02.08.2012
Sicherheit
Von: Stefan Schaffner

Kritische Punkte identifizieren

Mit Minimalbudget mehr Sicherheit

Trotz knappem Budget die Infrastruktur funktionsfähig zu halten und Sicherheitsvorfälle zu verhindern, stellt so manchen IT-Leiter im Mittelstand vor große Aufgaben.


Auch bei knappen Budgets und einer Priorisierung auf die Instandhaltung und den Betrieb ist es wichtig, die kritischen Punkte im Unternehmen zu identifizieren. Das bedeutet allerdings nicht, dass man eine komplexe Risikoanalyse für das ganze Unternehmen durchführen muss. Nur sollte bekannt sein, wo die tatsächliche Wertschöpfung erbracht wird bzw. welche Arbeitsschritte in welchen Abteilungen das Unternehmen vom Wettbewerb abgrenzen. Genau entlang dieser Prozesse gilt es, mögliche Risiken zu erkennen und die vorhandenen Schwachstellen zu entschärfen. Dies muss nicht immer in Investitionen in IT-Sicherheitstechnologie münden, denn oft reichen schon kleine Anpassungen im Arbeitsablauf, in der Organisation bzw. der Art der Kommunikation aus. In hart umkämpften Märkten sollten Vertrieb und Innendienst zum Beispiel ihre Angebote und Preisverhandlungen nicht „offen“ per elektronischer Post versenden – andererseits ist aber keine komplette E-Mail-Verschlüsselung notwendig: Ein Versand der Angebotsdokumente in verschlüsselten Zip-Archiven – und die notwendige organisatorische Richtlinie hierfür – kann nahezu kostenneutral umgesetzt werden.

Auslagerung als Chance?

Dennoch bleibt die Herausforderung, dass Sicherheit nicht punktuell betrachtet werden darf, sondern ein kontinuierliches Thema darstellt. Nicht zuletzt aus Kostengründen können Mittelständler oft keine Mitarbeiter einstellen, die sich ausschließlich dauerhaft und konsequent mit der Sicherheit auseinandersetzen. An dieser Stelle kann sich ein Anwenderunternehmen an externe Sicherheitsbeauftragte wenden und diese mit der Wahrnehmung von Sicherheitsaufgaben betrauen. Wichtig hierbei ist jedoch die Unterscheidung zwischen „zuständig“ und „verantwortlich/verpflichtet“.

Zwar können Geschäftsführer bzw. IT-Leiter einem Dienstleister die Zuständigkeit für die Sicherheitsaufgaben übertragen, die Verantwortung und Haftbarkeit verbleibt aber bei ihnen selbst. Um den Verantwortlichen die Möglichkeit zur Wahrnehmung ihrer Pflichten zu geben, ohne sie zeitlich zu sehr zu binden, bietet sich die Nutzung von IT-(Security-)Governance-Werkzeugen an. Deren Einbindung sollte wiederum für den Dienstleister obligatorisch sein, denn nur so werden die relevanten Daten auch erhoben und gepflegt.

Sicherheitsfunktionen integrieren

Desweiteren können Cloud-Services eine Chance für mehr Sicherheit in der Mittelstands-IT darstellen. Voraussetzung hierfür ist, dass die Anbieter dieser Services gefragte Sicherheitsfunktionen nicht als kostenpflichtige Extras, sondern als Inklusivleistungen anbieten. Cloud-Anbieter sollten genau die präventiven, lokalisierenden und übergreifenden Sicherheitsmaßnahmen als integralen Bestandteil ihres Services offerieren, die sich der Mittelstand oft nicht leisten kann: aktive Überwachung, Korrelation von Informationen und professioneller Auswertung sowie Nachverfolgung von Vorfällen inklusive einer lückenlosen Dokumentation.

Sind diese Aufgaben als echte Mehrwerte der Cloud-Dienste „inkludiert“, sollte es den IT-Verantwortlichen leichter fallen, Services in die große Wolke auszulagern. Stellt der Dienstleister dann regelmäßig nicht nur „Nutzungskennzahlen“, sondern auch Security-Reports zur Verfügung, ist das Vorgehen auch gegenüber dem Topmanagement leichter zu vertreten. Um die Kosten niedrig zu halten, sollte sich der Mittelstand über kostenfreie oder günstige Angebote informieren. Dabei bieten die Arbeitsgemeinschaft für Sicherheit in der Wirtschaft e.V. (www.asw-online.de) wie auch der Landesverfassungsschutz sowie Initiativen wie „Deutschland sicher im Netz“ (www.dsin.de) wertvolle Unterstützung bei der Selbsteinschätzung der Sicherheit oder der Analyse von Vorfällen, die etwa auf Spionage hinweisen. Auch das Bundesamt für Sicherheit in der Informationstechnik (www.bsi.bund.de) und dessen europäisches Pendant Enisa (www.enisa.europa.eu) stellen Leitfäden und frei verwendbare Vorlagen im Präventivbereich bereit. Zu diversen Fachthemen wie etwa Webbapplikationssicherheit finden sich frei zugängliche Informationen und Test-Frameworks im Internet (www.owasp.org oder „Skipfish“ von Google). Ohne ein Mindestmaß an interner Kompetenz und dediziertem Budget steht die Sicherheit in mittelständischen Unternehmen auf wackligen Beinen. Bedienen sich die Fachverantwortlichen der Kompetenz externer Dienstleister mit zukunftsorientierten Lösungs-ansätzen, wie beispielsweise der Vero Certus GmbH, können sie eigene Wissenslücken kompensieren und mittelfristig Kosten sparen. So ist auch mit begrenzten Mitteln ein angemessenes Sicherheitsniveau erreichbar. 

Checkliste

  • Mehr Sicherheit mit kleinem Budget
  • Angebote im Internet nutzen (Informationen, Leitfäden, Templates etc.)
  • Kritische Bereiche im Unternehmen identifizieren
  • Pragmatische Sicherheitslösungen für diese Bereiche erarbeiten
  • Externe Expertise einbinden
  • Services in die Cloud auslagern
  • Interne Kontrollmöglichkeiten erhalten

 

Quelle: Vero Certus

Bildquelle: © iStockphoto.com/gabyjalbert


Aktuelle Ausgabe

Titelinterview: RZ-Infrastruktur
mit Dr. Peter Meyer und Michael van Dülmen, Weiling GmbH

Cloud-Finanzbuchhaltung
Aufholjagd vonnöten?

Neue Wege des Arbeitens

Windows 8
Mit mehr Sicherheit besser - und flexibler

Das neue Office
Immer und überall produktiv

Internet Explorer
Der Webbrowser rückt in den Fokus

Top-Jobs auf IT-MITTELSTAND

Interview Dr. Peter Meyer (li.), Geschäftsführer der Weiling GmbH, und Michael van Dülmen, Leiter IT

Im Titelinterview erklären Dr. Peter Meyer (li.), Geschäftsführer der Weiling GmbH, und Michael van Dülmen, Leiter IT, warum sich der mittelständische Biogroßhändler dazu entschloss, die in die Jahre gekommenen Serverräume gegen eine modulare Lösung auszutauschen...mehr lesen »

IT Mittelstand Newsletter
Finanzbuchhaltung aus der Cloud

Datenskandale hin oder her – der Trend, Software in die Cloud zu verlagern, nimmt weiter zu. Hier scheint auch die Onlinebuchhaltung an Bedeutung zu gewinnen, da sie den Anwendern mehr Flexibilität und Kostentransparenz verspricht als Inhouse-Lösungen. Gleichzeitig sind entsprechende Cloud-Lösungen aber auch mit Vorsicht zu genießen...mehr lesen »