Wird Sicherheit endlich bezahlbar?

Wie sollen Unternehmen wissen, welche Sicherheitsprobleme bei ihnen gerade akut sind? "Dem Mittelstand fehlen alle Tools, um irgendetwas mitzubekommen", konstatiert Michael Tullius vom Netzwerk-Spezialisten Arbor Networks. Dauerhaftes Monitoring des Datenverkehrs im Unternehmen, um Anomalien ausfindig zu machen und Sicherheitslücken sowie Angriffsvektoren aufzuspüren, bevor diese eine ernsthafte Bedrohung für firmeninterne Daten darstellen? Fehlanzeige! "Es stellt sich letzten Endes doch immer nur eine Frage: Wer bezahlt?" - Tullius weist auf die Kämpfe um Budgettöpfe hin, die schon so manche sinnvolle Investition in die IT-Sicherheit verhindert hätten.

Und dennoch: Seit knapp einem Jahr registrieren Anbieter wie Arbor, Security-Software-Marktführer Symantec oder Virtualisierungsspezialist Citrix Systems im deutschen Mittelstand eine gestiegene Nachfrage nach Sicherheitsprodukten. Ob das nur mit den in Krisenzeiten eingefrorenen Investitionsgeldern zusammenhängt? Oder doch mit der verstärkten medialen Aufmerksamkeit für große Datenabflüsse bei bekannten Konzernen, die den Verlust personenbezogener Daten ihrer Kunden und anderer Firmeninterna einräumen mussten?

Ab in die Cloud?

Lars Kroll, Bereichsverantwortlicher Telco & Alliances bei Symantec, erklärt den Bedarf in erster Linie mit dem vermehrten Einsatz von Private-Cloud-Lösungen, die die Kunden im eigenen Rechenzentrum selbst oder als Service betreiben könnten: "Mittelständische Unternehmen wünschen sich zwar Sicherheit, der Betrieb soll aber nicht zu kompliziert sein." Die nichtöffentlichen Clouds ließen sich über das Internet von überall verwalten und skalieren und somit auch die Security-Infrastruktur auf einfachem und halbwegs bezahlbarem Weg in den Griff bekommen. Peter Goldbrunner, Leiter des deutschen Partnervertriebs bei Citrix Systems, pflichtet ihm bei: "Das Thema Cloud bewegt die deutschen Mittelständler vielleicht sogar stärker als die Konzerne."

Dennoch hat der Hype längst nicht überall eingeschlagen: 40 Prozent der deutschen Mittelständler können sich laut einer aktuellen ARIS-Umfrage im Auftrag von Telefonica O2 unter 500 IT-Verantwortlichen einen Cloud-Einsatz bislang nicht vorstellen. Viele täten sich nach wie vor schwer, "die alten Zöpfe abzuschneiden und solche neuen Security-Ansätze zu fahren", berichtet Kroll - Datenschutzbedenken, limitierte Budgets und kaum Mitarbeiter in diesem Bereich drückten auf die Experimentierfreude. Die Unternehmenslandschaft lasse sich nach wie vor in zwei Klassen einteilen: Zum einen seien da die Firmen, die auch weiter knallhart sparen müssten. Zum anderen gebe es jene, die bereit seien, punktuell in IT-Sicherheit zu investieren - und hier ganz besonders in Cloud-Dienste, weil diese langfristige Vertragslaufzeiten ausschlössen und flexibel einsetzbar seien.

Einzelne Anwendungen bedroht

In einem weiteren Punkt sind sich die Protagonisten aus dem Sicherheitsumfeld ebenfalls einig: Waren es vormals die zentralen Punkte am Eingang der Unternehmensnetze wie beispielsweise die Server im Rechenzentrum, die ein beliebtes Einfallstor für Schädlinge darstellten, hat sich die Gefahr zunehmend auf die Anwendungsebene verschoben. Nicht nur die klassische E-Mail trägt dazu bei, dass sich Malware heute bevorzugt über den Client ausbreitet und so langsam das gesamte Netz unter seine Kontrolle bringt. Gerade auch die Nutzung sozialer Netzwerke am Arbeitsplatz und die zunehmende Verbreitung mobiler (privater) Geräte - vornehmlich in den "höheren Etagen" - bergen neue Risiken.

"Applikationswelt und Netzwerkwelt arbeiten leider nicht immer zusammen", spricht Tullius das Problem an, das den deutschen Mittelständler hier fest im Griff hat. Beide Welten seien fast immer strikt voneinander getrennt und funktionierten vollkommen autark. Wie soll es da einen gemeinsamen Nenner für IT-Sicherheit geben? Peter Goldbrunner weiß Rat: "Mit Virtualisierung gewinnen die Unternehmen die Kontrolle zurück." Das bestätigt Robert Ehses, KMU-Verantwortlicher bei Siemens Enterprise Communications: "Virtualisierung ist eines der Top-Themen im deutschen Mittelstand."

IT-Abteilung als Dr. No?

Zumeist spielten jedoch nicht die Sicherheitsaspekte, sondern die Verbesserung der Arbeitsabläufe die erste Geige, wenn es um die Einführung virtualisierter Umgebungen geht - besonders auch im Zusammenhang mit dem Thema "Bring your own device". Das Management verschiedener Plattformen und Geräte soll so einfach und kostengünstig wie möglich geschehen - und "da stelle ich mir als Mittelständler keine drei Server auf, um alles abzusichern", erklärt Kroll. "Somit komme ich wieder zurück auf virtualisierte Ansätze und Cloud-Lösungen, um auch mobile Geräte sicher zu machen - die IT-Abteilung will schließlich nicht als Dr. No auftreten, die den Mitarbeitern alles untersagt", räumt der Symantec-Vertreter ein.

Es gibt einen akuten Anlass für derartige Bemühungen: Der momentane Wildwuchs in der Gerätelandschaft sorgt dafür, dass die Zahl der abgesicherten Smartphones und Notebooks im Unternehmen - also der Geräte, die den geltenden Compliance-Anforderungen genügten - in den vergangenen Monaten im Vergleich zum Jahr 2011 um vier Prozent zurückgegangen ist. Zu diesem Ergebnis kommt die Studie "IT-Sicherheitslage im Mittelstand 2012", die von der Industrieinitiative "Deutschland sicher im Netz" (DsiN) veröffentlicht worden ist. Die Erhebung basiert auf den Ergebnissen von rund 1400 "DsiN-Sicherheitschecks", mit denen sich deutsche Unternehmen per Online-Frageboben ein Bild von ihrer IT-Sicherheit machen können.

Oliver Bussmann, CIO des Softwareriesen SAP und stellvertretender Vorsitzender der DsiN-Initiative, sieht zwei Gründe für diese Entwicklung: die steigende Zahl mobiler Geräte und die wachsende Vielfalt der eingesetzten Plattformen. "Lange hatten viele Angestellte einen Blackberry und das war's. Heute sind verschiedene Android- und Apple-Geräte dazugekommen." Diese Komplexität in den Griff zu bekommen, sei schwierig: "Vielen CIOs ist Mobile Device Management kein Begriff - sie wissen nicht einmal, welche Sicherheitssoftware es für mobile Geräte gibt", stellt Bussmann fest. Mit dieser Unwissenheit seien die IT-Manager aber nicht allein - auch viele Mitarbeiter nutzten ihre mobilen Geräte ohne jedes Security-Verständnis. "Es gibt einen Nachholbedarf beim Thema Sensibilisierung der Mitarbeiter für Compliance-Vorgaben", bemängelt der SAP-CIO. Die organisierte Verwaltung von Benutzern und Zugriffsrechten im mobilen Umfeld befindet sich noch in der Anfangsphase - die DsiN-Studie stellt aber zumindest fest, dass sich rund 60 Prozent der Sicherheitscheck-Teilnehmer derzeit um eine Compliance-Strategie bemühen.

Lieber effizient als sicher

Für die herrschenden Missverhältnisse tragen finanzieller Druck und die Übergewichtung verbesserter Arbeitsabläufe gegenüber der Sicherheit eine Mitschuld. Ehses führt das Beispiel eines Telefonanlagentausches ins Feld: Hier würde die Besorgnis über Sicherheitslücken gerade bei mittelständischen Unternehmen selten geäußert. Diese erwarteten einfach, dass die Voice-over-IP-Verbindungen sowie die Integrationen in beispielsweise Microsoft Office geprüft und sicher seien. Wenn ein KMU sich einmal entschlossen habe, die zehn Jahre alte Telefonanlage durch eine moderne Lösung zu ersetzen, werde das hohe Investment klassischerweise eher in die Features und die reibungslose Einbindung in bestehende Soft- und Hardware gesteckt, so Ehses.

Fischen im Social Web

Dieses Vorgehen erweist sich nicht immer als hilfreich - gerade im Collaboration-Bereich kann es durchaus Einfallstore ins Unternehmensnetz geben. Das zeigen die zunehmenden Attacken über soziale Netze wie Facebook, über die Anwender beispielsweise zum Klicken eines Malware-Links aufgefordert werden. "Über die Social Networks werden vornehmlich Informationen über eine Person oder ein Unternehmen gesammelt, die sich später dann für gezielte Angriffe einsetzen lassen", erklärt Kroll. Weil das noch nie so einfach war wie heute, setzen auch Spammer und Phisher zunehmend auf kombinierte Angriffe über das Social Web und per E-Mail.

Das zeige die sich ausbreitende Flut an Spear-Phishing-Mails, meint Walter Schumann, Vetriebschef beim E-Mail-Sicherheits-Dienstleister eleven: "Viele der alten Tricks funktionieren nicht mehr, deshalb gehen die Angreifer zu gezielten Attacken auf kleinere Usergruppen über." Ob nun eine gefälschte Mail mit der Bitte um eine Kontaktbestätigung bei LinkedIn oder Facebook - die wenigsten Anwender seien derart technisch versiert, dass sie gleich den gefälschten Absender erkennen könnten. "Wenn ich eine Viagra-Mail bekomme, weiß ich direkt, worum es geht und weiß, dass es mich nicht interessiert. Wenn ich als LinkedIn-Benutzer eine E-Mail mit LinkedIn-Absender bekomme, bin ich mir hingegen schon nicht mehr sicher, ob ich da klicken soll oder nicht", erläutert Schumann.

Wertvoll und begehrt

Die verschiedenen Maschen, mit denen sich augenscheinlich nach wie vor viel Geld verdienen lässt, treffen Privatpersonen wie Unternehmen gleichermaßen: "Der deutsche Mittelstand ist bekannt und geschätzt in der ganzen Welt - der weltweite Wettbewerb hat hier ein großes Interesse an internen Informationen", meint Goldbrunner - und Kroll ergänzt: "das geistige Eigentum eines Mittelständlers macht durchschnittlich 40 Prozent des Unternehmenswertes aus."

Kein Wunder also, dass auch die internationale Konkurrenz gerne ein wenig spionieren will. Michael Tullius warnt aber davor, immer zuerst nach Fernost zu blicken: "Heutige Netzwerkattacken auf deutsche Mittelständler sind in erster Linie ein wachsendes lokales Phänomen." Regionale Wettbewerber versuchten beispielsweise zunehmend, per Denial-of-Service-Attacke kleinere Onlineshops von Anbietern aus ihrer Umgebung vom Netz zu nehmen. Hinzu kämen unzufriedene Kunden, die ihrem Frust über schlechte Produktqualität oder schlechten Kundenservice mit einer 50-Euro-Investition in einen Großvolumenangriff Luft verschafften: "Das ist der Streik des kleinen Mannes", sagt Tullius - und legt provokant nach: "Die Computerspiele-Branche in Deutschland beispielsweise leidet derzeit extrem unter DDoS-Angriffen - die heutigen Teenies haben genug Geld für so etwas."

Fazit

Uneinnehmbare IT-Festungen gibt es im deutschen Mittelstand längst noch nicht. Mit virtualisierten Umgebungen und Private-Cloud-Lösungen versuchen die Firmen aber zumindest neue Modelle, um ihre Netze abzusichern - sie haben bei ausufernden Gerätelandschaften auch gar keine andere Chance. Über E-Mails, soziale Netze und Collaboration-Tools entstehen trotzdem ständig neue Angriffspunkte, die sich mit technischen Mitteln nicht werden beheben lassen. Wer hier Geld in die Hand nimmt und zusätzlich die Mitarbeiter schult, ist bereits einen Schritt weiter. Schlussendlich entscheiden neben den Compliance-Anforderungen ergo die Kosten. Deren Verteilung fällt zu allem Übel immer ungleicher aus: Angriffe zu starten, wird günstiger - sie abzuwehren, bleibt trotz aller "wolkigen" Versprechen nach wie vor eine Investition, die oftmals im Budget nicht vorgesehen ist.

Quelle Aufmacherfoto Homepage: Fotolia, NiDerLander