IT-Security im deutschen Mittelstand

Wird Sicherheit endlich bezahlbar?

08.01.2013
Von 


Simon Hülsbömer betreut als Senior Research Manager Studienprojekte in der Marktforschung von CIO, CSO und COMPUTERWOCHE. Zuvor entwickelte er Executive-Weiterbildungen und war rund zehn Jahre lang als (leitender) Redakteur tätig. Hier zeichnete er u.a. für die Themen IT-Sicherheit und Datenschutz verantwortlich.
Mit der richtigen Bemessung ihrer IT-Sicherheits-Budgets tun sich deutsche Mittelständler nach wie vor schwer. Cloud-Dienste und sich verändernde Gerätelandschaften markieren aber den Beginn einer Zeitenwende.
Das alte Dilemma: Nicht nur die IT-Systeme sollen bombensicher laufen, auch die geringen Security-Budgets sollen so viel wie eben möglich machen - sofern sie denn überhaupt vorhanden sind.
Das alte Dilemma: Nicht nur die IT-Systeme sollen bombensicher laufen, auch die geringen Security-Budgets sollen so viel wie eben möglich machen - sofern sie denn überhaupt vorhanden sind.
Foto: Sebastian Kaulitzki - Fotolia.com

Wie sollen Unternehmen wissen, welche Sicherheitsprobleme bei ihnen gerade akut sind? "Dem Mittelstand fehlen alle Tools, um irgendetwas mitzubekommen", konstatiert Michael Tullius vom Netzwerk-Spezialisten Arbor Networks. Dauerhaftes Monitoring des Datenverkehrs im Unternehmen, um Anomalien ausfindig zu machen und Sicherheitslücken sowie Angriffsvektoren aufzuspüren, bevor diese eine ernsthafte Bedrohung für firmeninterne Daten darstellen? Fehlanzeige! "Es stellt sich letzten Endes doch immer nur eine Frage: Wer bezahlt?" - Tullius weist auf die Kämpfe um Budgettöpfe hin, die schon so manche sinnvolle Investition in die IT-Sicherheit verhindert hätten.

Und dennoch: Seit knapp einem Jahr registrieren Anbieter wie Arbor, Security-Software-Marktführer Symantec oder Virtualisierungsspezialist Citrix Systems im deutschen Mittelstand eine gestiegene Nachfrage nach Sicherheitsprodukten. Ob das nur mit den in Krisenzeiten eingefrorenen Investitionsgeldern zusammenhängt? Oder doch mit der verstärkten medialen Aufmerksamkeit für große Datenabflüsse bei bekannten Konzernen, die den Verlust personenbezogener Daten ihrer Kunden und anderer Firmeninterna einräumen mussten?

Ab in die Cloud?

Lars Kroll sieht Cloud-Lösungen als möglichen Ansatzpunkt für günstigere IT-Sicherheit.
Lars Kroll sieht Cloud-Lösungen als möglichen Ansatzpunkt für günstigere IT-Sicherheit.
Foto: Symantec

Lars Kroll, Bereichsverantwortlicher Telco & Alliances bei Symantec, erklärt den Bedarf in erster Linie mit dem vermehrten Einsatz von Private-Cloud-Lösungen, die die Kunden im eigenen Rechenzentrum selbst oder als Service betreiben könnten: "Mittelständische Unternehmen wünschen sich zwar Sicherheit, der Betrieb soll aber nicht zu kompliziert sein." Die nichtöffentlichen Clouds ließen sich über das Internet von überall verwalten und skalieren und somit auch die Security-Infrastruktur auf einfachem und halbwegs bezahlbarem Weg in den Griff bekommen. Peter Goldbrunner, Leiter des deutschen Partnervertriebs bei Citrix Systems, pflichtet ihm bei: "Das Thema Cloud bewegt die deutschen Mittelständler vielleicht sogar stärker als die Konzerne."

Dennoch hat der Hype längst nicht überall eingeschlagen: 40 Prozent der deutschen Mittelständler können sich laut einer aktuellen ARIS-Umfrage im Auftrag von Telefonica O2 unter 500 IT-Verantwortlichen einen Cloud-Einsatz bislang nicht vorstellen. Viele täten sich nach wie vor schwer, "die alten Zöpfe abzuschneiden und solche neuen Security-Ansätze zu fahren", berichtet Kroll - Datenschutzbedenken, limitierte Budgets und kaum Mitarbeiter in diesem Bereich drückten auf die Experimentierfreude. Die Unternehmenslandschaft lasse sich nach wie vor in zwei Klassen einteilen: Zum einen seien da die Firmen, die auch weiter knallhart sparen müssten. Zum anderen gebe es jene, die bereit seien, punktuell in IT-Sicherheit zu investieren - und hier ganz besonders in Cloud-Dienste, weil diese langfristige Vertragslaufzeiten ausschlössen und flexibel einsetzbar seien.

Einzelne Anwendungen bedroht

In einem weiteren Punkt sind sich die Protagonisten aus dem Sicherheitsumfeld ebenfalls einig: Waren es vormals die zentralen Punkte am Eingang der Unternehmensnetze wie beispielsweise die Server im Rechenzentrum, die ein beliebtes Einfallstor für Schädlinge darstellten, hat sich die Gefahr zunehmend auf die Anwendungsebene verschoben. Nicht nur die klassische E-Mail trägt dazu bei, dass sich Malware heute bevorzugt über den Client ausbreitet und so langsam das gesamte Netz unter seine Kontrolle bringt. Gerade auch die Nutzung sozialer Netzwerke am Arbeitsplatz und die zunehmende Verbreitung mobiler (privater) Geräte - vornehmlich in den "höheren Etagen" - bergen neue Risiken.

"Applikationswelt und Netzwerkwelt arbeiten leider nicht immer zusammen", spricht Tullius das Problem an, das den deutschen Mittelständler hier fest im Griff hat. Beide Welten seien fast immer strikt voneinander getrennt und funktionierten vollkommen autark. Wie soll es da einen gemeinsamen Nenner für IT-Sicherheit geben? Peter Goldbrunner weiß Rat: "Mit Virtualisierung gewinnen die Unternehmen die Kontrolle zurück." Das bestätigt Robert Ehses, KMU-Verantwortlicher bei Siemens Enterprise Communications: "Virtualisierung ist eines der Top-Themen im deutschen Mittelstand."

IT-Abteilung als Dr. No?

Zumeist spielten jedoch nicht die Sicherheitsaspekte, sondern die Verbesserung der Arbeitsabläufe die erste Geige, wenn es um die Einführung virtualisierter Umgebungen geht - besonders auch im Zusammenhang mit dem Thema "Bring your own device". Das Management verschiedener Plattformen und Geräte soll so einfach und kostengünstig wie möglich geschehen - und "da stelle ich mir als Mittelständler keine drei Server auf, um alles abzusichern", erklärt Kroll. "Somit komme ich wieder zurück auf virtualisierte Ansätze und Cloud-Lösungen, um auch mobile Geräte sicher zu machen - die IT-Abteilung will schließlich nicht als Dr. No auftreten, die den Mitarbeitern alles untersagt", räumt der Symantec-Vertreter ein.

Es gibt einen akuten Anlass für derartige Bemühungen: Der momentane Wildwuchs in der Gerätelandschaft sorgt dafür, dass die Zahl der abgesicherten Smartphones und Notebooks im Unternehmen - also der Geräte, die den geltenden Compliance-Anforderungen genügten - in den vergangenen Monaten im Vergleich zum Jahr 2011 um vier Prozent zurückgegangen ist. Zu diesem Ergebnis kommt die Studie "IT-Sicherheitslage im Mittelstand 2012", die von der Industrieinitiative "Deutschland sicher im Netz" (DsiN) veröffentlicht worden ist. Die Erhebung basiert auf den Ergebnissen von rund 1400 "DsiN-Sicherheitschecks", mit denen sich deutsche Unternehmen per Online-Frageboben ein Bild von ihrer IT-Sicherheit machen können.

SAP-CIO Oliver Bussmann meint, dass die mobilen Gefahren noch unterschätzt werden.
SAP-CIO Oliver Bussmann meint, dass die mobilen Gefahren noch unterschätzt werden.
Foto: Joachim Wendler

Oliver Bussmann, CIO des Softwareriesen SAP und stellvertretender Vorsitzender der DsiN-Initiative, sieht zwei Gründe für diese Entwicklung: die steigende Zahl mobiler Geräte und die wachsende Vielfalt der eingesetzten Plattformen. "Lange hatten viele Angestellte einen Blackberry und das war's. Heute sind verschiedene Android- und Apple-Geräte dazugekommen." Diese Komplexität in den Griff zu bekommen, sei schwierig: "Vielen CIOs ist Mobile Device Management kein Begriff - sie wissen nicht einmal, welche Sicherheitssoftware es für mobile Geräte gibt", stellt Bussmann fest. Mit dieser Unwissenheit seien die IT-Manager aber nicht allein - auch viele Mitarbeiter nutzten ihre mobilen Geräte ohne jedes Security-Verständnis. "Es gibt einen Nachholbedarf beim Thema Sensibilisierung der Mitarbeiter für Compliance-Vorgaben", bemängelt der SAP-CIO. Die organisierte Verwaltung von Benutzern und Zugriffsrechten im mobilen Umfeld befindet sich noch in der Anfangsphase - die DsiN-Studie stellt aber zumindest fest, dass sich rund 60 Prozent der Sicherheitscheck-Teilnehmer derzeit um eine Compliance-Strategie bemühen.

Lieber effizient als sicher

Für die herrschenden Missverhältnisse tragen finanzieller Druck und die Übergewichtung verbesserter Arbeitsabläufe gegenüber der Sicherheit eine Mitschuld. Ehses führt das Beispiel eines Telefonanlagentausches ins Feld: Hier würde die Besorgnis über Sicherheitslücken gerade bei mittelständischen Unternehmen selten geäußert. Diese erwarteten einfach, dass die Voice-over-IP-Verbindungen sowie die Integrationen in beispielsweise Microsoft Office geprüft und sicher seien. Wenn ein KMU sich einmal entschlossen habe, die zehn Jahre alte Telefonanlage durch eine moderne Lösung zu ersetzen, werde das hohe Investment klassischerweise eher in die Features und die reibungslose Einbindung in bestehende Soft- und Hardware gesteckt, so Ehses.