Error: no file object

Mittelstand und Selbständige versus IT-Sicherheit

Das ist ein Kreuz mit der IT – PC‘s, Laptops, Services im Internet, das Internet selbst und die vielen kleinen Hochleistungsrechner in unseren Taschen. Das ist alles so toll und bequem. Man ist überall irgendwie erreichbar und die ganze Buchhaltung ist nicht mehr auf Papier, sondern komfortable im passenden Datei-Typ gespeichert, fertig zur kostenlosen Weitergabe an alle Beteiligten. Die Liste ließe sich endlos weiter fortsetzen.

Während die großen Unternehmen sich ganze Armaden an IT-Abteilungen mit den entsprechenden IT-Spezialisten leisten können, scheitert hier der Mittelstand und vor allem die ganzen Einzelunternehmer und Selbständige.
Es ist wirklich toll, wie sich die EDV seit 1970 bis heute zu einer so effizienten IT entwickelt hat. Man möchte es fast nicht glauben, aber die Astronauten von Apollo 11, der ersten Mondlandemission unter Neil Amstrong, kamen mit einem Bordcomputer - Apollo Guidance Computer (AGC) - aus, der modernen Smartphones gnadenlos unterlegen ist. Zum Vergleich: Der AGC hatte einen Arbeitsspeicher von 32.768 Bits beziehungsweise 4.096 Byte. Bei aktuellen iPhones sind derzeit 4 Gigabyte RAM üblich, das entspricht 34.359.738.368 Bits und damit etwas mehr als dem Millionenfachen des Apollo-Computers. Auch beim Festspeicher sind die Unterschiede phänomental. Der AGC konnte auf 72 Kilobyte ROM (Read Only Memory) zugreifen, was 589.824 Bits entspricht. Im Vergleich zu aktuellen Smartphones mit mittlerweile 512 Gigabyte oder sogar einem Terabyte internen Speicher ist das geradezu winzig. Zum Vergleich: 512 Gigabyte sind rund sieben Millionen mal mehr als die 72 Kilobyte des AGC.

Das nur so als kleiner informativer Einwurf zu dem, welchen Luxus und welche Leistungsrechner wir heute in der Tasche mit uns tragen.

Während unsere IT also immer leistungsfähiger bezüglich der eigentlichen Funktionen geworden ist, ist auch die Schattenseite stets immer mit gewachsen. Und strenggenommen sind die Akteure der Cyberattacken allen Anderen um Nasenlängen voraus. Wenn also eine Sicherheitslücke in einem System oder Programm entdeckt und geschlossen wurde, ist garantiert an anderer Stelle die nächste Lücke offen. Und vor dem Hintergrund, was der AGC geleistet hat – einen Flug zum Mond plus Landung und erfolgreichem Rückflug -, sollten wir uns bewusst sein was unsere IT-Geräte heute vermögen.

Am meisten klemmt es im Mittelstand und bei den Kleinen, wo IT-Sicherheit besser mit Standardeinstellungen respektive -Lösungen gleichgesetzt wird, weil das Budget nicht ausreicht. Das ist aber noch lange nicht alles. Sowohl bei Einzelunternehmen als auch beim Mittelstand sind es der Fachkräftemangel, der die IT-Sicherheit leiden lässt. Bei beiden Gruppierungen führt unsachgemäßer Umgang mit den Daten zu Sicherheitsproblemen. Das sind unter Anderem fehlende Backup-Konzepte, die Tendenz alle Daten in Clouds zu legen respektive ganze Applikationen in der Cloud zu nutzen. Gerade die Verlagerung von Daten und Aktivitäten in Clouds birgt ein immenses Sicherheitsrisiko, weil sich die Beteiligten in die Obhut von externen Rechenzentren begeben und keinen Einfluss mehr auf die Geschäftspolitik der jeweiligen Betreiber haben. Was geschieht mit meinen Daten dort, trotz verschlüsselter Anbindung an die Clouds? Was machen die Applikationen in der Cloud im Hintergrund sonst noch während der Verbindung zwischen meinem Arbeitsrechner und der Cloud?
Das Gleiche Szenario lässt sich im eMail-Verkehr, der die alte Briefpost nahezu ersetzt hat, weiter fortsetzen. Dieser Tage konnte ich einer Bekannten am eigenen Mailserver zeigen, was ein Administrator und jeder, der sich administrativen Zugang zu einem Mailserver verschafft, alles an Informationen aus den Mails holen kann. Bislang dachte meine Bekannte, nur sie könne ihren Mailverkehr auf ihrem Laptop lesen, sonst niemand. Man denke einmal jetzt an die vielen kostenlosen Webmailer oder auch die der großen ISP, wo zum Telefon- und Internetanschluss ein Mailaccount heute zur Grundausstattung gehört. Das sind ganz eklatante Sicherheitslücken in der jeweiligen IT, im Gegensatz zu eigenen Mailservern. Aber nicht Jeder muss gleich einen Mailserver besitzen, obwohl als Unternehmer ist das schon sinnvoll. Man kann auch den Mailverkehr über diese Webmailer und über diese Standard-Mailserver der ISP mit ganz einfachen Bordmitteln sicher machen: Mit Verschlüsselung der versendeten Inhalte. Und das geht letztendlich überall, auch ohne spezielle Mail-Software. Und die Mails sind plötzlich nur noch von Empfänger und Absender lesbar, so wie die alte Briefpost ebenfalls. Das können selbstverständlich auch die Smartphones.

Bei den Selbständigen respektive Einzelunternehmen treten gerne Sicherheitslücken in der eingesetzten IT-Infrastruktur und der Software auf. So kommen überdurchschnittlich Netzwerkkomponenten von der Stange zu Einsatz, aber im wahrsten Sinne des Wortes, denn hier siegt die Bequemlichkeit über Sicherheit. Die Defaulteinstellungen werden der schnellen Verfügbarkeit des Internetzugangs wegen respektive mangelnder Firewall- und Routerkenntnisse unverändert übernommen. Das Gleiche gilt für das aufgedruckte Administratorpasswort sowie die SSID-Namen und deren Passwörter. Alles Daten, die dem Massenprodukt zu liebe massenhaft verteilt werden, somit auch an die Angreifer, die nur im Internet/Darknet in Listen nachzuschauen brauchen.
Bei der Wahl der Software verhält es absolut nicht anders. Es wird das genommen, was die Mehrheit auch schon beim Kauf auf den Rechnern hatte und was man in der Ausbildung auch bereits irgendwie präsentiert bekam. Der einzige Unterschied zum Mittelstand besteht darin, dass man sich hier bereits vom Budget her vielleicht spezifische Branchensoftware leistet, die aber auch wieder daran krankt, dass sie auch Massensystemen, deren Bugfixes erst von erfahrenen IT-Administratoren beseitigt werden müssen, aufsetzt.

Aufgrund der Herangehensweise der Selbständigen und Einzelunternehmen bei der Beschaffung von IT-Infrastruktur fehlt es hier bereits von Anfang an bei Notfallkonzepten für die Ausfallsicherheit und die Datenredundanz, um die eigene Produktivität nicht aufs Spiel zu setzen. Die einzige Sicherheitsmaßnahme, die hier funktioniert ist die Installation eines Virenscanners, womit die einhellige Meinung besteht, dass dann die Systeme bereits „sicher“ seien. Aber Viren sind nur ein kleiner Anteil dessen, was die IT eines Unternehmens oder von Privatpersonen ausmacht. Und Virenscanner wirken nur, wenn sie immer aktuelle Daten enthalten und richtig installiert und konfiguriert sind.

Im Prinzip kratzen wir bislang nur an der Oberfläche der IT-Sicherheit. Kleine Unternehmen mit wenig Mitarbeitern betrifft die Schatten-IT zwar nicht so sehr wie Unternehmen mit vielen Mitarbeitern, aber auch bei ihnen ist die Schatten-IT eines von vielen Einfallstoren. Selbst in großen Unternehmen wissen die IT-Administratoren meistens nicht den Umfang der Schatten-IT im eigenen Verantwortungsbereich. Wir sprechen hier vom Gefahrenpotential der Social Media bei der Mitarbeiterkommunikation, Services wie Clouds und Software as Service oder selbstentwickelter Access-/Excel-Anwendungen und zunehmender Anwendungen der Business Intelligence. Hardware wie PCs, Drucker, Router aus dem Einzelhandel anstatt vom Experten fördern die Schatten-IT genauso die zahlreichen Smartphones und Tablets, die ohne Policies ins eigene Firmennetzwerk eingebunden sind und genutzt werden. Jeder Mitarbeiter hat seine eigenen Präferenzen des Smartphones-OS und der installierten Apps. Und was die Supportstrukturen betrifft, zählt in den meisten Unternehmen das Support-Modell „Kollege hilft Kollege“, eine Katastrophe für die gelebte IT-Sicherheit.

Mittlerweile kennt zumindest nahezu jedes Unternehmen einen Datenschutzbeauftragten. Aber weniger weil man mit einem solchen Experten seinem Unternehmen mehr an IT-Sicherheit anbietet, sondern weil es inzwischen sehr kostspielig werden kann, wenn man mit den Daten der eigenen Mitarbeiter und aller Kunden nicht richtig umgeht, in Sinne unserer Rechtsprechung. Leider klemmt es immer noch bei der Notwendigkeit eines IT-Sicherheitsbeauftragten für jedes Unternehmen. Und dabei richtet mangelnde IT-Sicherheit bereits mindestens genauso viel, wenn nicht sogar mehr Schaden an, wie die Nichteinhaltung des Datenschutzes. Ohnehin, wer sich um seine IT-Sicherheit aktiv bemüht, der ist auch im Datenschutz mit vorne dabei, ist der Datenschutz ein Teilgebiet der IT-Sicherheit.

Status-Check wird auch für kleinere Unternehmen und KMUs notwendig

Drei von vier Unternehmen mit 100 bis 500 Mitarbeitern waren nach Angaben des Branchenverbandes Bitkom in den letzten Jahren von IT-Sicherheitsvorfällen betroffen. Während sich Großunternehmen eigene Abteilungen für IT-Sicherheit leisten, sind die IT-Teams kleinerer und mittlerer Unternehmen in der Regel mit der Aufrechterhaltung der Betriebsfähigkeit ihrer Infrastruktur vollkommen ausgelastet. Dabei gibt es fast täglich neue Meldungen über erfolgreiche Angriffe – Ransomware, Trojaner und entdeckte Sicherheitslücken.

Die IT-Sicherheit in mittelständischen und kleinen Unternehmen zu verbessern, ist kein einfacher Prozess. Doch wie kann sich ein solches Unternehmen umfassend absichern? Ein klassischer Antivirenschutz reicht alleine schon lange nicht mehr aus. Als erster Schritt bietet sich ein Security-Assessment an. Mit dieser Dienstleistung bekommen Unternehmen einen guten und kosteneffizienten Überblick über mögliche Schwachstellen in der eigenen IT. Ein solcher Status-Check steht in aller Regel am Anfang einer Beschäftigung mit dem komplexen Thema IT-Security. Im Unterschied zu einem vollumfänglichen Pentest ist ein Status-Check auch für kleine und mittlere Unternehmen leistbar und die Ergebnisse können sinnvoll genutzt werden. Eine Überprüfung der eigenen IT führt im Unternehmen idealerweise dazu, dass auch Policies für Passwörter und andere sicherheitsrelevante Prozesse auf den Prüfstand gestellt oder überhaupt erst definiert werden. Denn kaum ein professioneller Angreifer setzt nicht auf diese Angriffsvektoren.

Awareness campaigns für Mitarbeiter

Eine entscheidende Rolle übernehmen die Mitarbeiter, wenn es darum geht einen Cyberangriff abzuwehren. Deshalb sind KMUs aufgrund des geringeren Technik-Einsatzes ganz besonders auf die aktive Awareness ihrer Mitarbeiter angewiesen. So wird das regelmäßiges Training zu Themen der IT-Security genauso selbstverständlich wie Trainingeinheiten zum Brandschutz oder zur Ersten Hilfe.

Vorsorge für den Worst Case

Generell existieren für KMUs und Einzelunternehmen die gleichen Empfehlungen wie für größere Unternehmen:
Die Unternehmen sollten sich auf einen IT-Sicherheitsvorfall genauso vorbereiten wie auf andere kritische Ereignisse. Worst Cases in der IT sollten präventiv nach den Grundsätzen des Business Continuity Management (BCM) untersucht werden. Die maximal tolerierbare Ausfallzeit (MTA) für kritische Systeme sollte bekannt sein. Ebenso sollten alle notwendigen Daten, wie ein Netzplan oder Kontaktadressen, auch ohne die IT-Infrastruktur des Unternehmens jederzeit zur Verfügung stehen. Eine Minimallösung zur Aufrechterhaltung der Kommunikation, zum Beispiel über Mobilfunk oder eine separate DSL-Lösung, sollte vorbereitet sein. Zum Ausgleich der KMU-/Selbständige- typischen Schwäche in der Vorfallbewältigung ist ein Abschluss von Incident Response Dienstleistungsvereinbarungen mit kompetenten Partnern zu anzuraten. Diese sollten bereits bei den präventiven Maßnahmen einbezogen sein.

Der Apollo Guidance Computer (AGC) hätte heute exakt dieselben Probleme wie seine großen leistungsfähigeren Geschwister. Nur die haben heute mit der weltumspannenden Vernetzung aller Geräte und Teilnehmer zu kämpfen.