KMU setzen im Schnitt zwei von drei Maßnahmen des IT-Grundschutzes um. Allerdings: Prozesse zum Sicherheits-Management sind oft nicht aufeinander abgestimmt.
Nur in jedem zweiten KMU gibt es einen Sicherheitsverantwortlichen. Foto: fotolia.com/Gina Sanders
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine Studie zur IT-Sicherheit in kleinen und mittelgroßen Unternehmen (KMU) veröffentlicht. Ziel der Studie war, den Ist-Zustand des IT-Sicherheits- und Krisenmanagements sowie der Sicherheit kritischer Infrastrukturen in KMUs zu ermitteln. Grundsätzlich sind die kleinen und mittleren Unternehmen im Bereich IT-Sicherheit geeignet aufgestellt, heißt es in den Studienergebnissen. Die Studienautoren fragten in Anlehnung an den IT-Grundschutz Sicherheitsmaßnahmen ab und fanden heraus, dass in den Unternehmen rund zwei Drittel dieser Maßnahmen umgesetzt werden.
In einigen Bereichen gibt es sogar überdurchschnittlich viele Sicherheitsmaßnahmen, heißt es in der Studie. Dazu gehören die Bereiche Datensicherung, Risikobewertung der Geschäftsprozesse, Aktualität der Informationen zur Bedrohungslage, zu Schwachstellen und Sicherheitsupdates sowie zur Absicherung der Netzwerke.
In anderen Bereichen sprechen die Studienautoren von einem erheblichen Nachholbedarf an Sicherheitsmaßnahmen. Diese Defizite betreffen insbesondere den Bereich der geschäftskritischen IT-Sicherheitsprozesse. Explizit genannt werden hier der Umgang mit Sicherheitsvorfällen, das Notfallmanagement und die Bewertung der Gefahrenbereiche.
Die Studienautoren bemängeln darüber hinaus, dass sich bei einer Gesamtbetrachtung der IT-Sicherheitsmanagementprozesse zeigt, dass zwar Prozesse existieren, diese aber nicht aufeinander abgestimmt sind. Zum Teil fehle in den befragten Unternehmen das Bewusstsein für einen Prozess als Arbeitsgrundlage, heißt es in der Studie. Werden Prozesse angepasst, stehe dahinter häufig kein Konzept, sondern das Ergebnis aus Versuch und Irrtum. Das sei insbesondere im Bereich der Vorbeugung von Sicherheitsvorfällen und im Notfallmanagement zu erkennen.
Jedes zweite KMU hat Sicherheitsverantwortlichen
Einerseits viele Rettungsringe, andererseits gar kein Rettungsring: Die Sicherheitsmaßnahmen sind äußerst unterschiedlich ausgeprägt. Foto: fotolia.com/Andrea Danti
Auch personell sieht das BSI Nachholbedarf und beobachtet Spannungsfelder in der Aufgabenverteilung. Ein Sicherheitsverantwortlicher existiert nur in jedem zweiten Unternehmen, das an der Studie teilgenommen hat. Allerdings erhält nur knapp ein Drittel der Sicherheitsbeauftragten ausreichend Ressourcen für die Durchführung der Tätigkeiten. In Unternehmen, die keinen Sicherheitsverantwortlichen benennen, übernimmt üblicherweise der CIO diese Aufgabe.
Auch einen erhöhten Abstimmungsbedarf zwischen der Geschäftsführung und dem CIO sehen die Studienautoren. Beide Seiten wurden für die Studie gebeten, die IT-Sicherheitsmanagementprozesse im Unternehmen zu bewerten. Dabei fiel auf, dass die CIOs die Prozesse im Vergleich zur Geschäftsführung tendenziell schlechter einstufen.
Die Studienautoren empfehlen KMUs, die erforderlichen Schutzmaßnahmen umzusetzen und die zugehörigen IT-Sicherheitsmanagementprozesse zu etablieren und zu standardisieren. Da eine sofortige Umsetzung aller Maßnahmen KMUs vermutlich an ihre personellen Grenzen bringen würde, sollten die notwendigen Maßnahmen sukzessive umgesetzt werden.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die Studie zur IT-Sicherheit in kleinen und mittelgroßen Unternehmen (KMU) veröffentlicht. An der Studie waren 30 kleine und mittlere Unternehmen aus den Branchen produzierendes Gewerbe, Handel und Dienstleistung beteiligt. Die Datenerhebung erfolgte in Form von Interviews vor Ort sowohl mit der IT-Leitung als auch der Geschäftsleitung.
Die größten Security-Sünden
Security-Sünde Nr.1 Portable Geräte werden allzu häufig vernachlässig. Leider kommen Lösungen zur Kontrolle dieser Endgeräte, wie die hier gezeigte Möglichkeit, Berechtigungen einzuschränken, immer noch viel zu selten zum Einsatz. (Quelle: DeviceLock).
Auch das fällt noch unter den großen Sicherheitsirrtum, dass sich alle Daten einfach im Rechenzentrum isolieren lassen Die wenigsten Anwender verwenden auf ihren Smart-Phones eine Sicherheitslösung, die Daten auf diesem Gerät schützen könnte. (Quelle: Bär/Schlede)
Das eindrucksvollste Beispiel für nicht kontrollierte Wechselmedien/USB-Sticks Die Verbreitung des Stuxnet-Wurms im Jahr 2010, hier in der geografischen Verteilung, wie sich das Malware Protection Center von Microsoft aufzeichnete. (Quelle: Microsoft Threat Research & Respond Blog).
Ein großer Irrtum bei den Sicherheitsmaßnahmen – die zweite große Security-Sünde Mitarbeiter kennen das Risiko und verhalten sich entsprechend: Eine repräsentative Emnid-Studio im Auftrag von Symnatec zeigt, dass beispielsweise viele Mitarbeiter auch im Urlaub auf ihre Firmen-Mail via Mobil-Phone zugreifen, mit allen damit verbundenen Risiken (Quelle: Emnid/Symantec).
Die sozialen Netzwerke und die Sicherheit Security-Sünde Nr. 3 in der täglichen Praxis. Kaum ein Anwender und nur wenige Administratoren befassen sich ernsthaft mit den Sicherheitsproblemen der Social Networks oder setzen wie hier, entsprechende Schutzlösungen ein (Quelle: Bär/Schlede).
Die Security-Sünden und die sozialen Medien Kontrollieren wirklich alle Mitarbeiter, welchen Anwendungen sie Zugriff zu ihren dienstlich genutzten Twitter-Accounts gewähren oder kann ein Administrator darauf überhaupt einen Einfluss haben? (Quelle: Bär/Schlede)
Neue Medien und neue Netze bedeuten neue Herausforderungen Durch die Einführung von Google+ stellt sich für viele Administratoren in Hinblick auf die Sicherheit die Frage, wie sollen sie damit umgehen – ein Sperren der Domäne „google.de“ oder „google.com“ dürfte eher kontraproduktiv sein. (Quelle Bär/Schlede).
Hier kann nur Schulung der Anwender (Security-Sünde Nr. 3) helfen, eine Gefährdung zu erkennen und zu vermeiden Eine verkürzte URL führt den Nutzer auf eine Malware-Seite, obwohl er meint, sich auf einer Seite seiner Bank zu befinden. (Quelle: Symantec Intelligence Report July 2011).
Eine der verbreiterten Formen des „Social Engineering“ ist bereits in den Betreff-Zeilen von Spam-Nachrichten zu finden Die Nutzer werden direkt und persönlich angesprochen. Auch hier kann Aufklärung und Schulung helfen, die Anwender von Schaden zu bewahren. (Quelle: Symantec Intelligence Report July 2011)
Warum Antivirus-Software und Firewall definitiv nicht genügen können Diese Grafik zeigt sehr anschaulich, wie der Anteil an Web-basierter Schadsoftware beziehungsweise Malware stetig steigt – auch hier können viele Probleme durch aufmerksame und geschulte Anwender minimiert werden. (Quelle: Symantec Intelligence Report July 2011)
Welche Anwendung darf im Firmennetz welche Verbindung aufbauen und vor allen Dingen auch Daten übertragen? Eine Lösung wie die gezeigte Software von DeviceLock stellt den Systemverwaltern dafür fein granulierte Kontrollmöglichkeiten zur Verfügung (Quelle: DeviceLock).
Security-Sünde Nr.5 Vielfach übersehen Unternehmen und die verantwortlichen IT-Fachleute, dass Sicherheit nur im ganzheitlichen Ansatz wirklich funktionieren kann: Dazu gehört neben so „normalen Dingen“ wie Patch- und Update-Management doch auch die Überwachung der Drucker – in den heutigen vernetzten Zeiten wichtiger denn je… (Quelle: Devicelock).
Dieser Artikel basiert auf einem Beitrag unserer Schwesterpublikation CIO. (ph)