IT-Sicherheit im deutschen Mittelstand – Zu viele Lösungen für eine Menge Probleme

Autor/Redakteur: Markus Westphal, Director Central Eastern Europe bei Wallix/gg

Nachdem bereits der Bundestag und die Deutsche Telekom Opfer von Cyberangriffen geworden sind, ist wohl jeder Organisation in Deutschland die veränderte Gefahrenlage bewusst geworden. Es ist keine Überraschung, dass der IT-Sicherheitsmarkt boomt – eine Studie zählt 954 Anbieter allein in Deutschland – die meisten mit mehreren IT-Sicherheitslösungen im Portfolio.

Der Markt ist riesig und Unternehmen werden mit einer Flut von Angeboten überschwemmt. Daher mangelt es an simplen, grundlegenden Konzepten. Besonders Mittelständler befinden sich in einer schwierigen Situation, da sie in der Regel nicht die nötigen personellen Ressourcen für umfassende IT-Sicherheitsteams haben. Trotzdem müssen auch sie Mechanismen etablieren, um Schutz und Compliance zu gewährleisten.

Gesicherte Firmen sind ein leichtes Opfer und werden von Cyberkriminellen gezielt gesucht und gefunden – denn man ist nie zu klein, um Opfer eines Angriffes zu werden. Daher stehen IT-Verantwortliche unter Zugzwang und müssen trotz Zeitdruck Lösungen finden, die sich in bestehende Sicherheitsarchitekturen integrieren lassen und die Anwender nicht überlasten.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt drei grundsätzliche Wege für den Aufbau einer Sicherheitsarchitektur:

• Grundlegende Sicherheitsmechanismen für alle Geschäftsprozesse und Unternehmensressourcen in einer Institution, um so bereits die größten Risiken zu minimieren. Detailliertere Schritte können später folgen – der Fokus liegt auf der Einbindung aller Bereiche in ein breitgefächertes Sicherheitskonzept.
• Die wichtigsten Sicherheits- und Schutzfunktionen: Ausgangspunkte sind hier die kritischsten Assets. Verglichen mit dem ersten Punkt liegt hier der Fokus mehr auf der Intensität als auf der Breite der Schutzmaßnahmen. Nicht alle Prozesse sind gleich wichtig und deshalb sollten flexible Sicherheitsmaßnahmen in Erwägung gezogen werden. Hochkritische Bereiche wie beispielsweise Administratorzugänge werden strenger geschützt als ausrangierte IT, die demnächst verschrottet werden soll.
• Für einige Branchen gibt der „BSI-Grundschutz“ präzisere Empfehlungen mit Standardmaßnahmen. Der BSI-Standard 100-2 enthält Details zum Schutz industrieller Steuerungssysteme (Industrial Control Systems, ICS).

IT-Sicherheit: Vom Kostenfaktor zum Business-Enabler

In vielen Organisationen wurden über die Jahre bereits grundlegende Sicherheitsmechanismen eingeführt. Allerdings beziehen die sich immer noch auf breitgestreute Kampagnenangriffe. Dabei versuchen die Angreifer nach dem gleichen Muster eine Vielzahl von Organisationen anzugreifen. Solche Attacken sind nicht sonderlich effizient, aber günstig. Sie bauen auf den Leichtsinn einiger Personen und haben eine relativ geringe Trefferquote.

Cyberbedrohungen sind aber deutlich intelligenter geworden und lassen sich leicht personalisieren. Dadurch steigen die Qualität und die Dauer der Attacken. Kriminelle bearbeiten ihre Opfer länger, um schrittweise Netzwerke zu kompromittieren und Sicherheitsmechanismen auszuhebeln. Gleichzeitig steigen sowohl Anzahl und als auch Heterogenität der Geräte. Durch BYOD, IoT, Cloud-Migration und andere Innovationen wurden neue Angriffsvektoren erschlossen. Um diese zu beheben, tendieren Unternehmen zur Anschaffung von weiteren IT-Sicherheitstools.

Das führt zu einer noch größeren Bedrohung: überlastete IT-Administratoren. Die Anzahl an Angriffen, Bedrohungen und Sicherheitstools steigt zusammen mit der Arbeitsbelastung: IT-Abteilungen verwenden immer mehr Zeit auf die Einführung und Anpassung von Sicherheitsinstrumenten und haben weniger Zeit für die eigentlichen Management-Aufgaben.

Die Toleranz der Mitarbeiter ist ebenfalls begrenzt: Eine Befragung von 400 IT-Administratoren zeigt, dass 74 Prozent des Personals in IT-Abteilungen durchaus in der Lage sind, Sicherheitsmaßnahmen ganz leicht zu umgehen. Erscheint eines der vielen Sicherheitsinstrumente lästig, wird es wahrscheinlich nicht eingesetzt. Nicht nur die Angestellten einer Organisation stellen ein Sicherheitsrisiko dar, auch externe Mitarbeiterinnen und Mitarbeiter sollten in ein Schutzkonzept miteinbezogen werden.