IT-Sicherheit im Mittelstand: Die fünf größten Security-Fehler

Jan Bindig, Autor des Buches »Das IT-Security Mindset«, blickt für CRN auf die größten Fehler, die der deutsche Mittelstand in Sicherheitsfragen begeht: vom Einsatz von Insellösungen bis zur inkonsequenten Umsetzung von Empfehlungen.

Jan Bindig

Deutsche mittelständische Unternehmen stehen seit Jahren in der Kritik, bei der digitalen Transformation im Vergleich zu anderen Ländern hinterherzuhängen. Die These ist nicht ganz aus der Luft gegriffen, wie auch aktuelle Studien belegen. Schaut man gezielt auf IT-Sicherheit, herrscht viel Unsicherheit im Mittelstand. Zahlreiche branchenübergreifende Kongresse und Konferenzen stehen im IT-Security-Kontext. Doch was sind eigentlich die häufigsten Fehler beziehungsweise falschen Annahmen, die derzeit im deutschen Mittelstand kursieren?

IT-Sicherheit mit Insellösungen

Aufgrund von vielseitigem Engagement wird oft noch nach dem Motto »viel hilft viel« vorgegangen. Bereits existierende Sicherheitssysteme werden durch weitere Lösungen angereichert und ergänzt. Oftmals geschieht das jedoch konzeptlos und kurzfristig geplant. Am Ende stehen schwer überschaubare und administrierbare Security-Systeme, die die Unternehmen nur eingeschränkt sicherer machen.

Die Gefahr lauert im Netzwerk

Ein Mythos der sich noch hält, ist die drohende äußere Gefahr von Hackern. Dabei sind dank moderner Firewalls und anderer Netzwerksicherheitslösungen interne Infrastrukturen kaum ohne soziale Schwachstellen zu erreichen. Eine Vielzahl an mobilen Endgeräten, die sich oft nicht alle auf dem Radar der IT-Administration befinden, erhöht das Angriffsrisiko hingegen signifikant.

Vermeintliche Sicherheit durch starke Marken

Ein überzeugendes Marketing ist auch in der IT-Security eine Frage des Budgets. Große Hersteller erzeugen vermeintlich ein höheres Sicherheitsgefühl. Dabei geht es um stimmige und ganzheitliche Sicherheitskonzepte, die möglichst alle Schwachstellen berücksichtigen und weniger um die Technologien selbst.

Mitarbeiterbewusstsein nicht geschärft

Der Faktor Mensch, der auch für die meisten Datenverluste verantwortlich ist, ist auch eines der häufigsten Risiken innerhalb sicherer IT-Landschaften. Social Engineering, also die gezielte Manipulation von einzelnen Mitarbeitern zur ungewollten Herausgabe von Zugangsdaten und Berechtigungen gehört zu den großen Gefahren. Befeuert wird das Risiko von Schatten-IT und fehlenden Awareness-Trainings.

Inkonsequente Umsetzung strategischer Empfehlungen

Der erste Schritt zur sicheren IT ist die Beseitigung von Schwachstellen. Dazu durchgeführte Schwachstellenanalysen, Penetrationstests und Awareness-Schulungen resultieren in seitenweisen Analysen, Berichten und Maßnahmenkatalogen. Auch wenn durch das aktive Wahrnehmen von Risiken die Motivation zur Optimierung und Investition gegeben ist, scheitern viele IT-Security Projekte in der Umsetzung. Die Ursachen sind meist mangelnde Kapazitäten, Zeit und dass andere, ertragsreichere Projekte im Fokus stehen.

Fazit

Die Richtung ist unumkehrbar und die meisten Marktteilnehmer sind auch auf dem Weg zu sicheren IT-Systemen. Die strategische Planung und Verzahnung der Spezialisten und Mitnahme der beschäftigten Mitarbeiter gehören zu den derzeit wichtigsten Herausforderungen.

Verlosung: »Das IT-Security Mindset«

(Foto: FBV)

Jan Bindig ist seit 2004 Unternehmer in der IT-Branche. Der Geschäftsführer der auf Datenrettung spezialisierten DataRecovery engagiert sich in vielen IT-Verbänden und ist Autor des in diesem Jahr erschienenen Buches »Das IT-Security Mindset« (ISBN: 978-3-95972-174-5). Mit 160 Seiten ist es ein kompakter Ratgeber für Entscheider in mittelständischen Unternehmen, die sich einen grundlegenden Überblick über IT-Sicherheit verschaffen möchten.

CRN verlost fünf Exemplare des Buches. Einfach bis zum 17. Oktober eine Mail mit dem Betreff »IT-Security Mindset« an gewinnspiel@crn.de schicken. Darüber hinaus hält Jan Bindig zehn Exemplare für CRN-Leser am Stand von DataRecovery auf der it-sa (Halle 10, Stand 621) bereit – einfach vorbeigehen und abholen. First come, first served.