IT-Sicherheit hat für kleine und mittlere Unternehmen eine große Bedeutung. Dem DsiN-Praxisreport 2020 Mittelstand@IT-Sicherheit der Initiative „Deutschland sicher im Netz“ zufolge spielt die Integrität, Vertraulichkeit und Verfügbarkeit von Unternehmensdaten für 87 Prozent der KMU eine wichtige Rolle, bei 38 Prozent hängen Betriebsabläufe unmittelbar von der IT ab.
In den meisten Unternehmen mangelt es allerdings an Fachpersonal, um die notwendige IT-Sicherheit auch wirklich zu gewährleisten. Nur in 17 Prozent der für den Praxisreport befragten Unternehmen ist ein IT-Sicherheitsbeauftragter für die IT-Sicherheit verantwortlich, in 28 Prozent der Betriebe muss sich jeder Mitarbeiter selbst um den Schutz seiner Hard- und Software kümmern. Diese Nachlässigkeit hat Folgen: Rund die Hälfte der Studienteilnehmer war bereits mit Cyberangriffen konfrontiert, 74 Prozent der betroffenen KMU mussten Schäden verzeichnen, bei 14 Prozent kam es zu erheblichen oder sogar existenzbedrohenden Belastungen.
Es ist nachvollziehbar, dass sich kleine und mittlere Unternehmen keine große IT-Sicherheitsmannschaft leisten können – ganz abgesehen davon, dass der Markt für Security-Experten praktisch leergefegt ist. Weniger verständlich ist jedoch, warum viele KMU die Unterstützung nicht wahrnehmen, die staatliche Stellen und Verbände zur Verfügung stellen. Nur 20 Prozent nutzen beispielsweise IT-Sicherheitsstandards, wie sie das Bundesamt für Sicherheit in der Informationstechnik (BSI) mit seinem IT-Grundschutz-Kompendium formuliert hat. Seit Januar 2021 bietet zudem die Transferstelle IT-Sicherheit im Mittelstand (TISiM) umfangreiche Informationen und Hilfsangebote für kleine und mittlere Unternehmen. Auch die Plattform Mittelstand Digital informiert KMU über die wichtigsten Aspekte der IT-Sicherheit.
Hilfe von außen
Für alle diese Hilfsangebote gilt allerdings, dass ihre Umsetzung meist nicht ohne externe Hilfe gelingt. Daher sind KMU gut beraten, mit Managed Security Service Providern (MSSP) zusammenzuarbeiten. Als Serviceorganisation eines Herstellers wie Dell oder als eigenständiges Unternehmen sind sie auf das professionelle Monitoring und Management von Sicherheitslösungen spezialisiert. Zu den angebotenen Dienstleistungen gehören beispielsweise der Schutz vor Viren und Spam, die Erkennung und Abwehr eingedrungener Malware, das Management von Firewalls und anderen Security-Lösungen, die Einrichtung und der Betrieb eines Virtual Private Networks (VPN), das Patch-Management von Applikationen und die Überwachung sämtlicher sicherheitsrelevanter Systeme und Vorkommnisse in einem Security Operation Center (SOC). Für KMU ergeben sich aus der Zusammenarbeit mit einem MSSP vor allem folgende Vorteile:
- Zugang zu Expertenwissen: Egal ob Applikations-, Netzwerk-, Cloud-, Server- oder E-Mail-Security: Die verschiedenen Bereiche der IT-Sicherheit sind derart komplex und umfangreich geworden, dass ein einzelner IT-Sicherheitsbeauftragter sie unmöglich in der Tiefe abdecken kann. MSSP haben dagegen für jedes Spezialgebiet einen Experten oder sogar ganze Teams, die sich spezifisch um einen Sicherheitsaspekt kümmern. Kleine und mittlere Unternehmen erhalten so Zugang zu einem Wissen, das sie in Tiefe und Umfang niemals selbst aufbauen könnten.
- Überprüfung der IT-Sicherheit: Wie gut eine IT-Umgebung wirklich geschützt ist, zeigt sich erst im Stress-Test. MSSP nutzen daher Methoden wie „Red Teaming“, um die Sicherheit von Unternehmensnetzwerken zu überprüfen. MSSP-Mitarbeiter versuchen dabei als „Red Team“ in die Infrastruktur einzudringen, indem sie nach Schwachstellen in Applikationen und Protokollen suchen, Phishing-Mails versenden oder präparierte USB-Sticks als „Köder“ im Firmengebäude auslegen. Das Ergebnis solcher Tests ist ein ungeschminktes Bild der tatsächlichen IT-Sicherheit. Unternehmen erhalten darüber hinaus Auskunft über das sicherheitsrelevante Verhalten der Mitarbeiter und können so Schulungsbedarf identifizieren. Solche Security-Awareness-Trainings lassen sich entweder direkt beim MSSP buchen, oder dieser kann einen Schulungsanbieter empfehlen.
- Leistungsfähigere Security-Tools: Sicherheitslösungen wie SIEM (Security Information and Event Management) sind nicht nur komplex in der Implementierung und Bedienung, sie sind auch für die meisten KMU zu kostspielig. MSSP können die Tools für mehrere Kunden nutzen und so die Kosten für jeden Mandanten in einen erschwinglichen Bereich bringen.
- Kürzere Reaktionszeiten: Ein 24x7-IT-Security-Monitoring ist in kleinen und mittleren Unternehmen nicht zu leisten. MSSP betreiben dagegen in der Regel ein Security Operations Center (SOC), das rund um die Uhr die IT-Systeme ihrer Kunden überwacht. Wie bei den Tools verteilen sich die Kosten auf viele Schultern, so dass dieser Service auch für KMU erschwinglich wird.
- Schutz vor rechtlichen Konsequenzen: Unternehmen, die zu regulierten Branchen oder der kritischen Infrastruktur (KRITIS) gehören, unterliegen beim IT-Schutz besonderen rechtlichen Rahmenbedingungen. Dies betrifft auch viele kleine und mittlere Unternehmen wie Arztpraxen, Rechtsanwaltskanzleien oder Steuerberater. Alle Betriebe sind zudem verpflichtet, die Bestimmungen der Datenschutzgrundverordnung (DSGVO) einzuhalten. Kommen personenbezogene Daten durch unzureichenden IT-Schutz abhanden, drohen empfindliche Strafen. MSSP wissen, welche Zertifizierungen für die jeweilige Branche sinnvoll und nötig sind und wie man diese erhält. Im Schadensfall leisten sie außerdem Unterstützung bei der forensischen Aufklärung. Betroffene können damit gegenüber den Behörden nachweisen, dass ihre IT-Sicherheit dem geforderten Stand der Technik entspricht, und sich so vor rechtlichen Folgen schützen.
Fazit
Wenn es um IT-Sicherheit geht, unterscheiden sich die Anforderungen von KMU nicht wesentlich von denen großer Organisationen. Auch sie benötigen einen Schutz, der alle Systeme, Netze und Kommunikationskanäle umfasst, ganzheitlichen Schutz bietet und bei Sicherheitsvorfällen schnell und effizient reagiert. Alle diese Anforderungen mit internem Personal abzudecken, ist jedoch nur in den seltensten Fällen möglich. Die Zusammenarbeit mit Managed-Security-Service-Providern ist daher der beste Weg, größtmögliche IT-Sicherheit zu erreichen, ohne dass Kosten und Aufwand aus dem Ruder laufen.
Wollen auch Sie besseren IT-Schutz und mehr Sicherheit? Dann informieren Sie sich noch heute!
MSPs und IT-Beratern, die ihren Kleinunternehmerkunden beste Beratung und besten Service bieten wollen, stellt Dell branchenführende End-to-End-Lösungen zur Verfügung. Das „Dell Expert Network“ ist dafür eine echte zentrale Anlaufstelle. Sind Sie IT-Berater oder IT-Dienstleister, die bei ihren Kunden keine Wünsche offenlassen wollen? Dann werden Sie kostenlos Mitglied im Dell Support-Programm Dell Expert Network profitieren Sie von dessen Vorteilen.
Mehr Informationen finden Sie hier.