02.08.2012
Sicherheit
Von: Stefan Schaffner

Kritische Punkte identifizieren

Mit Minimalbudget mehr Sicherheit

Trotz knappem Budget die Infrastruktur funktionsfähig zu halten und Sicherheitsvorfälle zu verhindern, stellt so manchen IT-Leiter im Mittelstand vor große Aufgaben.


Auch bei knappen Budgets und einer Priorisierung auf die Instandhaltung und den Betrieb ist es wichtig, die kritischen Punkte im Unternehmen zu identifizieren. Das bedeutet allerdings nicht, dass man eine komplexe Risikoanalyse für das ganze Unternehmen durchführen muss. Nur sollte bekannt sein, wo die tatsächliche Wertschöpfung erbracht wird bzw. welche Arbeitsschritte in welchen Abteilungen das Unternehmen vom Wettbewerb abgrenzen. Genau entlang dieser Prozesse gilt es, mögliche Risiken zu erkennen und die vorhandenen Schwachstellen zu entschärfen. Dies muss nicht immer in Investitionen in IT-Sicherheitstechnologie münden, denn oft reichen schon kleine Anpassungen im Arbeitsablauf, in der Organisation bzw. der Art der Kommunikation aus. In hart umkämpften Märkten sollten Vertrieb und Innendienst zum Beispiel ihre Angebote und Preisverhandlungen nicht „offen“ per elektronischer Post versenden – andererseits ist aber keine komplette E-Mail-Verschlüsselung notwendig: Ein Versand der Angebotsdokumente in verschlüsselten Zip-Archiven – und die notwendige organisatorische Richtlinie hierfür – kann nahezu kostenneutral umgesetzt werden.

Auslagerung als Chance?

Dennoch bleibt die Herausforderung, dass Sicherheit nicht punktuell betrachtet werden darf, sondern ein kontinuierliches Thema darstellt. Nicht zuletzt aus Kostengründen können Mittelständler oft keine Mitarbeiter einstellen, die sich ausschließlich dauerhaft und konsequent mit der Sicherheit auseinandersetzen. An dieser Stelle kann sich ein Anwenderunternehmen an externe Sicherheitsbeauftragte wenden und diese mit der Wahrnehmung von Sicherheitsaufgaben betrauen. Wichtig hierbei ist jedoch die Unterscheidung zwischen „zuständig“ und „verantwortlich/verpflichtet“.

Zwar können Geschäftsführer bzw. IT-Leiter einem Dienstleister die Zuständigkeit für die Sicherheitsaufgaben übertragen, die Verantwortung und Haftbarkeit verbleibt aber bei ihnen selbst. Um den Verantwortlichen die Möglichkeit zur Wahrnehmung ihrer Pflichten zu geben, ohne sie zeitlich zu sehr zu binden, bietet sich die Nutzung von IT-(Security-)Governance-Werkzeugen an. Deren Einbindung sollte wiederum für den Dienstleister obligatorisch sein, denn nur so werden die relevanten Daten auch erhoben und gepflegt.

Sicherheitsfunktionen integrieren

Desweiteren können Cloud-Services eine Chance für mehr Sicherheit in der Mittelstands-IT darstellen. Voraussetzung hierfür ist, dass die Anbieter dieser Services gefragte Sicherheitsfunktionen nicht als kostenpflichtige Extras, sondern als Inklusivleistungen anbieten. Cloud-Anbieter sollten genau die präventiven, lokalisierenden und übergreifenden Sicherheitsmaßnahmen als integralen Bestandteil ihres Services offerieren, die sich der Mittelstand oft nicht leisten kann: aktive Überwachung, Korrelation von Informationen und professioneller Auswertung sowie Nachverfolgung von Vorfällen inklusive einer lückenlosen Dokumentation.

Sind diese Aufgaben als echte Mehrwerte der Cloud-Dienste „inkludiert“, sollte es den IT-Verantwortlichen leichter fallen, Services in die große Wolke auszulagern. Stellt der Dienstleister dann regelmäßig nicht nur „Nutzungskennzahlen“, sondern auch Security-Reports zur Verfügung, ist das Vorgehen auch gegenüber dem Topmanagement leichter zu vertreten. Um die Kosten niedrig zu halten, sollte sich der Mittelstand über kostenfreie oder günstige Angebote informieren. Dabei bieten die Arbeitsgemeinschaft für Sicherheit in der Wirtschaft e.V. (www.asw-online.de) wie auch der Landesverfassungsschutz sowie Initiativen wie „Deutschland sicher im Netz“ (www.dsin.de) wertvolle Unterstützung bei der Selbsteinschätzung der Sicherheit oder der Analyse von Vorfällen, die etwa auf Spionage hinweisen. Auch das Bundesamt für Sicherheit in der Informationstechnik (www.bsi.bund.de) und dessen europäisches Pendant Enisa (www.enisa.europa.eu) stellen Leitfäden und frei verwendbare Vorlagen im Präventivbereich bereit. Zu diversen Fachthemen wie etwa Webbapplikationssicherheit finden sich frei zugängliche Informationen und Test-Frameworks im Internet (www.owasp.org oder „Skipfish“ von Google). Ohne ein Mindestmaß an interner Kompetenz und dediziertem Budget steht die Sicherheit in mittelständischen Unternehmen auf wackligen Beinen. Bedienen sich die Fachverantwortlichen der Kompetenz externer Dienstleister mit zukunftsorientierten Lösungs-ansätzen, wie beispielsweise der Vero Certus GmbH, können sie eigene Wissenslücken kompensieren und mittelfristig Kosten sparen. So ist auch mit begrenzten Mitteln ein angemessenes Sicherheitsniveau erreichbar. 

Checkliste

  • Mehr Sicherheit mit kleinem Budget
  • Angebote im Internet nutzen (Informationen, Leitfäden, Templates etc.)
  • Kritische Bereiche im Unternehmen identifizieren
  • Pragmatische Sicherheitslösungen für diese Bereiche erarbeiten
  • Externe Expertise einbinden
  • Services in die Cloud auslagern
  • Interne Kontrollmöglichkeiten erhalten

 

Quelle: Vero Certus

Bildquelle: © iStockphoto.com/gabyjalbert


Aktuelle Ausgabe

Titelinterview: IT-Outsourcing
mit Marc Neuschl und Thorsten Weber, Deutsche See GmbH

Kostenvergleich von Cloud-Lösungen
Was kosten Cloud-Services?

CRM-Software
Customer Experience Management für den Mittelstand

Neue Wege des Arbeitens

Windows 8
Mit mehr Sicherheit besser - und flexibler

Das neue Office
Immer und überall produktiv

Internet Explorer
Der Webbrowser rückt in den Fokus

Interview mit Marc Neuschl, IT-Verantwortlicher bei der Fischmanufaktur Deutsche See, und IT-Projektleiter Thorsten Weber

Im Gespräch mit IT-MITTELSTAND erläutern Marc Neuschl, IT-Verantwortlicher bei der Fischmanufaktur Deutsche See, und IT-Projektleiter Thorsten Weber, warum man bereits seit über zwölf Jahren auf IT-Outsourcing setzt und mit welchem Aufwand im vergangenen Jahr der Wechsel vom alten zum neuen Servicepartner verbunden war...mehr lesen »

IT Mittelstand Newsletter
Cloud Computing: Was kosten Cloud-Services?

Günstige und flexible Services aus der Cloud für standardisierte IT-Prozesse sind verlockend. Mittelständische Unternehmen sollten potentielle Cloud-Lösungen allerdings genau kalkulieren und Preise vergleichen...mehr lesen »