Gerade KMU kümmern sich, angefangen bei fehlenden regelmäßigen Updates, oft nur stiefmütterlich um IT-Security und bieten Cyberkriminellen damit viel Angriffsfläche. Dabei wäre mit wenig Zusatzaufwand ein deutlich höheres Schutzniveau möglich. [...]
Viele KMU wiegen sich in falscher Sicherheit und glauben, dass sie kein lohnendes Angriffsziel darstellen. Doch wie eine Kaspersky-Studie zeigt, wurden 91 Prozent aller Unternehmen in den letzten zwölf Monaten mindestens ein Mal gehacked. Im Gespräch mit der COMPUTERWELT erklärt Thomas Masicek, Head of Security Management bei T-Systems Österreich, warum sich auch KMU mit IT-Sicherheit beschäftigen sollten und wie sie auch mit begrenzten Mitteln ein akzeptables Schutzniveau erreichen können.
Warum beschäftigen sich Unternehmen immer intensiver mit IT-Security bzw. warum sollten sie es tun?
Thomas Masicek: Kriminelle Organisationen haben inzwischen genügend finanzielle und technisches Ressourcen, um großflächig Angriffe durchzuführen. Es vergeht ja kein Tag, an dem nicht wieder eine Meldung auftaucht, dass einem Unternehmen Millionen Kundendaten gestohlen wurden. Dadurch ist vielen bewusst geworden, dass sie angreifbar sind. Was nun tatsächlich passiert, ob man gehacked worden ist, kann man als Nicht-Spezialist oft auch kaum nachvollziehen.
Weil Security nicht zuletzt entsprechendes Knowhow erfordert.
Absolut. Das ist eines der größten Themen. Beim Auto braucht man ja auch eine Werkstätte, die das überprüft und einem das Pickerl gibt. Im Bereich IT-Security dagegen erwartet man von Computerbenutzern, dass sie das selber machen. KMU haben dieses Knowhow schlicht und einfach nicht.
Sind KMU daher besonders gefährdet?
Ja. In großen Unternehmen gibt es eine zentrale IT-Abteilung, es gibt Standards. Da hat dann jeder Mitarbeiter den gleichen PC, jeder hat die gleiche Software drauf, alles wird zentral gemanaged. Braucht ein KMU einen PC, dann wird der beim Hofer oder sonstwo gekauft und irgendwer installiert irgendeine Software. Aber niemand kümmert sich um regelmäßige Updates und das führt zu massiven Problemen. Zusatzapplikationen wie zum Beispiel Adobe Acrobat werden ein Mal installiert und dann nie wieder aktualisiert. Doch gerade über infizierte PDF-Dateien wird viel Schadsoftware verschickt.
Wiegen sich KMU in falscher Sicherheit?
Ja. Wir hören oft von KMU: ‚Naja, wer interessiert sich schon für mich? Mich greift eh keiner an.‘ Hacker greifen aber oft nicht direkt ein Unternehmen an. Die schicken einfach Schadsoftware aus und wenn ein Rechner ungeschützt ist, dann wird er infiziert, völlig egal in welchem Unternehmen er steht. Und über den infizierten Rechner verwenden Hacker dann Unternehmensressourcen, um weitere Angriffe zu starten. Natürlich gibt es auch gezielte Angriffe – wir haben viele innovative KMU in Österreich –, aber bei dem Großteil der Angriffe wird einfach nur nach angreifbaren PC gesucht.
Wie schützt man sich als KMU mit den begrenzten Mitteln, die man hat?
Für die kleineren KMU gilt, dass sie sich letztendlich ein Mal ein Sicherheitsaudit durch einen externen Spezialisten gönnen müssen. Das ist ein Aufwand von maximal einem Arbeitstag, also auch für ein KMU leistbar. Da schaut ein Sicherheitsexperte über das gesamte Unternehmen drüber und sagt, welche Prozesse geändert werden sollten oder was man an regelmäßigen Tätigkeiten selbst machen kann, um das Risiko zu senken. Die Technik alleine ist nur die halbe Sache. Wichtig ist, dass die Gesamtstrategie Sinn ergibt. Auch ein Auto braucht die richtigen Reifen und den richtigen Treibstoff. Ähnlich ist es bei der Sicherheit: Der Virenschutz muss mit dem Spamfilter zusammenpassen, es muss für die eingesetzten Programme passen, für die Unternehmensstrategie, es müssen Updates gemacht werden, etc.
Das klingt aber jetzt schon nach viel Aufwand.
Es hört sich nach viel an, aber das meiste davon passiert ja eh irgendwie nebenbei. Irgendwer hat irgendwann mal einen Virenschutz installiert, nur ob der richtig konfiguriert ist, ist eine andere Frage. Wenn ich aber weiß, wie ich es ordentlich mache, dann bedeutet das nur sehr wenig Zusatzaufwand, um ein deutlich besseres Schutzniveau zu erreichen. Das Wichtige ist, dass ein Unternehmen ein Mal die Information bekommt: Wie mache ich es gescheit, was muss ich wirklich machen. Und dann kann man das Ganze mit wenig Mehraufwand sauber betreiben.
Das heißt, wenn man die wenigen Ressourcen als KMU gezielt einsetzen würde, dann wäre schon viel erreicht?
Genau. Sie müssen sich nur folgende Frage stellen: Wenn ein Unternehmen gar nichts macht, wie oft muss dann die IT-Techniker-Firma kommen und Probleme beheben? Und was kostet das? Das kostet sicher mehr, als es gleich zu Beginn ein Mal gescheit zu machen. Es ist der schlauere Weg, sich am Anfang ein Mal helfen zu lassen.
Und wenn im laufenden Betrieb mal ein Problem auftaucht?
Dann bieten wir auch eine Art Supportbereitschaft, damit Sie, wenn Sie ein Mal nicht mehr weiter wissen, anrufen und fragen können, was das nun für Sie bedeutet. Das ist wie der Hausarzt: Wenn mich etwas zwickt, dann ruf ich den an und frage, ob ich das anschauen lassen muss. Und mit dem Auto kann ich in die Werkstatt fahren, wenn ein Warnlicht aufleuchtet. Bei IT-Systemen gibt es das in den wenigsten Fällen. Und man muss als KMU auch lernen, mit kleinen Vorfällen selbst umzugehen. Der Hausarzt kann ja auch nicht jeden Pflasterwechsel durchführen, so etwas macht man selber, nachdem es einem ein Mal wer gezeigt hat.
Das Gespräch führte Oliver Weiss.
Thomas Masicek
Thomas Masicek ist Head of Security Management sowie Chief Security Officer bei T-Systems Austria. Er kann in diesem Bereich auf über 17 Jahre Erfahrung in den Bereichen Security Management, IT-Architektur und IT-Betrieb sowie ein Studium der Informationssicherheit verweisen. Zusätzlich verfügt Masicek über langjährige Erfahrung im Bereich Notfall- und Krisenmanagement.
Be the first to comment