Die Bedeutung von IT-Sicherheit hat sich in den letzten Monaten erneut gezeigt. Gefahr bestand zwar schon länger, allerdings war sie bisher nicht so stark spürbar. Durch Ransomware und Schadsoftware bekommt IT-Security in unserer stark vernetzten Welt eine starke Brisanz. Unternehmen erfahren finanzielle Schäden und Ausfälle. Jeder kennt jemanden, der betroffen ist. Und es sind nicht länger nur die großen Firmen. Eist keine Frage, ob ein Unternehmen attackiert wird, sondern wann. Gerade für den Mittelstand, der nicht über die Ressourcen großer Konzerne verfügt, stellt die Implementierung kostenintensiver Sicherheitsmaßnahmen und deren aktives Management eine große Herausforderung dar. Dabei haben KMU dieselben Anforderungen und sind meist noch anfälliger. Wie kann also eine mittelstandsgerechter Ansatz aussehen?

Die Anforderungen an IT-Sicherheit wachsen
Der vormals klassische Weg zur Überwachung sicherheitsrelevanter Ereignisse eines Unternehmens bestand darin, alle Vorfälle (Events) von Betriebssystemen, Applikationen, Clients, Datenbanken unterschiedlicher Hersteller an ein zentrales Security Information and Event Management (SIEM-System) zu schicken. Dort, in ein einheitliches Format gebracht und mittels Regeln korreliert, wurden Detektionsszenarien erkannt und gemeldet. Beispielsweise die Häufung von Passworteingaben, die auf einen Brute-Force-Angriff hindeuten. Die gemeldeten Events wurden anschließend von Experten des Security Operation Center (SOC) bearbeitet.

Die Praxis zeigt, dass dieses ressourcenintensive Szenario, das stark auf der Reaktion basiert, nicht länger ausreicht. Herausforderungen wie die Ermüdungserscheinungen im SOC, fehlende personelle Ressourcen für ein 24/7-Detection&Response und fehlende Flexibilität beziehungsweise unzureichendes Wissen in den Angriffsszenarien lässt neben den enormen Kosten am klassischen SOC zweifeln. Zudem bieten diese Ansätze keine Entwicklung. Präventive Maßnahmen stellen einen soliden Grundstock in der IT-Security dar. Das Werkzeug sollte daher präventive und reaktive Aspekte beinhalten. Die dedizierte Anforderungen aus dem Mittelstand sehen so aus:

• Transparenz zu Schutzbedarf: Pragmatische und gleichzeitig umfassende Risikoanalyse und Sicherheit für Informationssysteme.
• Bewährte Methode: Nutzung einer bewährten SOC-Methode. Pragmatische und kompakte Anbindung samt Abstimmung der Prozesse und Weiterleitung aller Events.
• Individuelle Behandlung: Anpassung der Use Cases an die Infrastruktur und den konkret vorhandenen Produkten des Unternehmens.
• Störungsfreier Betrieb: Implementierung, ohne die Produktion zu beeinflussen.
• Aktives Management: Bewältigung von Sicherheitsvorfällen, Aufrechterhaltung und Wiederherstellung, Backupmanagement, Krisenmanagement, Personalsicherheit, Zugriffskontrolle und Anlagenmanagement.
• Umfassendes Management: Sicherheit der Lieferkette, Sicherheit zwischen Einrichtungen, Dienstleister-Sicherheit sowie Sicherheit in der Entwicklung, Beschaffung und Wartung.
• Prävention: Securitylevel steigern, Management von Schwachstellen, Schulungen Cybersicherheit und Cyberhygiene, Multifaktor-Authentisierung und kontinuierliche Authentisierung.
• Securitycontrolling: Bewertung der Effektivität von Cybersicherheit und Risikomanagement.
• Zentrales Cockpit: Homogene Betrachtung der Securityprodukte und Ihrer überwachten Assets. Inklusive Übersicht der Vorfälle und Attack-Story des einzelnen Vorgangs.
• Digitale Unterstützung: automatisierte Unterbindung von einem Sicherheitsvorfall.
• Sichere Notfallkommunikation
• Zielgerichtete Investition: angemessener Einsatz von Ressourcen in Unternehmenskritische Handlungsfelder (was für das Unternehmen am schädlichsten ist).

Warum viele Unternehmen (noch) nicht aktiv werden
Neben der eingangs beschriebenen, fehlenden Risikosensibilität und der Annahme, dass es einen selbst nicht treffen könnte, werden laut Bitkom folgende Gründe für die abwartende Haltung genannt: Fehlende personelle und finanzielle Ressourcen. Nutzung von Clouddiensten, die vermeintlich keine Securityplattform benötigen, die Angst vor Abhängigkeit an einen IT-Dienstleister, fehlende Transparenz in Sachen Schutzbedarf und das fehlende mittelstandsgerechte Produkt.

Mittelstandsgerechtes Design
Ein Angriff auf KMU ist wie erwähnt nur eine Frage der Zeit. Aufgabe unternehmerischen und verantwortungsvollen Handelns ist es somit, die Basis für IT-Sicherheit mit Prävention und Reaktion zu schaffen. Und das mit einem mittelstandgerechten Vorgehen, dass agil, kostensensibel und ressourceneffizient funktioniert:

1. Schutzbedarfsanalyse und Priorisierung: Eine umfassende Schutzbedarfsanalyse vor der Investition in Securityprodukte ermöglicht es, Sicherheitsmaßnahmen gezielt dort zu implementieren, wo sie am dringendsten benötigt werden. Denn durch kluge Priorisierung kann der Mittelstand die verfügbaren Ressourcen optimal einsetzen. Moderne XDR-Systeme bieten Handlungspläne an und zeigen auf, wie diese den Sicherheitsstandard unterstützen.
2. Sicherheitstools aus dem Ökosystem: Die Cloud bietet nicht nur Flexibilität, sondern auch bezahlbare Funktionen rund um die Cybersicherheit. Cloudplattformen ermöglichen es Unternehmen, auf fortschrittliche Sicherheitsinfrastrukturen zuzugreifen, ohne hohe Anfangsinvestitionen tätigen zu müssen. Initiale Rüstzeiten und hohe Lizenzkosten entfallen.
3. Endgeräte in den Mittelpunkt rücken: Mobiles Arbeiten erhöht den Schutzbedarf der Endgeräte. Mit Managed Clients und Defender XDR wird der Schutz von Clients präventiv gewährleistet. Zusätzliche Zugangskontrolle mit Multifaktor-Authentifizierung und Defender XDR stützt das aktive Securitymanagement.
4. Managed Security Services (Outsourcing): Strategisches Outsourcing ist im Kommen. Nicht nur der Fachkräftemangel befeuert diese Taktik, sondern die die Effizienz durch die Nutzung externer spezialisierter Fähigkeiten. Wichtig bleibt die Tatsache: die Verantwortung für IT-Security kann der Unternehmen nicht abgeben, sie bleibt im Unternehmen. Daher ist ein Outsourcing Vertrauenssache Transparenz und Augenhöhe sind entscheidend. Kleine agile Teams und direkte Ansprechpartner die erreichbar sind, haben sich bewährt.
5. Awareness-Training für Mitarbeiter und IT-Abteilung: Die menschliche Firewall ist noch immer die Beste. Mitarbeiter sind oft die erste Verteidigungslinie gegen Cyberbedrohungen. Hier bieten sich fortlaufende Schulungen zur Sensibilisierung für Sicherheitsrisiken und Best Practices im Umgang mit sensiblen Daten an. Es sind kostengünstige Maßnahmen, die einen erheblichen Beitrag zur Verbesserung der Gesamtsicherheit leisten können. Auch die interne IT muss geschult werden. Als Verantwortungsträger muss sie die Vorfälle verstehen und als SOC selbst oder mit dem externen Partner interpretieren können.
6. Sicherheitsrichtlinien und -prozesse implementieren: Klare Sicherheitsrichtlinien und -prozesse bauen Geschwindigkeit auf, wenn es darauf ankommt. Jedes Unternehmen sollte Richtlinien für Zugriffsrechte, Datensicherung und Incident Response entwickeln und implementieren. So kann auf potenzielle Bedrohungen angemessen reagiert werden. Zusätzlich stützt ein aktives Risikomanagement System bei der Betrachtung der möglichen Schwachstellen.

Fazit
IT-Sicherheit im Mittelstand muss nicht zwangsläufig hohe Kosten verursachen. Durch eine intelligente Risikobewertung, den Einsatz von ausgewählten Verteidigungsmechanismen, die Nutzung von Cloudsicherheit, Awareness-Training für Mitarbeiter, klare Sicherheitsrichtlinien und -prozesse sowie Netzwerksegmentierung können Unternehmen ihre digitale Infrastruktur schützen, ohne das Budget zu sprengen. Eine durchdachte Kombination dieser Strategien ermöglicht es dem Mittelstand, Sicherheit bezahlbar und effektiv zu gestalten. Security ist also kein Kostenkriterium.

ln/Sven Hillebrecht, General Manager bei Adlon Intelligent Solutions