber Risiko Check” ist vielmehr als ein Hilfsmittel zur schnellen Selbstkontrolle. Man erhält so ein realistisches Lagebild der eigenen IT Sicherheit. Dennoch ist es erforderlich das Cyber Sicherheitsexperten sich die tatsächliche technische Umsetzung im Unternehmen detailliert anschauen. Für die Cybersicherheit muss man aber als mittelständisches Unternehmen deutlich mehr tun.

Sicherheitszonen sind wichtig in einem ISMS nach ISO 27001

Warum ist IT-Sicherheit eine Schäche des Mittelstands?

Mittelständische Unternehmen haben einen starken Fokus auf einen Bereich in dem Sie eine extrem hohe Fachkompetenz haben. Sie sind spezialisiert auf den Maschinenbau oder auf die Herstellung extrem komplexer Komponenten, die in dem Endprodukt eines großen Herstellers von extremer Bedeutung sind. Dadurch sind diese Mittelständer in ihrer Region gut bekannt. Außerhalb ihrer Region können Sie aber keine neuen Fachkräfte anziehen. Sie haben nur geringe Markenbekanntheit und haben daher das Nachsehen bei Universitätsabsolventen in weit entfernten Regionen. Da man aber nicht nur frisch ausgebildete Informatiker braucht, ist es deutlich problematischer an die sehr erfahrenen Experten in Cybersicherheit zu gelangen. Die Gehälter sprengen zudem das Gehaltsniveau in den mittelständisch geprägten Betrieben.

Der Aufbau eines SOC ist zu teuer für Mittelständler

Die gestiegenen Cyberrisiken stellen mittelständische Unternehmer vor schier unlösbare Probleme. Fachpersonal ist kaum zu bezahlbaren Gehältern zu bekommen. IT Sicherheit ist nicht eine Kerndisziplin von produzierenden Betrieben in der Region. Mittelständler sind meist Familiengeführte Unternehmen, die über Generationen sich mit ihrer Region verbunden fühlen. Eine harmonische Zusammenarbeit ist auf ein viele Generation hinaus ausgelegt. Der schnelle Gewinn ist nicht das Erfolgsrezept des deutschen Mittelstands. Stabilität und Kontinuität haben die wichtigste Gruppe in Deutschlands Wirtschaft geprägt.

Damit beginnen aber die Probleme beim Versuch die Cybersicherheit aus eigener Kraft zu verbessern. Das fehlende aktuelle Fachwissen bremst jeden hoch motivierten Mitarbeiter. Häufig fehlt die Akzeptanz in der Geschäftsleistung, dass die erhebliche Ausgaben für Cybersicherheit Überlebensnotwendig sind. Zudem ist etwa der Aufbau eines Security Operation Center (SOC) für mittelständische Unternehmen viel zu aufwendig. Man benötigt im Durchschnitt mindestens 6 wenn nicht sogar 12 Mitarbeiter. Alle müssen entsprechend ausgebildet und angeleitet werden. So kann ein SOC bei den Personalkosten die übrigen Personalkosten des Kerngeschäftsüberschatten. Daher macht es mehr Sinn externe SOC Dienstleister mit der Überwachung der eigenen digitalen Risikozonen zu beauftragen. Ein SOC ist viel mehr als nur eine Firewall.

Ein ISMS mit Sicherheitszonen einführen

Um die Organisation besser zu schützen, sollte die Geschäftsleitung ein Projekt zur Einführung eines ISMS unterstützen. Dabei sollte ein Konzept für die physische Sicherheit erstellt werden. Darin werden Sicherheitszonen definiert. Ein ISO 27001 norm-konformes Management System besteht nicht aus einem einzigen Dokument, sondern aus einer Vielzahl an Verfahrensanweisungen, Politiken und Kontrollmechanismen.

Schwachstellen gefährden Unternehmen fortlaufend

Da jeden Tag neue Schwachstellen bekannt werden, ist das Schwachstellenmanagement für Unternehmen essentiell. Wer ein ISO 27001 Zertifikat benötigt, darf Schwachstellenmanagement nicht im ISMS vernachlässigen. Ein Informationssicherheitsrisiko kann die Existenz der Organisation bis in die Insolvenz treiben. Daher sind nachhaltige Unternehmen gefordert, ein ISMS zu betreiben und durch eine akkreditierte Zertifizierungsstelle auditieren zu lassen.

Ähnliche Artikel und weitere interessante Informationen