IT-Sicherheit im deutschen Mittelstand: unterschätzt und oftmals halbherzig angegangen!

Das Thema IT-Sicherheit ist sicherlich auch im deutschen Mittelstand angekommen. Gleichwohl
scheinen die mittelständischen Unternehmen (KMU) immer noch große Probleme mit den komplexen Themen der IT-Sicherheit und der Verschlüsselung und Sicherung von Daten zu haben, die über IT-Standardlösungen hinausgehen. Nahezu jedes kleine und mittelständische Unternehmen hat Firewalls und Virenschutzlösungen implementiert. Da jedoch zuletzt immer mehr Server von mittelständischen Unternehmen aufgrund von DDoS Angriffen zusammenbrechen, Erpressungs- und Verschlüsselungs-Trojaner wie Petya und Wanna Cry Firmennetzwerke befallen und lahmlegen oder auch perfide Phishing Methoden weiterhin erfolgreich sind, zeigt sich, dass das Thema Cyber Security im Mittelstand vielerorts nur halbherzig betrieben wird.

Das sind die größten Schwachstellen der IT-Systeme von KMU:

  • Unzureichende IT-Schutzsysteme und IT-Security Lösungen mit niedrigem Schutzniveau.
  • Unsichere Verfahren zur Authentifizierung wie die Ein-Faktor-Authentifizierung helfen Hackern, schnellen Zugang zu IT-Systemen und Firmendaten zu erhalten. Mehrstufige Verschlüsselungsverfahren, um Daten zu verschlüsseln, wie USB-Token oder zertifikatsbasierte Verfahren sind im Mittelstand weitgehend unbekannt.
  • Fehlendes Bewusstsein für die Gefahren von mobilen Endgeräten mit einer entsprechenden Integration des Mobile Themas in ein ganzheitliches IT-Sicherheitskonzept. Studien zufolge schützen rund 70 Prozent der mittelständischen Unternehmen ihre mobilen Endgeräte nicht angemessen. Damit werden geschäftlich genutzte Smartphones zum Einfallstor für den unbefugten Zugriff von Cyber Kriminellen auf Unternehmensdaten.
  • Mangelhaftes Bewusstsein für die Rolle der Mitarbeiter als schwächstes Glied der IT-Security-Kette (zum Beispiel der Gefahr des Social Engineering) und deren aktive Schulung und Einbindung in umfassende Sicherheitskonzepte.
  • Fehlendes proaktives Handeln mit Sicherheitskonzepten, die up-to-date sind, inklusive Security Audits, Penetrationstests, sowie fehlende entsprechende Notfall- und Reaktionspläne.

Mittelständler sind verunsichert und gelten als leichte Beute für Cyber Angreifer

Viele mittelständische Unternehmen nehmen das Thema IT-Security nach wie vor nicht ernst. Die Firmen fühlen sich darüber hinaus ob der immer wieder neu drohenden Gefahren überfordert oder glauben fälschlicherweise, dass sie kein Angriffsziel für Cyber Kriminelle darstellen. Was mittelständische Unternehmen unterschätzen: Es ist die ganz normale Geschäftstätigkeit und vor allem der oftmals mangelnde IT-Schutz der KMU, der die Angreifer besonders als „leichte Beute“ anlockt.

Während große Unternehmen und Konzerne sich große IT-Abteilungen leisten können, sind die personellen und finanziellen Ressourcen im Mittelstand begrenzt. Doch auch Mittelständler haben oftmals besonders wertvolle Daten, die verschlüsselt werden sollten – Kundendaten, Patentdaten oder auch Source Codes. Ohne die IT läuft auch im deutschen Mittelstand so gut wie nichts mehr. Ein Ausfall von IT-Systemen kostet schnell jede Menge Geld. Was KMU besonders irritiert, ist die immer stärkere Vernetzung und Komplexität der zu schützenden IT-Landschaften:

  • Unterschiedliche Betriebssysteme und Gerätetypen
  • Unterschiedlichste, zum Teil inkompatible IT-Schutzprogramme für unterschiedlichste IT-Komponenten
  • Unterschiedlichste Hersteller und Komponenten von Servern und Storages sowie Netzwerken für Router, WLAN usw.
  • Die zunehmende Vernetzung als „Brandherd für Cyber Kriminalität“: Flexible IT und Cloud-Lösungen sowie der Trend zur Virtualisierung, der IT-Trend zu BYOD („Bring your own device“, die zunehmende Nutzung von privaten Endgeräten im Unternehmen) sowie die zunehmende IoT (Internet-of-things)-Cyber Kriminalität. Gartner zufolge soll die Zahl der vernetzten Geräte bis 2020 weltweit von 8,4 Milliarden auf gut 20 Milliarden steigen.

Auch aus Sicht der IT-Dienstleister bleibt das Thema IT-Sicherheit das brandheiße Top Fokus Thema, das die deutschen mittelständischen Unternehmen im IT-Bereich am meisten beschäftigt und herausfordert. Dies zeigt der aktuelle Bitkom Mittelstandsbericht (vgl. Grafik).

Bitkom Mittelstandsbericht
IT-Sicherheit bleibt das wichtigste IT-Thema vor Cloud und ioT. Quelle: Bitkom, 2018.

IT Sicherheit für den Mittelstand: selber machen oder mit externer Hilfe?

Klar: Mittelständler können selbst das Zepter in die Hand nehmen. Sie können IT-Know-how aufbauen und ihre Daten wie auch IT-Systeme mit modernen Security Methoden schützen. Dafür benötigen sie ein enormes zeitliches Investment in IT-Wissen, die Klassifizierung der Daten und Anwendungen und des Schutzbedarfs, die Nutzung von Open Source Lösungen oder professionellen Sicherheitslösungen, die Definition von eindeutigen Schnittstellen, der Aufbau von Sicherheitsrichtlinien und -regeln sowie deren Implementierung bei den Mitarbeitern und fortlaufende Überwachung im Unternehmen. Nicht zu vergessen: IT-Sicherheitssysteme sollten mit Sicherheits-Updates und -Patches permanent proaktiv gepflegt werden.

Das Thema IT-Sicherheit und der Aufbau von Lösungen für mehr IT-Sicherheit im Mittelstand ist alles andere als trivial. Möchten Sie das Thema IT-Sicherheit als mittelständisches Unternehmen tatsächlich selbst in die Hand nehmen? Final Systems steht Ihnen gerne als Partner mit unseren professionellen Lösungen für IT-Sicherheit beim Aufbau von IT-Sicherheit beratend und operativ zur Seite.