29. Februar 2024

So bleibt IT-Security auch für den Mittelstand bezahlbar 

ADLON Sven Hillebrecht

Ravensburg, im Februar 2024 – IT-Sicherheit darf keine Kostenfrage sein. Dennoch nennen viele Unternehmen die Investitions- und Betriebskosten als Hauptgrund für ihre Zurückhaltung beim Thema Sicherheit. Doch wie viel Wahrheit steckt dahinter? Warum handeln deutsche Unternehmen (noch) nicht? Und warum ist IT-Sicherheit überlebenswichtig? Und welche Rolle spielt dabei NIS2? Diesen Fragen und möglichen Lösungsansätzen gehen wir in unserem Artikel auf den Grund.

Die Bedeutung von IT-Sicherheit hat sich in den letzten Monaten nochmals zugespitzt. Die Gefahr bestand zwar schon länger, allerdings war sie bisher nicht spürbar. Durch Ransomware und Schadsoftware bekommt IT-Security in unserer stark vernetzten Welt eine starke Brisanz. Unternehmen erfahren finanzielle Schäden und Ausfälle. Jeder kennt jemanden, der betroffen ist. Und es sind nicht länger nur die großen Firmen. Die Gefahr ist allgegenwärtig und es ist keine Frage, ob man angegriffen sein wird, sondern wann. Gerade für den Mittelstand, der nicht über die Ressourcen großer Unternehmen verfügt, stellt die Implementierung kostenintensiver Sicherheitsmaßnahmen und deren aktives Sicherheitsmanagement eine große Herausforderung dar. Dabei haben KMU dieselben Anforderungen und sind meist noch anfälliger. Wie kann also eine mittelstandsgerechte Lösung aussehen?

Die Anforderungen an IT-Sicherheit wachsen

Der vormals klassische Weg zur Überwachung sicherheitsrelevanter Ereignisse eines Unternehmens bestand darin, alle Vorfälle (Events) von Betriebssystemen, Applikationen, Clients, Datenbanken, uvm. unterschiedlicher Hersteller an ein zentrales Security Information and Event Management (SIEM-System) zu schicken. Dort, in ein einheitliches Format gebracht und mittels Regeln korreliert, wurden Detektionsszenarien erkannt und gemeldet. Beispielsweise die Häufung von Passworteingaben, die auf einen Brute-Force-Angriff hindeuten. Die gemeldeten Events wurden anschließend von Experten des Security Operation Center (SOC) bearbeitet.

Die Praxis zeigt, dass dieses ressourcenintensive Szenario, das stark auf der Reaktion basiert, nicht länger ausreicht. Herausforderungen wie die Ermüdungserscheinungen im SOC, fehlende personelle Ressourcen für ein 24/7 Detection & Response und fehlende Flexibilität bzw. unzureichendes Wissen in den Angriffsszenarien lässt neben den enormen Kosten am klassischen SOC zweifeln. Zudem bieten diese Ansätze keine Entwicklung. Präventive Maßnahmen stellen einen soliden Grundstock in der IT-Security dar. Die Lösung sollte daher präventive und reaktive Aspekte beinhalten.

Dedizierte Anforderungen aus dem Mittelstand

  • Transparenz zu Schutzbedarf: Pragmatische und gleichzeitig umfassende Risikoanalyse und Sicherheit für Informationssysteme
  • Bewährte Methode: Nutzung einer bewährten SOC-Methode. Pragmatische und kompakte Anbindung samt Abstimmung der Prozesse und Weiterleitung aller Events
  • Individuelle Behandlung: Anpassung der UseCases an die Infrastruktur und den konkret vorhandenen Produkten des Unternehmens.
  • Störungsfreier Betrieb: Implementierung, ohne die Produktion zu beeinflussen
  • Aktives Management: Bewältigung von Sicherheitsvorfällen, Aufrechterhaltung und Wiederherstellung, Backup-Management, Krisen-Management, Personalsicherheit, Zugriffskontrolle und Anlagen-Management
  • Umfassendes Management: Sicherheit der Lieferkette, Sicherheit zwischen Einrichtungen, Dienstleister-Sicherheit sowie Sicherheit in der Entwicklung, Beschaffung und Wartung
  • Prävention: Security-Level steigern, Management von Schwachstellen, Schulungen Cybersicherheit und Cyberhygiene, Multi-Faktor Authentisierung und kontinuierliche Authentisierung
  • Security-Controlling: Bewertung der Effektivität von Cybersicherheit und Risiko-Management
  • Zentrales Cockpit: Homogene Betrachtung der Security-Produkte und Ihrer überwachten Assets. Inklusive Übersicht der Vorfälle und Attack-Story des einzelnen Vorgangs.
  • Digitale Unterstützung: z. B. automatisierte Unterbindung von einem Sicherheitsvorfall.
  • Sichere Notfallkommunikation
  • Zielgerichtete Investition: angemessener Einsatz von Ressourcen in Unternehmenskritische Handlungsfelder (was für das Unternehmen am schädlichsten ist)

Warum viele Unternehmen (noch) nicht aktiv werden

Neben der eingangs beschriebenen, fehlenden Risiko-Sensibilität und der Annahme, dass es einen selbst nicht treffen könnte, werden lt. Bitkom folgende Gründe für die abwartende Haltung genannt: Fehlende personelle und finanzielle Ressourcen. Nutzung von Cloud-Diensten, für die es vermeintlich keine Security Lösung benötigt. Die Angst vor Abhängigkeit an einen IT-Dienstleister. Fehlende Transparenz in Sachen Schutzbedarf. Und die fehlende mittelstandsgerechte Lösung.

Die Rolle von NIS2 und anderen Richtlinien

Die BSI-Kritisverordnung stellt bisher die nationale Regulierung für Cybersecurity in kritischen Infrastrukturen dar. Die EU-weite NIS-2 Richtline, welche ab Oktober 2024 in Kraft treten soll, vereinheitlicht und erweitert die bisherigen Regelungen. NIS2 stärkt mit der Richtlinie die Cybersicherheit bei Betreibern und Einrichtungen. Verordnungen wie NIS2 bringen somit Zug hinter die Prävention, um wirtschaftlichen Schaden zu vermeiden.

Warum ist Cybersecurity überlebenswichtig?

Lt. BSI ist die Deutsche Wirtschaft in der Breite von Angriffen betroffen. Diebstahl und Wirtschaftsangriffe verlagern sich in den digitalen Raum. Leider sind dabei immer öfter Dritte betroffen, wie es der Diebstahl von Kundendaten zeigt. Cyberattacken bedrohen die Existenz vieler Unternehmen und richten finanziellen Schaden an. Im letzten Jahr waren es 202 Milliarden Euro.

Die häufigsten Schäden entstehen durch Phising und Passwortdiebstahl mit denen Ransomware-Attacken auf Strukturen von Unternehmen eingeleitet werden. In der aktuellen Risikolage ist es unumgänglich aktiv zu werden. Im Dreieck Politik, Wirtschaft und Mitarbeiter gilt es an allen Handlungsfeldern anzusetzen.

Mittelstandsgerechtes Lösungsdesign

Die Gefahr eines Angriffs ist also nur noch eine Frage der Zeit. Aufgabe unternehmerischen und verantwortungsvollen Handelns ist es somit die Basis für IT-Sicherheit mit Prävention und Reaktion zu schaffen. Und das mit einem mittelstandgerechten Vorgehen, das agil, kostensensibel und ressourceneffizient funktioniert:

Schutzbedarfsanalyse und Priorisierung:
Eine umfassende Schutzbedarfsanalyse ermöglicht es, Sicherheitsmaßnahmen gezielt dort zu implementieren, wo sie am dringendsten benötigt werden. Bevor Investitionen getätigt werden. Denn durch kluge Priorisierung kann der Mittelstand die verfügbaren Ressourcen optimal einsetzen. Moderne XDR-Systeme bieten Handlungspläne an und zeigen auf, wie diese den Sicherheitsstandard unterstützen.

Sicherheitslösungen aus dem Ökosystem:
Die Cloud bietet nicht nur Flexibilität, sondern auch bezahlbare Funktionen rund um die Cyber-Sicherheit. Cloud-Plattformen ermöglichen es Unternehmen, auf fortschrittliche Sicherheitsinfrastrukturen zuzugreifen, ohne hohe Anfangsinvestitionen tätigen zu müssen. Initiale Rüstzeiten und hohe Lizenzkosten entfallen.

Endgeräte in den Mittelpunkt rücken
Mobiles Arbeiten erhöht den Schutzbedarf der Endgeräte. Mit Managed Clients und Defender XDR wird der Schutz von Clients präventiv gewährleistet. Zusätzliche Zugangskontrolle mit Multifaktor-Authentifizierung und Defender XDR stützt das aktive Security Management.

Managed Security Services (Outsourcing)
Strategisches Outsourcing ist im Kommen. Nicht nur der Fachkräftemangel befeuert diese Taktik, sondern die die Effizienz durch die Nutzung externer spezialisierter Fähigkeiten. Wichtig bleibt die Tatsache: Die Verantwortung für IT-Security kann der Unternehmen nicht abgeben, sie bleibt im Unternehmen. Daher ist ein Outsourcing Vertrauenssache Transparenz und Augenhöhe sind entscheidend. Kleine agile Teams und direkte Ansprechpartner die erreichbar sind, haben sich bewährt.

Awareness-Training für Mitarbeiter und IT-Abteilung
Die menschliche Firewall ist noch immer die Beste! Mitarbeiter sind oft die erste Verteidigungslinie gegen Cyberbedrohungen. Hier bieten sich fortlaufende Schulungen zur Sensibilisierung für Sicherheitsrisiken und Best Practices im Umgang mit sensiblen Daten an. Es sind kostengünstige Maßnahmen, die einen erheblichen Beitrag zur Verbesserung der Gesamtsicherheit leisten können. Auch die interne IT muss geschult werden. Als Verantwortungsträger muss sie die Vorfälle verstehen und als SOC selbst oder mit dem externen Partner interpretieren können.

Sicherheitsrichtlinien und -prozesse implementieren:
Klare Sicherheitsrichtlinien und -prozesse bauen Geschwindigkeit auf, wenn es darauf ankommt. Jedes Unternehmen sollte Richtlinien für Zugriffsrechte, Datensicherung und Incident Response entwickeln und implementieren. So kann auf potenzielle Bedrohungen angemessen reagiert werden. Zusätzlich stützt ein aktives Risikomanagement System bei der Betrachtung der möglichen Schwachstellen.

Fazit: IT-Sicherheit im Mittelstand muss nicht zwangsläufig hohe Kosten verursachen. Durch eine intelligente Risikobewertung, den Einsatz von ausgewählten Verteidigungsmechanismen, die Nutzung von Cloud-Sicherheit, Awareness-Training für Mitarbeiter, klare Sicherheitsrichtlinien und -prozesse sowie Netzwerksegmentierung können Unternehmen ihre digitale Infrastruktur schützen, ohne das Budget zu sprengen. Eine durchdachte Kombination dieser Strategien ermöglicht es dem Mittelstand, Sicherheit bezahlbar und effektiv zu gestalten. Security ist also kein K.O.sten-Kriterium.

Verfasser: Sven Hillebrecht, General Manager bei Adlon

ZIP | 5,43 MB | inklusive Bildmaterial

Ihre Ansprechpartnerin

ADLON Speaker Sabrina Dür

Sabrina Dür

+49 751 7607‐715

sabrina.duer@adlon.de