IT-Security im Mittelstand: Die Bedrohungen wachsen, die Defizite (leider) auch

„Für den Mittelstand besteht beim Thema IT- und Informationssicherheit weiterhin dringender Handlungsbedarf“, so lautet das alarmierende Ergebnis der aktuellen Security Bilanz Deutschland des Marktforschungsinstituts techconsult. Nachdem bereits bei der letzten Erhebung „Nachholbedarf bei der IT-Security“ im deutschen Mittelstand festgestellt wurde, ist die Einschätzung der befragten Unternehmen bezüglich des eigenen Sicherheitsniveaus laut techconsult weiter gesunken.

Umso paradoxer wird die Aussage, wenn man sie mit der ebenfalls erhobenen Aussage in Beziehung setzt, dass „die Bedrohungslage, der sich Unternehmen ausgesetzt sehen, als gefährlicher eingeschätzt“ wird.

„Offensichtlich steigt zwar das Bewusstsein für IT- und Informationssicherheit in mittelständischen Unternehmen, die Umsetzung ist im Vergleich zur Lage vor einem Jahr aber noch nicht wirklich weiter gekommen“, kommentiert techconsult-Studienleiter Henrik Groß die momentane Situation.

Dabei fehlt es derzeit beim Thema IT-Sicherheit weder an Aktualität noch an Aufmerksamkeit, wenn man beispielsweise die Diskussion um den Cyber-Angriff auf den deutschen Bundestag und die Phishing-Attacke auf einen Rechner im Bundeskanzleramt verfolgt.

Der nun veröffentlichte techconsult-Bericht zeigt, dass sich die Selbsteinschätzung der Unternehmen in Bezug auf technische Maßnahmen und Lösungen durchweg negativ verändert hat. Der Anteil der Unternehmen, die Probleme in der Umsetzung von Sicherheitskonzepten sehen, ist überall angestiegen. Selbst bei einfacheren Maßnahmen zur Gewährleistung von IT- und Informationssicherheit, wie die Umsetzung von Passwortrichtlinien, geben mit 52 Prozent mehr als die Hälfte der Unternehmen an, diese nicht gut umgesetzt zu haben (2014: 48 Prozent).

Bei anspruchsvolleren Maßnahmen, wie der Zwei- bzw. Multifaktor-Authentifizierung mit Zertifikaten, Tokens, Smart-Cards oder mittels biometrischer Merkmale ist die Entwicklung sogar noch drastischer. Der Anteil der Unternehmen, die ihre Umsetzung als problematische einstufen, liegt hier zwischen 60 und 69 Prozent, was einem Anstieg von 8 bis 15 Prozentpunkte im Vergleich zum Vorjahr entspricht.

Grafik: Anteil der Unternehmen mit Umsetzungsproblemen (Security Bilanz Deutschland)

Security

Fazit der Analysten: Das Thema Datensicherheit ist zweifellos im Mittelstand angekommen. „Die Konsequenzen zu ziehen, und das heißt: die Lage der IT- und Informationssicherheit im eigenen Unternehmen zu verbessern, steht allerdings noch aus“.

IT-Security-Defizite aufholen – auf praxiserprobte Lösungen setzen

Wenn es darum geht, die oben geforderten „Konsequenzen zu ziehen“ und die „Lage der IT- und Informationssicherheit im eigenen Unternehmen zu verbessern“, stehen gerade mittelständische Unternehmen derzeit vor der Herausforderung, dass sie in der Regel nicht über die erforderlichen Ressourcen (Personal, Knowhow, technische Ausstattung) verfügen, um die anstehenden Aufgaben zu bewältigen. Um diesen „Ressourcen-Engpass“ zu überwinden, sollten sich diese Unternehmen deshalb schnellstens nach Lösungen umsehen, die die notwendigen Funktionen im Bereich IT-Sicherheit bereits integriert haben.

So bietet beispielsweise die Online Collaboration und Enterprise Filesharing-Plattform Oodrive iExtranet die oben angesprochenen einfachen wie auch anspruchsvolleren Authentifizierungsfunktionen als Bestandteil der Gesamtlösung. Es kann beispielsweise über die Verwaltungskonsole der Lösung eine entsprechende Policy für den Umgang mit Passwörtern festgelegt werden (Auswahl der kryptographischen Signatur, Länge, Mindestanzahl der Zeichen, Verwendung von Sonderzeichen, vorgeschriebene regelmäßige Änderungen, Captcha nach einer bestimmten Anzahl von Fehlversuchen usw.). Eine Zwei-Faktor-Authentifizierung mit One-Time-Passwort via SMS bzw. durch Hardware- oder Softwarezertifikate ist ebenfalls möglich.

Auch im Bereich Verschlüsselung bietet iExtranet neben der üblichen SSL-Verschlüsselung bei der Datenübertragung eine Verschlüsselung der gespeicherten Daten mit AES 256. Unternehmen mit höheren Anforderungen an den Schutz vertraulicher Daten können darüber hinaus Hardware-Sicherheitsmodule zum Sichern von Krypto-Schlüsseln einsetzen. Die Lösung wird mittlerweile von mehr als 14.000 Unternehmen eingesetzt.

Fazit: Vor dem Hintergrund der kontinuierlich steigenden Bedrohungen für die IT-Sicherheit in mittelständischen Unternehmen werden die meisten dieser Unternehmen nur in der Lage sein, die in der Security Bilanz Deutschland aufgezeigten Defizite aufzuholen, wenn sie auf bereits bestehende Lösungen mit den entsprechenden IT-Security-Funktionen zurückgreifen. Auf die Frage „make or buy“ kann die Antwort also nur „buy“ lauten.