1802027

Gefahren für die IT-Sicherheit kleiner Unternehmen

Cyber-Kriminelle nehmen zunehmend kleine und mittelständische Unternehmen (KMU) ins Visier. Diese sind wegen ihres Fachwissens besonders lohnende Ziele, gleichzeitig fehlt hier oft das erforderliche IT-Know-how und das Fachpersonal, um digitale Bedrohungen wie Betriebsspionage oder den Diebstahl von Kundendaten erfolgreich abzuwehren. PC-WELT erklärt, welche Gefahren kleinen Unternehmen drohen und warum Sicherheitslösungen aus der Cloud die Lecks schnell, zuverlässig und kostengünstig schließen.

Fachwissen und Personal fehlen

Die IT-Systeme kleiner und mittelständischer Unternehmen sind nur selten genauso effektiv geschützt wie die von Großunternehmen. KMU haben meist knappe Budgets für IT-Anschaffungen und verfügen oft nicht über ausreichend qualifiziertes Personal wie Server- oder Netzwerkadministratoren oder gar speziell ausgebildete Sicherheitsexperten. Oft betreuen die Mitarbeiter die Rechner und Server samt Webseiten nur nebenbei und spielen gelegentlich Updates auf. Oder es kümmert sich ein einzelner Angestellter um alle Rechner, Server und Drucker sowie die Datenbanken und den Webauftritt.
Zentrale IT-Planung fehlt

Außerdem gibt es in kleinen Unternehmen oft keine zentrale Planung und Organisationsstruktur für den Einsatz der Informationstechnologie. Somit ist nicht sichergestellt, dass die IT die Unternehmensstrategie und die Ziele des Unternehmens auch wirklich unterstützt – Experten sprechen in diesem Zusammenhang von einer fehlenden IT-Governance.

Dieses relativ sorglose Verhalten kann bittere Folgen haben: Sie reichen vom wirtschaftlichen Schaden bis zum Image- und Kundenverlust. Laut dem Symantec Sicherheitsreport 2013 richteten sich im Jahr 2012 weltweit 31 Prozent aller gezielten Attacken gegen kleine und mittelständische Unternehmen. Deutschland belegt in der Studie unrühmliche Spitzenplätze: Es liegt als Ursprungsland für Phishing-Webseiten und bei webbasierten Angriffen auf Platz eins in Europa. Deutschland verbreitet im europäischen Vergleich am zweithäufigsten Schadcode – nur Großbritannien ist eine noch größere „Virenschleuder“.

KMU versprechen lohnende Beute

Kleine Unternehmen sind in zweierlei Hinsicht attraktive Ziele: Gerade der Mittelstand ist oft der Motor für Innovationen, die eine große Wertschöpfung versprechen. Hier gibt es für Cyber-Kriminelle enorm viel geistiges Eigentum zu stehlen. Die Arbeit von Jahren sowie teure Forschungs- und Entwicklungskosten kann ein Hacker-Angriff oder eine eingeschleuste Schadsoftware binnen weniger Minuten zunichtemachen.
Die großen Fische locken

Angreifer nutzen kleine Unternehmen zudem häufig als Einfallstor, um Zugriff auf die Netzwerke und Daten großer, besser geschützter Unternehmen zu erhalten. Die Hacker infizieren die Webseiten kleiner Firmen und missbrauchen diese dann für massive Attacken und sogenannte „Wasserstellen“-Angriffe („Watering hole“ Attacks) auf besser gesicherte Unternehmen. Um ein Beispiel zu nennen: Angreifer dringen über eine Sicherheitslücke auf der Webseite eines kleinen Automobilzulieferers in dessen Datenbanken ein und schleusen dort Schadcode ein. Das eigentliche Opfer, ein Automobilhersteller, greift auf die manipulierten Datenbanken zu, um Informationen mit seinem Kooperationspartner auszutauschen – und schleppt so unbemerkt Schad-Software in seine IT-Infrastruktur ein.

Der gute Ruf ist schnell ruiniert

Oder aber ein Hacker versteckt auf der Webseite des Mittelständlers Schadsoftware, die die Mitarbeiter eines Großkonzerns unwissentlich herunterladen, wenn sie auf dieser Seite surfen. In diesem Fall verhindert zwar meist die Sicherheits-Software auf den Arbeitsplatzrechnern der Konzernmitarbeiter eine Infektion. Doch der Imageschaden des kleinen Unternehmens ist enorm: Wer vertraut einem Partner oder einem Anbieter, dessen Webauftritt Schadsoftware verbreitet? Oder wer hinterlegt seine Kreditkartendaten, um Waren zu bestellen beziehungsweise nutzt bereitwillig das Online-Kontaktformular eines kleinen Handwerkbetriebs, wenn man weiß, dass Hacker in die Kundendatenbank dieser Firma eingedrungen sind?

Lassen Sie Ihre Unternehmens-IT von Profis managen
Vergrößern Lassen Sie Ihre Unternehmens-IT von Profis managen
© iStockphoto/kynny

Typische IT-Sicherheitsprobleme

Die Probleme für einen Unternehmer beginnen bereits bei der Wahl der richtigen Sicherheitslösung. Denn anders als bei Privatanwendern hier sind mehrere PCs sowie File-, Mail- und Webserver zu schützen. Reicht dafür eine Sicherheits-Software aus, wie sie auch Privatanwender einsetzen? Oder sollten Unternehmen in spezielle Lösungen investieren, die beispielsweise alle Mails auf dem Mailserver überprüfen und den gesamten Netzwerkverkehr am Gateway überwachen? Wie sieht es mit den Vorkehrungen für den Fall aus, dass doch ein Schädling wichtige Dateien infiziert oder die Festplatte im Datei-Server mit allen Konzeptstudien und Planungen zum neuesten Projekt ihr Leben aushaucht? Dann benötigen Unternehmen ein vollständiges und einwandfreies Backup dieser Daten – doch wer kümmert sich um die regelmäßige Sicherung? Dies sind Fragen, mit denen ein Unternehmer konfrontiert wird und die für ihn existenziell sind.

Die eigene Webseite als Gefahrenquelle

Besondere Vorsicht ist geboten, wenn ein Unternehmen eine komplexere Webseite betreibt – beispielsweise mit einem Kontaktformular, einem Gästebuch, einem Kundenforum oder vielleicht sogar mit einem eigenen Online-Shop. Meist setzen Kleinunternehmen hierfür fertige Tools wie Foren-Software oder Content-Management-Systeme für den Webauftritt ein. Diese Programme sind vergleichsweise schnell installiert und können auch von Nicht-Fachleuten bedient werden. Was man dabei aber oft vergisst: Gerade weitverbreitete Tools greifen Hacker besonders gerne an. Angreifer wissen genau, welche Lücken in welcher Software stecken und nutzen diese sofort aus. Der Unternehmer bemerkt aber lange Zeit überhaupt nicht, dass seine Webseite ein Sicherheitsrisiko darstellt – weil er die typischen Angriffstechniken nicht kennt.

Smartphones können ein Sicherheits-Risiko darstellen
Vergrößern Smartphones können ein Sicherheits-Risiko darstellen
© Symantec

Gefährliche Mails, verseuchte USB-Sticks und problematische Handys

Gängiger sind allerdings die einfacher gestrickten Attacken: Mitarbeiter klicken oftmals in einer vermeintlich harmlosen Mail einen Link an, über den sich Schadsoftware auf den Arbeitsplatzrechner herunterlädt. Oder sie stecken einen USB-Stick mit verseuchtem Inhalt in den PC. Der Trend, private Smartphones und Tablet-PCs für berufliche Zwecke zu nutzen und diese mit dem Unternehmensnetzwerk zu verbinden („Bring your own Device“ – BYOD), birgt ebenfalls enormes Gefahrenpotenzial, solange der Zugriff auf die Unternehmens-IT oder der Download von Apps nicht kontrolliert wird. Darüber hinaus sollten die Geräte zentral verwaltet und mit spezifischen Zugriffsrechten versehen sein. Verliert ein Mitarbeiter das beruflich genutzte Tablet, Notebook oder Smartphone, ist dem Missbrauch Tür und Tor geöffnet, sofern das Mobilgerät nicht ausreichend geschützt ist.

Cloud-Lösungen versprechen Abhilfe

Gegen all diese Schwachstellen gibt es Abhilfe aus der Cloud. Anwendungen wie Datenschutz- und Sicherheitslösungen aus der Wolke eignen sich besonders für kleine Unternehmen, da sie nur geringe IT-Investitionen bedeuten. Der Vorteil: Die Applikationen sind stets aktuell, sind kosten- und ressourceneffizient sowie im hochsicheren Rechenzentrum des Cloud-Providers oder des Anbieters der jeweiligen Anwendung gut geschützt. Darüber hinaus unterstützt die Wolke auch mobile Anwender. Denn auf Daten und Anwendungen kann der Nutzer – unabhängig vom Endgerät – immer und überall zugreifen.

Zwar zeigt der Branchenverband BITKOM in seinem aktuellen Cloud-Monitor , dass bereits viele Unternehmen in Deutschland Kapazitäten aus der Cloud beziehen. Doch momentan sind es vor allem Großunternehmen mit mehr als 2.000 Mitarbeitern, die Cloud-Lösungen nutzen. Kleine und mittelständische Unternehmen zeigen sich dagegen zögerlich: Einer Studie des Beratungsunternehmens Pricewaterhouse Coopers zufolge nutzen erst zwölf Prozent der Firmen Dienste aus der Wolke. Doch gerade diese Unternehmen profitieren besonders davon, wenn sie ihre Software durch professionell gepflegte Cloud-Lösungen ersetzen.

Der richtige Cloud-Anbieter

Bei der Wahl eines geeigneten Cloud-Anbieters sollten Kunden genau auf die Sicherheit der Angebote achten. Dazu gehört auch, dass die Rechenzentren, in denen die Daten der Cloud-Nutzer liegen, vor äußeren Einflüssen wie Hochwasser, Einbrüchen und Cyber-Attacken geschützt sind. Zudem sollte der Dienstleister kleinen Firmen als Berater zur Seite stehen, beispielsweise, wenn es um die Integration von Lösungen in bestehende Systeme geht. Ein kostenloser deutschsprachiger Support gehört ebenfalls zu den zentralen Anforderungen. Entscheidend ist ferner das Portfolio des Anbieters: Enthalten sein sollten sowohl die Abbildung typischer Geschäftsprozesse wie Kundenmanagement oder Buchhaltung als auch Spezialanwendungen für bestimmte Branchen wie ERP-Software.

Wichtig ist überdies die Qualität eines Cloud-Angebots. Seriöse Marktplatzbetreiber prüfen einen Dienst vorab auf Funktionalität, Bedienbarkeit und Sicherheit. Erst dann entscheiden sie, ob die Services auf die Plattform kommen. Unternehmen erhalten so eine qualifizierte Entscheidungshilfe. Professionelle Marktplatzanbieter liefern außerdem alle Leistungen aus einer Hand. Das heißt, sie sind alleiniger Ansprechpartner und rechnen alle Leistungen auf einer zentralen Rechnung ab.

Business Marketplace der Deutschen Telekom

Ein Vorreiter unter den Cloud-Anbietern mit Lösungen speziell für kleine und mittelständische Unternehmen ist die Deutsche Telekom mit ihrem Business Marketplace . Auf dieser zentralen Plattform für den Mittelstand in Deutschland finden Sie ausgewählte cloud-basierte Geschäftsanwendungen von Partnern, die ganz besonders auf die Bedürfnisse von kleinen und mittleren Unternehmen zugeschnitten sind. Mit Leistungen und Services aus einer Hand ermöglicht der Business Marketplace seinen Kunden die maximal sichere, flexible und kostengünstige Nutzung von Business-Software aus der Cloud.

Im Marketplace finden Unternehmen auch die passenden Sicherheits- und Backup-Lösungen: Symantec Endpoint Protection Small Business Edition 2013 und Symantec Backup Exec.cloud. Symantec kümmert sich selbst um das Hosting dieser beiden Sicherheitslösungen.

Symantec Endpoint Protection Small Business Edition 2013 stoppt Schadprogramme aller Art und schützt mit Firewall, Webbrowser-Schutz und einer USB-Gerätekontrolle. Die Sicherheitslösung lässt sich innerhalb weniger Minuten einrichten. Komfortabel ist auch die Datensicherungslösung Symantec Backup Exec.cloud zu bedienen. Sie erstellt sichere und automatisierte Backups für PCs und Server. Phil Zamani, Senior Vice President Cloud Services bei der Deutschen Telekom AG, betont die Vorteile des Business Marketplace für die Nutzer: „Die Anwendungen lassen sich ohne großen Aufwand in die IT-Landschaft integrieren und einfach nutzen. Dank eines monatlichen Fixpreises können sich auch kleine und mittelständische Unternehmen unseren professionellen Schutz zu kalkulierbaren Kosten und ohne große Investitionen leisten und sind gegen Cyber-Angriffe rundum geschützt“,

Um Kunden den Wechsel von klassischer Desktop- und Server-Software auf Cloud-Lösungen zu erleichtern, steht die Telekom als Ansprechpartner mit einer deutschsprachigen Service-Hotline zur Verfügung und prüft die Sicherheit der Angebote. Weil die Telekom viele Cloud-Anwendungen in Deutschland hostet, ist garantiert, dass die Kundendaten bei diesen Anwendungen der strengen deutschen Datenschutzgesetzgebung unterliegen. Des Weiteren sind alle Rechenzentren der Telekom durchgehend international zertifiziert nach ISO/IEC 27001 sowie durch den TÜV. „Sicherheit ist einer der wichtigsten Aspekte der Cloud-Strategie der Deutschen Telekom“, betont Zamani.

Aktive Sicherheit

Die Telekom spürt gezielt neue Angriffsmethoden auf: „Weltweit sind 90 sogenannte Honeypots in Betrieb – also simulierte Locksysteme für Hacker. Auf diese Weise werden etwa 450.000 Cyber-Angriffe pro Tag aufgezeichnet“, so Zamani. Dieses Vorgehen helfe, frühzeitig Sicherheitslücken zu schließen.

0 Kommentare zu diesem Artikel
1802027