Wie können sich Unternehmen mit kleinem Budget wirksam schützen?

Bei unternehmensinternen Daten kann man nicht vorsichtig genug sein. Doch die fortschreitende Reduzierung der Sicherheitsbudgets zu Gunsten der Finanzierung des Kerngeschäfts stellt IT-Sicherheitsbeauftragte vor die schwierige Frage: Wie sind die digitalen Werte eines Unternehmens zu schützen, ohne große Kosten zu verursachen?

Am stärksten kranken kleine und mittelständische Unternehmen an zu geringen Mitteln für die IT-Sicherheit; oft können sie sich nicht einmal eine eigene IT-Abteilung leisten. Sie treffen ihre Entscheidungen häufig nicht mit Hinblick auf größtmögliche Sicherheit, sondern auf Budget-Erfordernisse. Die folgenden Fehler sind die verbreitetesten, wenn ein Unternehmen seine Sicherheit nach dem Budget ausrichtet:

Nicht der richtige Virenschutz

Nicht alle Virenschutzlösungen sind gleich gut für jeden Einsatz geeignet – ein Virenschutzprodukt, das für den Heimgebrauch gut ist, kann in einer Unternehmensumgebung durchaus ungenügend sein. Virenschutzlösungen sollten unter Berücksichtigung der Anforderungen des Unternehmensumfelds ausgewählt werden – das bedeutet: zentrale Verwaltung, unkomplizierte Installation und, am wichtigsten, modernste Erkennungstechnik. Da wir hier von einer groß angelegten Installation innerhalb des Unternehmens reden, sollte die Virenschutzlösung von Anfang an mit Bedacht gewählt werden – immer wieder die Virenschutzlösung zu wechseln ist nicht nur Geldverschwendung (es müssen wiederholt neue Lizenzen gekauft werden), sondern auch ein großer Störfaktor für sämtliche Unternehmensabläufe, der durch erhöhten Wartungsaufwand zu Betriebseinbußen führt.

Virenschutz ist nicht alles

Die letzten Jahre waren für Unternehmen und ihre IT-Administratoren sehr hart: Die Anzahl der kritischen Schwachstellen in sämtlichen Betriebssystemen und Drittanbieter-Programmen steigt stetig an, und Cyber-Kriminelle schlagen immer öfter zu, lange bevor Zero-Day-Fixes vom Hersteller veröffentlicht werden. Der Cyber-Krieg und wahllos auf Unternehmen ausgeführte Angriffe organisierter Hacker-Aktivisten machen die Lage noch schlimmer.

Hier ist eine mehrschichtige Verteidigungsstrategie von größter Wichtigkeit, die ohnehin knappe Budgets nicht noch stärker belastet: Die Virenschutzlösung sollte mit einer Gateway-Firewall und einer Spam-Schutz-Lösung kombiniert werden, um Bedrohungen bereits an der Außengrenze des Unternehmensnetzwerks abzufangen. Besonders wichtig ist dies für den E-Mail-Verkehr, sind E-Mails doch inzwischen zum meistgenutzten Einfallstor für gezielte Angriffe geworden – anstatt darauf zu setzen, dass Mitarbeiter verdächtige E-Mails nicht öffnen, sollte die IT-Abteilung sie bereits am Mail-Server blockieren.

Mangel an Vorausplanung

Glaubt man dem FBI-Chef Robert S. Mueller, gibt es nur zwei Arten von Unternehmen auf der Welt: solche, die gehackt wurden, und solche, die es noch werden. Eine unabhängige Umfrage, die 2011 vom Ponemon Institute for Juniper Networks durchgeführt wurde, zeigt, dass 90 % der US-Unternehmen mindestens eine Datenpanne hatten, durch die vertrauliche Daten wie z. B. Quellcode, Kundendaten oder anderes geistiges Eigentum, mit dem das Unternehmen Geld verdient, an die öffentlichkeit gelangen konnten. Systemadministratoren sollten mögliche Datenpannen immer in ihre Planung einbeziehen: Verschlüsselungstechnologien und Informationssteuerungs-Software von Drittanbietern anzuschaffen, ist – auch wenn es zunächst kostenintensiv scheint – deutlich günstiger, als die Folgen einer massiven Datenpanne zu bereinigen.

BYOD wird immer populärer, birgt jedoch Gefahren

BYOD ("bring your own device") ist eine Praxis, bei der Mitarbeiter private Geräte wie Laptops, Smartphones oder Tablet-Computer mit an den Arbeitsplatz nehmen und für geschäftliche Zwecke nutzen. Aus der Sicht der Budgetplanung mag dies genial erscheinen: Das Unternehmen zahlt keinen Cent und hat doch einen großen Bestand an aktueller Hardware zu Verfügung.

Unter dem Sicherheitsaspekt kann diese Praxis jedoch zum Debakel werden: Ihre Mitarbeiter speichern z. B. Unternehmensdaten auf demselben Gerät, das zu Hause auch die Kinder benutzen. Ein Malware-Befall dieses Geräts würde Ihre Unternehmensdaten in Gefahr bringen. Mehr noch: Da das Gerät Eigentum des Mitarbeiters ist, hat die IT-Abteilung keine Möglichkeit, feste Regeln durchzusetzen wie z. B., dass auf dem Gerät das aktuellste Betriebssystem läuft, dass es bestimmten Sicherheitsstandards entspricht (Virenschutz installiert, nicht inoffiziell entzerrt etc.), und hat keine Möglichkeit, die Festplatte zu löschen, falls das Gerät verloren geht oder gestohlen wird.

Wenn Ihr Unternehmen plant, zum BYOD-Unternehmen zu werden, sollte die IT-Abteilung Mindeststandards festlegen, die Geräte erfüllen müssen, um Teil des Unternehmensnetzwerks zu werden. Am leichtesten lassen sich diese Standards Mithilfe einer Enterprise-Sicherheitslösung durchsetzen, die auch Verwaltungsfunktionen für mobile Geräte bietet.

Zu guter Letzt sollten alle Geräte vollständig verschlüsselt sein, bevor sie ins Unternehmensnetzwerk aufgenommen werden. Bei den meisten Laptops, Smartphones und Tablet-Computern ist diese Funktion serienmäßig vorhanden, sodass keine Extrakosten für Software entstehen. Durch die Verschlüsselung wird das Risiko des Datenverlusts durch Verlust oder Diebstahl der Geräte ausgeschaltet.

Die Cloud und das Ding mit der Malware

Wenn Ihr IT-Budget beschränkt ist, liegt es vermutlich nahe, Server-Infrastruktur in die Cloud auszulagern, es sei denn Ihr Unternehmen ist zufällig selbst IT-Dienstleister. Durch die Auslagerung sparen Sie die Kosten für den Bau eines Rechenzentrums sowie die langfristigen Kosten für Strom, Kühlung, Wartung und Steuern.

Bedenken Sie jedoch: Was Sie dabei einkaufen, ist Rechenleistung und Speicherplatz, und, je nachdem für welchen Cloud-Provider Sie sich entscheiden, grundlegende Sicherheitsfunktionen (Firewall und Netzwerkisolierung).

Auswählen sollten Sie Ihren Cloud-Provider nach dem, was er genau anbietet, wo Ihre Server untergebracht werden und welche anderen Geschäftsbereiche er unterhält. Wenn Ihr Cloud-Provider Ihre Server z. B. in einem Rechenzentrum unterbringt, in dem Kollokation erlaubt ist, müssen Sie bedenken, welche physischen Sicherheitsvorkehrungen in diesem Rechenzentrum herrschen – Benutzer, die Kollokation nutzen, besuchen oft das Rechenzentrum und könnten so physischen Zugang zu Ihren Rechnern erlangen.

Die Geographie spielt auch eine Rolle: In manchen Ländern herrschen vielleicht weniger strenge Sicherheitsbestimmungen als in Ihrem Land, und die Speicherung von Kundendaten auf solchen Servern könnte unabsehbare Folgen haben. Ebenso müssen Sie dafür sorgen, dass die Festplatten tatsächlich zerstört werden, wenn sie ausgetauscht werden. Wenn nicht, werden Ihre Sicherheitskopien eventuell in wiederherstellbarer Form entsorgt.

Bedrohungen für die Privatsphäre sind nicht das einzige Problem bei der Auslagerung in die Cloud. Auch wenn sie in der Cloud leben, müssen die Server im Prinzip ebenso geschützt werden wie jeder andere Rechner auch. Filesharing-Server z. B. müssen über eine Sicherheitslösung verfügen, die Daten noch vor dem Upload scannen und gegebenenfalls verdächtige oder infizierte Dateien blockieren kann.

Bilden Sie Ihre Benutzer fort, aber vertrauen Sie ihnen nicht völlig

Am leichtesten können Sie Ihr Unternehmen schützen, indem Sie Ihre Mitarbeiter über die neuesten Entwicklungen der Branche auf dem Laufenden halten. Machen Sie ihnen klar, dass nichts im Internet so ist, wie es scheint, dass auch nicht-ausführbare Dateien wie PDF-Dateien Malware beinhalten können, dass angebliche Nachrichten von der Unternehmensleitung Betrugsversuche sein können, und dass sie sich telefonisch vergewissern sollten, bevor sie Unternehmensdaten blind an einen Anderen weiterleiten.

Doch sollten Sie Ihr Vertrauen nicht allein in Ihre Mitarbeiter setzen, auch wenn sie vorbildlich geschult sind. Selbst der sicherheitsbewussteste Mitarbeiter könnte, gerade bei einem nahenden Fristende, der Bequemlichkeit den Vorzug vor der Sicherheit geben. Sorgen Sie dafür, dass die nötigen Sicherheitsrichtlinien eingehalten werden, dass Passwörter sicher genug sind und oft genug geändert werden.

rn