Die Nachrichten über Viren/Trojaner in Unternehmensnetzwerken, Krankenhäusern und öffentlichen Einrichtungen nehmen stetig zu.[1],[2] Die Angst geht um vor Angriffen auf „kritische Infrastrukturen“ wie Strom- und Wasserversorger oder Atomkraftwerke.[3] Großkonzerne berichten von Angriffen auf ihre IT-Systeme, die z.T. zu wochenlangen Ausfällen ganzer Produktionsstandorte geführt haben.[4]

Die Arbeitswelt hat sich verändert: Vor nicht all zu langer Zeit hatten viele Firmen – gerade auch im Mittelstand – noch oftmals nur vereinzelte PC-Arbeitsplätze in Ihren Betrieben. Von zentralen Daten auf Servern, einer Vernetzung der Arbeitsplätze, das Verwenden des Internets und mobilem Arbeiten waren viele noch weit entfernt.

Heute jedoch verlassen wir uns auf elektronische Kalender für unsere Termine, Datenbanken für unsere Kontakte, Datei- und Anwendungsserver für unsere Listen, Dokumente, Bilder, Videos. Im Ingenieurbüro wird nicht mehr am Reißbrett gezeichnet, sondern auf dem PC. Im Pflegeheim wird der Gesundheitszustand der Bewohner nicht mehr in der Papierakte dokumentiert, sondern auf dem Tablet-PC. Derartige Beispiele, wie IT die Arbeitswelten verändert hat und heute dominiert, finden sich überall. Beim Dienstleister, dem Händler, Produzenten und Handwerker.

IT-Sicherheit ist vielschichtig: Die Frage, was passiert mit den Daten auf einem Laptop, wenn dieser z.B. unterwegs gestohlen werden sollte, betrifft in erster Linie das Thema “IT-Sicherheit”. Aber auch die Verbreitung eines Trojaners/Virus im Unternehmensnetzwerks, der die Unternehmensdaten verschlüsselt und die Firma schlagartig “aussperrt”, ist ein Szenario im Kontext der “IT-Sicherheit”.

Beide Beispiele haben – trotz der unterschiedlichen Auswirkungen – eine perfide Gemeinsamkeit: sie kündigen sich in der Regel nicht lange im Voraus an, sondern treten dann meistens überraschend und unmittelbar auf.

Umso erstaunlicher ist, wie viele Unternehmen – gerade im Mittelstand – dennoch bis zum heutigen Tage IT-Sicherheit verhältnismäßig nachrangig behandeln.

In Budget- und Jahresplanungen taucht IT oftmals immer noch nicht als eigener Posten auf. Dringend notwendige Investitionen in Stabilität und Sicherheit der Systeme werden hinausgeschoben, ganz nach dem (schon lange überholten) Motto der 90er Jahre: „Never change a running system“.

Diese falsch verstandene und sich vielfach nur langsam ändernde Haltung mag dadurch bedingt sein, dass sich wenige Bereiche in den letzten 10-20 Jahren derart rasant verändert haben, wie der Einfluss der IT auf unseren Alltag im Privaten als auch Geschäftlichen. Hier Schritt zu halten ist zugegebenermaßen eine große Herausforderung. Jedoch wird auch hier die Anpassungsfähigkeit der Unternehmen am Ende über Erfolg (Unternehmensfortbestand und Wachstum) und Misserfolg (Scheitern) entscheiden.

Zunächst sollte sich bewusst gemacht werden, welche Bedeutung eine funktionierende und sichere IT-Landschaft für das eigene Unternehmen hat. Hierbei können eine Reihe von Fragen helfen, ein reales Bild zu entwickeln – beispielsweise:

• Welche Tätigkeiten wären überhaupt noch im Unternehmen durchführbar, würde jeder Laptop, PC, Server und jedes Smartphone im Unternehmen plötzlich nicht mehr funktionieren (z.B. aufgrund eines Trojaner- oder Virenbefalls)?
• Wie lange könnten wir tatsächlich ohne E-Mail-Kommunikation und ohne Zugriff auf Rechnungs- und Produktionsdaten oder Bestellungen weiterbestehen, ohne signifikant Kunden- und Lieferantenbeziehungen zu riskieren?
• Wieviel kosten mich meine Mitarbeiter pro Tag, wenn sie nicht produktiv arbeiten können, weil die IT nicht funktioniert?
• Was wäre die Wirkung auf bestehende und potentielle Kunden, würden Kunden- und Unternehmensdaten aufgrund einer Sicherheitslücke in der eigenen IT plötzlich frei abrufbar im Internet auftauchen?
• Und wie hoch wäre der zusätzliche potentielle Schaden durch Strafzahlungen an Behörden?

Werden diese Fragestellungen innerhalb der Unternehmen beleuchtet, gelangt diese nahezu immer zu selber Erkenntnis: Die Abhängigkeit des Unternehmens von funktionierender IT wird in der Regel deutlich unterschätzt, die Kosten eines Unternehmensstillstands (ganz oder in Teilen) wären immens und der Reputationsschaden oftmals existenzbedrohend. Viele Unternehmen erkennen dabei, dass sie sich zwar viele Gedanken über ansteigende Lieferanten- und Rohölpreise oder auch den Fachkräftemangel machen – der Risikofaktor IT-Sicherheit aber bislang weitgehend vernachlässigt wurde.

Wichtig ist zu erkennen, dass IT ein kontinuierliches und planbares Thema im Unternehmen werden muss. Genau wie es i.d.R. nicht sinnvoll ist, nach einem ärztlichen Hinweis auf Übergewicht mit einer Radikaldiät zu reagieren, sondern sich langfristig einen nachhaltigen Lebensstil anzueignen, so ist auch IT-Sicherheit ein Thema, das kontinuierlicher Aufmerksamkeit bedarf und bei dem punktuell hohe Einmalinvestitionen hingegen oftmals rasant und wirkungsarm verpuffen.

Unternehmen stellen den Mitarbeitern PCs, Smartphones, etc. zur Verfügung, die fortlaufend aktuell und sicher sein müssen. Entsprechend kann die Höhe der Aufwendungen für den Betrieb und die Absicherung der Unternehmens-IT oftmals direkt in Abhängigkeit der Mitarbeiterzahl gesehen werden – und sollte dementsprechend auch in der Kostenrechnung und Budgetplanung (ggf. anteilig) direkt dem laufenden Personalaufwand zugerechnet werden.

Letztendlich geht es in der IT-Betreuung stets um Sicherheit: Sicherheit vor Ausfällen, Sicherheit vor Datenlecks, Sicherheit vor Viren und Trojanern, Zukunftssicherheit der eingesetzten Lösungen, etc.

Wenngleich es keine 100%ige Sicherheit gibt, kann mit einer Kombination verschiedener Maßnahmen ein für das Unternehmen akzeptables Sicherheitsniveau erzielt werden. Dabei hilft es, eine Reihe von Aspekten zu berücksichtigen:

• Sicherheit in der IT funktioniert nach dem „Zwiebelprinzip“: Verschiedene organisatorische und technische Ebenen im Zusammenspiel erreichen das gewünschte Ziel. Dies beginnt bei IT-Richtlinien im Unternehmen, der Sensibilisierung und Schulung der Mitarbeiter über technische Maßnahmen auf Endgeräten (Laptops, Tablets, etc.) und zentralen Infrastrukturen (Servern, Applikationen, etc.)
• Prinzip des „schwächsten Glieds“: Ein IT-Sicherheits-Konzept ist nur dann hinreichend wirksam, wen es durchgängig und lückenlos im Unternehmen implementiert ist. Beispielsweise können einzelne ungeschützte Geräte als Einfallstor für Schädlinge oder unbefugte Dritte in die Struktur dienen und sonstige Maßnahmen aushebeln.
• Unternehmens-IT ist eine verantwortungsvolle Aufgabe für Fachexperten: Oftmals ist ein externer, breiter aufgestellter IT-Dienstleister besser geeignet zur Betreuung als einzelne, interne Administratoren. Häufig ist bei Dienstleistern IT-Fachwissen in Verbindung mit unternehmerisch/strategischer Expertise breiter vorhanden, ebenso Weiterbildungen und Zertifizierungen (z.B. ISO 27001). Im IT-Umfeld ist der kontinuierliche Aufbau neuen Wissens über den „eigenen Tellerrand“ hinaus entscheidend. Weiterhin wird die Abhängigkeit von einzelnen Personen und Interessenskonflikte innerhalb des Unternehmens vermieden.
• IT-Sicherheit und professionelle IT-Betreuung sind direkt dem Unternehmenserfolg zurechenbare Betriebsausgaben (wie auch Gehälter für Fachkräfte, etc.) und sollten als solche in Planungsrechnungen eingehen.

Zusammenfassend kann somit resümiert werden, dass gerade im Mittelstand ein erheblicher Aufholbedarf besteht, was die Bedeutung von IT-Sicherheit für den Unternehmenserfolg betrifft.[6] Die Herausforderungen, aber auch die damit verbundenen Chancen für die Wettbewerbsfähigkeit und das Fortbestehen der Unternehmung können dabei gar nicht stark genug betont werden.

Gerne erläutern wir Ihnen, wie eine solche, für Ihr Unternehmen passende IT-Sicherheits-Strategie aussehen kann. Informieren Sie sich unter www.be-solutions.com über Lösungsansätze und vereinbaren Sie einen unverbindlichen Termin: +49 89 1894162-0