Mittelstand: IT-Sicherheit als Erfolgsfaktor

Mittelstand: IT-Sicherheit als Erfolgsfaktor

Von Karl-Ludwig Hahne, M.A., CISA, IT-AuditorIDW

Die Mehrheit der deutschen Unternehmen gehört zum Mittelstand. Dieser stellt die meisten Spezialisten, Zulieferer und Dienstleister; hier bewegen sich die größten digitalen Datenströme und hier lagern die meisten sensiblen Geschäfts- und Kundendaten. Umso empfindlicher trifft es kleine und mittlere Unternehmen (KMU) – und mit ihnen aufgrund der engen Vernetzung nicht selten gleich ganze Industriezweige – wenn sie Opfer von Cyberkriminalität werden.

Hinzu kommt die Herausforderung der stetig zunehmenden Digitalisierung durch Cloud Computing[1] und Big Data[2]. Als ein Teilaspekt wird in diesem Zusammenhang gerne der Begriff Industrie 4.0 genannt – gemeint ist damit die Vernetzung von Menschen, Maschinen, Anlagen und Prozessen zu einem intelligenten Verbund. Gerade für kleine und mittlere Unternehmen sind die digitalen Kompetenzen ein entscheidender Wettbewerbsfaktor. Dass sich jedoch aus dieser Entwicklung weitere Risiken insbesondere im Bereich der IT ergeben, versteht sich fast von selbst. Voraussetzung für die erfolgreiche vierte industrielle Revolution (Industrie 4.0), sollte somit stets die Gewährleistung von Cyber- und IT-Sicherheit sein.

Welches sind die häufigsten Gefahren, denen IT-Systeme ausgesetzt sind? Hier sind beispielsweise Datendiebstahl, unberechtigte Datenweitergabe oder mangelnde Datenabsicherung (Backup) durch Mitarbeiter zu nennen – meist unbeabsichtigt, weil oft eine richtige Schulung fehlt. Die Nutzung mobiler Endgeräte ist dabei eine große Grauzone. Virusbefall von E-Mails, Verschlüsselungstrojaner, lahmgelegte Server oder gestörte Internet- und Telefonleitungen sowie mangelhafte Sicherheitsrichtlinien in puncto Geschäftsgeheimnisse sind weitere Problemfelder.

In einer digitalisierten Arbeitswelt identifizieren wir eine stetig steigende Nutzung von Cloud-Diensten. Public-Cloud-Dienste wie Dropbox, iCloud oder Google Drive sind nicht nur für private Anwender relevant. Viele Unternehmen oder Kanzleien arbeiten standortübergreifend oder im Rahmen der Mandanten beziehungsweise Kundenkommunikation mit diesen Diensten. Die genannten Dienste geraten jedoch zunehmend ins Visier von Cyberkriminellen, woraus sich ebenfalls ein erhebliches Sicherheitsrisiko ergibt. Der Diebstahl von 68 Millionen Dropbox-Passwörtern durch Hacker in der jüngsten Vergangenheit bestätigt dies.

Welche Risiken bestehen in dem jeweiligen Unternehmen? Und wie kann den Angreifern zuvorgekommen werden? Hier zählt, neben einer abgesicherten Infrastruktur, ganz besonders der Faktor Mensch. Die wenigsten Angriffe laufen ausschließlich über die IT eines Unternehmens. Häufig werden zuvor Informationen oder sogar Zugriffsmöglichkeiten (wie Passwörter) über Mitarbeiter, welche dies in den meisten Fällen nicht einmal bemerken, abgegriffen. Unbedarfte Mitarbeiter (als Mittel zum Zweck für den Täter) bieten somit einerseits eine große Angriffsfläche – eine entsprechende Sensibilisierung und Schulung macht sie andererseits zur besten Verteidigung.

Um den hohen Anforderungen an die Sicherheit und Effizienz der IT gerecht zu werden, greifen viele Unternehmen und Kanzleien auf die Unterstützung externer Dienstleister zurück. Die Spannbreite reicht dabei von der ausgelagerten Druckerwartung bis zur vollständigen Auslagerung der IT-Umgebung. Einen geeigneten Dienstleister zu finden, kann zu einer anspruchsvollen Aufgabe werden. Insbesondere sollte eine gründliche Vertragsprüfung hinsichtlich der Service-Level-Agreements (SLA)/Leistungsbeschreibungen erfolgen, um böse Überraschungen bei Notfalleintritt zu vermeiden.

Etablierte Zertifikate können im Rahmen der Auswahl entsprechender Dienstleister ein entsprechendes Qualitätsmerkmal darstellen. Zum Beispiel kann ein Prüfungsbericht gemäß IDW PS 951 n. F. („Die Prüfung des internen Kontrollsystems bei Dienstleistungsunternehmen“) Hinweise bezüglich der Zuverlässigkeit eines Dienstleisters liefern.

Egal ob für die Zusammenarbeit mit dem Dienstleister oder bei Betreiben der IT-Infrastruktur in Eigenregie, es müssen grundlegende Entscheidungen für die Ausrichtung und Absicherung der IT getroffen werden. Die IT ist mittlerweile nicht mehr nur ein Bindeglied zwischen den einzelnen Unternehmensbereichen, sondern viel mehr ein integraler Bestandteil der meisten mittelständischen Unternehmen und ein ernst zu nehmender Faktor für den Unternehmenserfolg. Um den „Erfolgsfaktor IT“ zukunftsorientiert zu steuern, bedarf es der Integration in die Managementprozesse und Unternehmensstrategie.

So sollten die Schutzziele Verfügbarkeit, Integrität und Vertraulichkeit zentrale Kriterien bei der Bildung einer IT-Sicherheitsstrategie darstellen. Unter Verfügbarkeit wird in diesem Zusammenhang die Aufrechterhaltung des Geschäftsbetriebes verstanden. Das Zur-Verfügung-Stellen der richtigen und vollständigen Daten wird im Rahmen der Daten-Integrität geregelt. Mit Vertraulichkeit der Daten und Systeme ist in der Regel gemeint, dass Informationen im IT-System gezielt geschützt werden können.

Im Rahmen der Strategiebildung sollte des Weiteren definiert werden, wie lange das Wiederherstellen von verloren gegangenen Daten dauert beziehungsweise wie groß der Zeitraum zwischen zwei Datensicherungsläufen sein darf, ohne dass bei einem Systemausfall wertvolle Daten verloren gehen können. In einer einfachen Darstellung kann davon gesprochen werden, wie lange ein Unternehmen ohne IT-Prozesse überlebensfähig ist und wie viel Datenverlust verkraftbar ist.

Zielführend ist es in diesem Zusammenhang, Datenkategorien zu bilden, denn die Anforderungen an die Daten und Systeme hängen maßgeblich davon ab, was ein Ausfall oder die Nichtverfügbarkeit der Daten das Unternehmen je Minute kosten. Dies kann natürlich stark variieren, da nicht nur der direkte Schaden, sondern ebenfalls Folgekosten oder fehlende Umsatzerlöse berücksichtigt werden müssen.

Bei den ersten Schritten in Richtung einer fundierten IT-Strategie, vor allem unter Betrachtung entsprechender Sicherheitsfaktoren, kann externe Unterstützung zum Beispiel im Rahmen eines IT-Audits oder einer IT-Systemprüfung hilfreich sein. Gemeinsam mit der IT (-Abteilung) und der Unternehmensleitung können grundlegende Bedarfe ermittelt werden – ein immenses Budget ist hier nicht notwendig. Wichtig ist es, das betriebseigene System regelmäßig und von unabhängigen Prüfern kontrollieren zu lassen und Mitarbeiter durchgängig mit einzubeziehen. Denn auch so kann sichergestellt werden, dass bei Veränderungen der strategischen Ausrichtung oder der Sicherheitsfaktoren schnell und zuverlässig reagiert werden kann.

Natürlich birgt der Einsatz komplexer IT-Systeme zahlreiche Risiken, aber ein gutes IT-Management, geschulte Mitarbeiter und vorausschauende Entscheidungsträger können die IT(-Sicherheit) zu einem echten Erfolgsfaktor eines Unternehmens machen.

Kontakt

HMC Hahne Management Consulting GmbH
Tel.: 05451 170002-0
E-Mail: hahne@hmc-hahne.de



[1] Cloud Computing (deutsch: „IT in der Wolke“) beschreibt die Bereitstellung von IT-Infrastruktur, etwa Speicherplatz, Rechenleistung oder Software, über das Internet.

[2] Big Data bezeichnet große, ungeordnete Datenmengen, die durch neue Technologien unternehmerisch oder sozialwissenschaftlich nutzbar gemacht werden können. Der Begriff dient auch als Sammelbezeichnung für Technologien, die aus der veränderten digitalen Kommunikation in sozialen Netzwerken resultieren.