Herausforderungen und Lösungen für den Mittelstand

Wie lassen sich digitaler Fortschritt und IT-Security in Einklang bringen?

Unternehmen digitalisieren ihre internen Prozesse sowie die Interaktionen mit Kunden und Partnern, um ihre Wettbewerbsfähigkeit zu steigern.
aveniq-whitepaper-digitale-transformation-security-28-08-17

Eingesetzt werden neue Technologien und Kommunikationsmöglichkeiten. Menschen werden mit Maschinen oder Maschinen untereinander vernetzt, um einen durchgängigen Prozess zu unterstützen. Damit werden aber auch Applikationen und Daten für jedermann von überall her erreichbar. Eine wirksame IT-Sicherheit ist in diesem Zusammenhang nicht nur unerlässlich, sondern ein Wettbewerbsvorteil. Wie können mittelständische Unternehmen dies bewältigen?

Erst kürzlich vorgekommen und vielen Lesern bestimmt bekannt: eine E-Mail mit dem Betreff «Ihr DHL-Paket kommt am Dienstag, 13.00–18.00 Uhr» oder mit einer täuschend echt aussehenden Rechnung von Swisscom im Anhang. In beiden Fällen wurde der Benutzer aufgefordert, einen Link anzuklicken, der einen Schadcode herunterlädt. Im schlimmsten Fall kann dieser mit allen Berechtigungen des betroffenen Benutzers im Firmennetzwerk Schaden anrichten.

‍Diese sogenannten «Phishing Mails» werden immer professioneller und gezielter aufgesetzt, sodass sie eine der grössten Bedrohungen in der IT-Security darstellen. Zuerst wird die Neugierde des Users ausgenutzt, um den Perimeterschutz zu überwinden, danach folgen die technischen Schwachstellen der Systeme oder ungenügende Schutzkonzepte. Ein unbedachter Klick auf einen Link und schon öffnet sich die Tür für Betrug, Datendiebstahl oder Sabotage. Die Folge sind etwa Erpressung durch Verschlüsselung der Daten, Manipulation von Finanztransaktionen, ungewollter Versand von Dokumenten an Dritte, Veränderung von Daten oder Nichtverfügbarkeit eines Dienstes.

Kompetente und vertrauenswürdige Partner können mittelständische Unternehmen mit den notwendigen Massnahmen gezielt unterstützen. Wichtig für die Wahl des richtigen Partners sind die Kenntnis der IT-Umgebung des Unternehmens, der (Sicherheits-)Kultur sowie der fortlaufende Austausch zur Risikosituation.

Herausforderung «Internet of Things»

Eine neue Herausforderung bildet das «Internet der Dinge» und die damit zusammenhängende Anbindung von Geräten und Sensoren. Oft sind diese geografisch verteilt oder mobil und sind auch nicht in einer beeinflussbaren Umgebung. Die Kommunikation von und zu diesen Geräten ist wirtschaftlich nur über die bestehende, allgemein genutzte Infrastruktur wie Internet oder Mobilfunk sinnvoll. Da diese Geräte bisher meist für die Verwendung innerhalb eines gesicherten Unternehmensnetzwerks entwickelt wurden, sind die eingebauten Schutzmassnahmen zu gering. Somit müssen zusätzliche Sicherheitsmechanismen implementiert werden. Dies ist technisch sehr komplex und kann die ganze Installation verteuern. In einigen Branchen werden entsprechende Mindeststandards für die Sicherheit von Anwendungsfällen definiert, wie etwa den Einsatz von intelligenten Messgeräten in der Energieversorgung.

Massnahmen ans Unternehmen anpassen

Um zu vermeiden, dass Kunden geschädigt werden, Unternehmen finanzielle Einbussen erleiden oder bei der Automatisierung der Gerätesteuerung Mensch und Umwelt zu Schaden kommen, sind eine ganze Reihe von Massnahmen notwendig. Es gibt aber keine Standardlösung, die man einfach einkaufen und installieren kann und damit das Problem behebt. Da jede Firma individuell ist, sollten auch die Massnahmen technisch sowie organisatorisch zum Unternehmen passen. Basis dafür ist eine regelmässige Prüfung und Aktualisierung der jeweiligen Risikosituation und Bedrohungslage.

‍Einen ganzheitlichen Schutz gibt es jedoch nicht. Durch die laufende Professionalisierung der Angreifer und wachsende technische Möglichkeiten, verändern sich die Angriffsmethoden stetig. Daher sind sowohl die Erkennung von Angriffen als auch die adäquate Reaktion darauf ebenfalls wichtige Massnahmen, die künftig noch wichtiger werden.

‍Gleichzeitig müssen auch der Schutz vor anderweitige Schadensereignissen und die Einhaltung von gesetzlichen und regulatorischen Vorgaben sichergestellt werden. Das Risikobewusstsein in der Unternehmensleitung ist daher ein kritischer Erfolgsfaktor. Die Identifikation und Anerkennung der unternehmensspezifischen Risiken sowie deren Beurteilung und Behandlung sind nicht delegierbare Verantwortungen der Führung.

Lösungen für mittelständische Unternehmen

Kann dies ein mittelständisches Unternehmen überhaupt bewältigen? Für alle Unternehmen ist dies eine absolute Notwendigkeit, allerdings mit hohen personellen und finanziellen Aufwänden verbunden.

‍Kompetente und vertrauenswürdige Partner können mittelständische Unternehmen mit den notwendigen Massnahmen in der digitalen Transformation gezielt unterstützen. Die Dienstleistungen setzen sich aus einzelnen Bausteinen zusammen und reichen bis zu Full-ServiceLösungen:

  • Definition der passenden Sicherheitsvorgaben zum Umgang mit IT-Mitteln und Daten
  • Entwickeln und implementieren von pragmatischen Schutzkonzepten für die kritischen Werte des Unternehmens ∙ Festlegen der Aufgaben und Verantwortlichkeiten, inklusive Schulung der betroffenen Mitarbeitenden (z.B. Management, Fachapplikationsverantwortliche, Systemadministratoren)
  • Benutzer sensibilisieren und korrektes Verhalten aufzeigen
  • Aufsetzen und Betrieb von Firewalls, Netzwerkzonen, Fernwartungsgateways, verschlüsselten Datenleitungen, Virenschutz und weiteren technischen Schutzeinrichtungen
  • Sichere Konfiguration von Servern, Clients und Anwendungssoftware, inklusiv regelmässiger Aktualisierung der Software insbesondere Betriebssystem und Browser
  • Regelmässige Überprüfung des Ist-Zustands der Systeme und zeitnahes Beurteilen und Initiieren von (Sofort-)Massnahmen bei neuen Schwachstellen oder Bedrohungen
  • Überwachung und Aufzeichnung von Daten zur Erkennung und Prüfung von verdächtigen Ereignissen
  • Notfallmanagement im Ereignisfall, um den Schaden möglichst zu begrenzen, inklusiv Vor-Ort-Support-Team

Attraktiv kann auch das «Mieten» eines CISO sein. Dieser kann als Übergangslösung oder im Mandat Unterstützung bieten: sich dauernd ändernde Geschäftsprozesse und Technologien beurteilen, neue Regulatorien bewerten, Stellungnahmen zur Wirksamkeit der aktuell implementierten Schutzkonzepte verfassen, firmenpolitische Interessen vertreten, dringende Risikoentscheide fällen oder bei Bedarf Spezialisten führen. Wichtig für die Wahl des richtigen Partners sind die Kenntnis der IT-Umgebung des Unternehmens, der (Sicherheits-)Kultur sowie der fortlaufende Austausch zur Risikosituation. So agiert der Partner als Anlaufstelle bei Fragen oder Ereignissen, und die Massnahmen werden jeweils individuell, proaktiv auf das Unternehmen angepasst.

‍Netzwoche Special «Digital Transformation 2017»

Fakten

  • Mensch und Maschine vernetzen
  • Grösste Bedrohung durch «Phishing Mails»
  • «Internet of Things» als Herausforderung
  • Lösungen für Unternehmen

Beratung erwünscht?

Die erfahrenen Expert*innen von Aveniq beraten Sie gerne und unverbindlich rund um ihr Fachthema und wie dieses die Wettbewerbsfähigkeit Ihres Unternehmens positiv beeinflussen kann. Jetzt Termin vereinbaren.

aveniq-medien-Benno-Leuenberger-72ppi-quadrat

Benno Leuenberger

Head of Business Consulting

+41 58 059 41 78 Termin buchen