Techconsult: Security-Strategie sollte schon bei der IT-Planung ansetzen

EnterpriseManagementMarketingSicherheit

Trendthemen wie Cloud Computing und Mobility zwingen Unternehmen zu wirksameren Sicherheitsmaßnahmen zum Schutz ihrer IT. Die Realität sieht aber anders aus, vor allem im Mittelstand, wie eine Studie von Techconsult feststellt. Besonders brisant sind Security-Defizite im Kontext von Industrie 4.0.

Henrik Groß_Techconsult
Henrik Groß, Techconsult

Nur 27 Prozent der mittelständischen Unternehmen verfügen über eine eigenständige und dokumentierte IT-Sicherheitsstrategie. Bei 21 Prozent gibt es noch gar keine Security-Strategie, jedoch ist sie konkret in Planung. Zu diesem Ergebnis kommt eine Studie des Beratungsunternehmens Techconsult, das 100 Unternehmen mit 20 bis 1.999 Mitarbeitern befragt hat. Dieser Nachholbedarf in Sachen Sicherheit erfährt eine besondere Brisanz vor dem Hintergrund von Industrie 4.0: Der Trendbegriff bedeutet, dass Maschinen, Produktionsanlagen und ERP-Systeme informationstechnologisch vernetzt werden. Damit entstehen laut Techconsult hochflexible Produktionsprozesse, die in Echtzeit überprüft und gesteuert werden können.

Durch Industrie 4.0 entstehen aber nicht nur neuen Möglichkeiten, sondern auch neue Gefahren: Über das Internet kann ohne ausreihende Sicherheitsvorkehrungen etwa auf Steuerungsanlagen zugegriffen werden –  was eigentlich nur einem bestimmten Kreis von Personen vorbehalten ist. „IT-Security wird in diesem Kontext zu einem elementaren Thema für diejenigen Unternehmen, die in Zukunft auf diese Technologie setzen wollen, um langfristig Vorteile in der Umsetzung ihrer Geschäfts-und Wertschöpfungsprozesse zu generieren“, betont Hendrik Groß, Research Analyst bei Techconsult.

Immerhin haben laut der Techconsult-Umfrage fast drei Viertel der mittelständischen Unternehmen überhaupt eine Sicherheitsstrategie. Bei den meisten, nämlich 46 Prozent, ist diese jedoch nur im Rahmen einer allgemeinen IT-Strategie definiert. Dabei besteht laut Groß die Gefahr, dass die Security-Strategie zu einer von vielen Teil-Strategien wird. „Darüber hinaus geht es zwar im Kern um die Sicherheit von IT-Systemen im Unternehmen, für welche die IT-Abteilung zuständig ist“, erläutert Groß. „Ebenso geht es aber auch um die Sensibilisierung der Mitarbeiter für IT-Sicherheit, gerade wenn es um Themen wie ‚Bring Your Own Device‘ geht.“

Wenn im Unternehmen die Nutzung eigener mobiler Endgeräte für Firmenzwecke eingeführt wird, sind bestimmte Regelungen laut Groß unerlässlich. „Die IT-Abteilung muss die Kontrolle darüber behalten, sonst entstehen aufgrund der privaten Endgeräte, die ins Unternehmensnetzwerk eingebunden werden, Angriffspunkte für Schadsoftware, die erhebliche Kosten nach sich ziehen können, etwa wenn es zu Datenverlust kommt“, sagt Groß. Abgesehen davon, dass ein zentrales Management dieser Endgeräte ermöglicht werden sollte, seien auch Verhaltensregeln aufzustellen, die Mitarbeiter im Umgang mit Unternehmensdaten auf den privaten Geräten sensibilisieren. Dabei sollte nicht zuletzt definiert werden, was zu tun ist, wenn das Gerät verloren geht.

industrie40_s9

Diesem Trend zu begegnen, ist nur ein Aspekt von vielen im Rahmen einer umfassenden IT-Security-Strategie. Als Idealfall definiert Techconsult drei Teilstrategien, die sich zu einem umfassenden Masterplan in Sachen Sicherheit zusammenfügen. Der passive Teil beinhalte, dass regelmäßig Sicherheits-Updates der Hersteller eingespielt  werden. Im Rahmen einer aktiv-reaktiven Strategie werden Maßnahmen ergriffen, um Bedrohungen abzuwenden. In diese Kategorie fällt beispielsweise der Einsatz von Virenscannern und Firewalls. Eine proaktive-präventive Strategie schließlich setzt schon bei der Planung und Anschaffung an. Als Beispiel nennt Techconsult, beim Kauf von Hardware darauf zu achten, dass bestimmte Kriterien erfüllt werden, etwa eine Zertifizierung von neutraler Stelle wie dem TÜV oder dem Bundesamt für Sicherheit in der Informationstechnik (BSI). Allerdings, das sieht auch Techconsult, schaffen es die wenigsten Unternehmen, diese Teilbereiche umfassend umzusetzen. „Es lohnt sich aber für jedes Unternehmen, für jeden der einzelnen Bereiche zu prüfen, welche Maßnahmen möglich sind“, so Groß.

Dieser vorausschauende Ansatz, der von einer Security-Strategie für die  IT-Infrastruktur ausgeht, anstatt nachträglich eine Strategie oben aufzusetzen, sollte sich laut Techconsult langfristig in den Unternehmen durchsetzen. „Security by Design heißt, schon bei der Planung anzusetzen und entsprechend Ressourcen bereitzustellen“, erläutert Groß. „Das bedeutet, zum einen den nötigen Personalaufwand zu definieren, der für die Planung und Umsetzung erforderlich ist, zum anderen auch die entsprechenden finanziellen Mittel bereitzustellen, um etwa eine zertifizierte Lösung anzuschaffen, die dann unter Umständen etwas mehr kostet als eine nicht-zertifizierte Lösung.“

industrie40_s11