- Professional Computing

26
Sicherheit CLOUD COMPUTING
Kleine Daten,
grosse Gefahr
IT-Hacks werden meist nur dann öffentlich bekannt, wenn grosse Konzerne
wie zuletzt United Airlines, JP Morgan oder Sony betroffen sind. Daher
wähnen sich kleine und mittelständische Unternehmen häufig in Sicherheit.
Die Investitionen in die IT steigen –
und damit auch die Angriffsfläche
Die IT-Ausgaben insgesamt steigen derzeit und es
werden ständig neue Investitionen – etwa der Einkauf mobiler Technologien – getätigt. Doch mit der
Zahl der vernetzten Geräte wächst auch die Verwundbarkeit, denn die bislang bestehende Grenze
zwischen der internen Firmen-IT und dem Internet
existiert nicht mehr. So gab es 2014 über 43 Mil-
lionen registrierte Angriffe über das Internet. Dies
bedeutet mehr als 117 000 Attacken täglich. ITSicherheit ist noch unverzichtbarer geworden –
zum Schutz des Unternehmens, der Mitarbeiter
und des geistigen Eigentums. Vor allem kleine und
mittlere Unternehmen stehen damit aber vor einer
Herkules-Aufgabe. Denn sie können die Absicherung ihrer immer komplexer werdenden IT-Landschaft kaum mehr aus eigener Kraft leisten. Der
Aufwand dafür ist immens und das erforderliche
Know-how extrem hoch. Sie müssen sich in erster
Linie auf ihr Kerngeschäft fokussieren – Kunden
bedienen, Aufträge generieren und dabei Herr über
den Verwaltungsaufwand bleiben. Für IT-Sicherheit fehlen dann schlicht die Ressourcen.
Risikofaktor Mitarbeiter
Hinzu kommt, dass sich Mitarbeiter im Umgang
mit mobilen Endgeräten und Lösungen oft sehr
unbekümmert verhalten. Das AVG Partner-Unternehmen Centrify hat herausgefunden, dass ein
Bild: EtiAmmos/shutterstock.com
IT-Sicherheit ist
noch unverzichtbarer geworden –
zum Schutz des
Unternehmens,
der Mitarbeiter
und des geistigen
Eigentums
Ein Irrtum, der fatale Folgen haben kann. Denn
Hacker nehmen keineswegs nur die Grossen ins
Visier. Auch KMU verfügen über wertvolle Daten
wie Informationen über Kunden, Mitarbeiter, Finanzen und geistiges Eigentum. Für Betrüger sind
sie als Ziel oft sogar doppelt attraktiv: Zum einen
sind die Zugriffshürden aufgrund mangelnder
Expertise im Bereich IT-Sicherheit oft leichter zu
überwinden als bei den Weltkonzernen. Zum anderen fehlt es vielfach an den notwendigen Budgets,
um die IT-Infrastruktur adäquat abzusichern.
27
CLOUD COMPUTING Sicherheit
Drittel der Nutzer seine Geräte gar nicht sichert.
Andere verwenden lediglich elementare, leicht erratbare Passwörter und gefährden so die wertvollen Unternehmensdaten. Das ist umso bedenklicher, da Hacker mit immer raffinierteren Maschen
agieren. So bewegen sie etwa mit Social-Engineering-Techniken Mitarbeiter dazu, realistisch anmutende, aber betrügerische E-Mails oder gefälschte
Webseiten zu öffnen.
Viele Unternehmen setzen auf ein Mobile Device
Management (MDM), um sich vor den wachsenden
Gefahren aus dem Netz zu schützen. Darüber sind
alle mobilen Geräte der Mitarbeiter zentral autorisiert. Zudem müssen die Mitarbeiter eine Reihe
von IT-Vorschriften akzeptieren, bevor sie auf Unternehmensressourcen oder -daten zugreifen können. Im Gegenzug erhalten IT -Administratoren die
nötigen Privilegien, um Sicherheitsverfahren anzuwenden. Dazu gehört etwa, ein Gerät remote zu
lokalisieren, es zu sperren, Daten zu löschen oder
zu prüfen, ob spezielle Geräte, Netzwerke und VPN
den Unternehmensrichtlinien entsprechen. Doch
auch ein MDM birgt Risiken: Mitarbeiter können
sich in ihrer Arbeit behindert sehen und auf eigene
Faust gefahrenträchtige Lösungen suchen.
Best-Practices für KMUs
Dabei gibt es auch für kleine Unternehmen, die
noch keine IT-Komplettlösung integrieren können, einige Best Practices zum Schutz der sensiblen Daten. Zum einen sollten Unternehmen ihre
Mitarbeiter zum Thema IT-Sicherheit schulen und
sie über aktuelle Bedrohung informieren. Ebenso
sollten die Unternehmensdaten in verschlüsselten
Datenbanken gespeichert werden. Jeder Zugang
zu einer Datenbank mit Kundendaten sollte mit
einem sicheren Passwort versehen sein, welches
in regelmässigen Abständen geändert wird. Weiterhin ist es wichtig, dass die Unternehmen eine
Malware Detection Software auf allen Servern und
Arbeitsplätzen nutzen und sicherstellen, dass diese
regelmässig gepatcht und upgedatet wird. Standardisierte Netzwerksicherheits-Kontrollen erhöhen zusätzlich die IT-Sicherheit im Unternehmen.
Weiterhin sollten Unternehmen sicherstellen, dass
ihr Krisenmanagement oder Krisenplan auch Vorgehensweisen bei einer eventuellen Datenschutzverletzung beinhaltet.
Managed Service Provider als Helfer der KMU
Zudem können sich Unternehmen auch externe Unterstützung zur Absicherung ihrer Systeme
holen – denn dank Cloud sind Mangaged Security
Services heute auch für KMU bezahlbar. Schliesslich ist durch die Bereitstellung wichtiger Sicherheitsfunktionen wie Malware-Schutz, Content-
Filterung, Backup und E-Mail-Schutz über die
Cloud keine Investition mehr im Vorfeld notwendig. Für Kunden fallen nur Kosten bei tatsächlicher
Nutzung an. Der Schlüssel dazu liegt in Remote
Monitoring- und Management-Lösungen. Diese
arbeiten auf Protokollebene und kommen dadurch
ohne lokal installierte Agenten aus. Damit kann
der Service-Provider alle Geräte im Netzwerk des
Unternehmens inventarisieren und überwachen,
Fehler und Probleme frühzeitig erkennen und mit
geringem Aufwand beseitigen. So können auch
KMU Leistungsmerkmale der IT-Security nutzen, die bislang aus Kostengründen oder wegen
den damit verbundenen Aufwänden kaum sinnvoll vor Ort implementierbar waren oder Grossunternehmen vorbehalten blieben, wie etwa Single
Sign-On. Denn auch diese Technologie bieten viele
Anbieter heute schon als Cloud-basierten Service
an und erhöhen damit die Nutzbarkeit, Sicherheit
und Compliance über alle mobilen Geräte hinweg
– einschliesslich traditioneller Windows und OSX
Laptops.
Zeit zu Handeln
Angesichts der steigenden Bedrohungen können
KMU es sich schlichtweg nicht leisten, erst dann in
IT-Sicherheit zu investieren, wenn sie als Opfer von
Datendiebstahl in die Schlagzeilen geraten. Abgesehen vom finanziellen Verlust eines solchen Vorfalls ist der Image-Schaden unkalkulierbar – und
das hart erarbeitete Kundenvertrauen unwiderruflich beschädigt.
Allerdings fehlt es gerade kleineren Unternehmen
oft an dem notwendigen Know-how und Ressourcen, um ihre System adäquat abzusichern. Grosse
Unternehmen wollen den enormen Aufwand immer häufiger nicht selbst leisten. Daher ist jetzt ein
neuer Ansatz für die IT-Sicherheit erforderlich. Sie
muss vor allem bezahlbar und beherrschbar bleiben. Komplexe Best-of-Breed-Angebote, die vor
Ort beim Anwender betrieben werden, gehören
damit der Vergangenheit an. Flexibilität und Skalierbarkeit sind Trumpf. Daher werden immer mehr
Unternehmen zukünftig ihre Security-Funktionen
über die Cloud beziehen. Die IT-Infrastruktur wird
dann komplett remote über Monitoring- und Management-Lösungen verwaltet. Die dafür nötigen
Tools sind bereits am Markt verfügbar.
Autor: François Tschachtli ist
Sales Director DACH & Benelux
bei AVG Business
Viele Unternehmen setzen auf
ein Mobile Device
Management
(MDM), um sich vor
den wachsenden
Gefahren aus dem
Netz zu schützen.