Mit hohem Aufwand gegen ein konkretes Unternehmen zielgerichtete IT-Attacken von Profis oder Insidern sind meist sehr medienpräsent aber nicht der Regelfall. Die meisten von uns erlebten Angriffe, vor allem im KMU-Bereich, sind Zufallsgeschichten. Sicherheit allgemein ist für Unternehmen stets eine Gratwanderung zwischen den Kosten für Maßnahmen und dem dadurch reduzierten Risiko. Um hier den richtigen Weg zu finden, ist ein vernünftiger Umgang mit dem Thema Sicherheit notwendig.

Wie ein Angreifer vorgeht

Die meisten Schadensfälle entstehen aus 08/15-Bedrohungen. Der Angreifer scannt wahllos tausende IT-Adressen und attackiert die, die am einfachsten Zutritt ermöglicht – durch eine schlechte Konfiguration, einen angeklickten CryptoLocker bis hin zu Schwachstellen in verwendeter Software. Oft reicht daher ein ‚Best-of-breed´-Standard an Sicherheit aus, weil manche Bedrohungsszenarien für ein Unternehmen gar nicht relevant sind. Dieses gilt es zu identifizieren.

Die Hausaufgaben bei der Security

IT-Security braucht daher unbedingt eine Strategie. Als Erstes muss ein Unternehmen den Datenbestand und die Datenströme festlegen. Weiß das Unternehmen, wie schutzbedürftig seine Daten sind? Was hängt im Unternehmen von den Daten ab? Wie schnell müssen Daten im Ernstfall wieder verfügbar sein? In diesem Zusammenhang müssen die Kernprozesse und die wichtigsten Mitarbeiter identifiziert werden. Erst wenn ein Unternehmen diese Hausaufgaben gemacht hat, kann es sich eingehender mit seiner IT-Security befassen.

Die drei Säulen der Security

IT-Security kann und darf nicht isoliert technisch gesehen werden. Security muss überall inbegriffen sein: in einem Notebook, in Cloud-Services, Endpoints, Software – aber auch im Kopf der Mitarbeiter. Ein Unternehmen sollte seine Security-Strategie auf drei große Säulen hin ausrichten: in Bezug auf den Menschen, die Organisation und die Technik. Die kritischste Säule dabei ist immer noch der Mensch. Das Thema Security muss ja im Bewusstsein jedes einzelnen Mitarbeiters ankommen.

