C.ebra
Abbildung: Häufig sind anspruchsvolle IT-Security-Lösungen bei Mittelstand und öffentlichen Verwaltungen nicht gut umgesetzt. Dadurch fehlen Möglichkeiten, Angriffe zu erkennen und zu untersuchen.
Abbildung: Häufig sind anspruchsvolle IT-Security-Lösungen bei Mittelstand und öffentlichen Verwaltungen nicht gut umgesetzt. Dadurch fehlen Möglichkeiten, Angriffe zu erkennen und zu untersuchen.

Die 5 größten IT-Security-Schwachstellen im Mittelstand

IT-Security-Probleme, die nicht mit Standardlösungen zu beheben sind, bereiten den Unternehmen des Mittelstands und den öffentlichen Verwaltungen oft Schwierigkeiten, so das Ergebnis der Studie Security Bilanz Deutschland.

Für die Studie hat das Analystenhaus techconsult zum dritten Mal in Folge 500 Mittelständler aus Industrie, Handel, Banken und Versicherungen, Dienstleistungssektor sowie öffentliche Verwaltungen und Non-Profit-Unternehmen zwischen 20 und 1999 Mitarbeitern befragt hat.

1. Anspruchsvolle Lösungen zur Erkennung von Angriffen oftmals schlecht umgesetzt

Mehr als 70 Prozent der Befragten haben die Umsetzung von anspruchsvolle IT-Security-Lösungen, die der Erkennung und Absicherung gegen zielgerichtete Angriffe wie beispielsweise Industriespionage dienen, bisher nicht gut gelöst. Den Unternehmen fehlt es oftmals an Lösungen mit analytischem Ansatz oder auch forensische Tools, um sicherheitsrelevante Vorfälle zu untersuchen. Die Konsequenz daraus für die betroffenen Unternehmen ist, dass Angriffe und Schwachstellen im System nicht untersucht werden können. Im schlimmsten Fall fliegen Angriffe unter dem Radar hindurch und werden für lange Zeit nicht bemerkt.

2. Absicherung mobiler Endgeräte hinkt hinterher

Bei mehr als 70 Prozent der Mittelständler ist die Absicherung mobiler Endgeräte nicht gut umgesetzt. Die Einbindung mobiler Endgeräte ins eigene Unternehmen steigt weiterhin an. Doch die Absicherung der mitunter auch privat mitgebrachten und in das Unternehmensnetzwerk eingebundenen Geräte lässt dabei zu wünschen übrig. Die Unternehmensdaten sind damit großflächig nicht vor unbefugtem Zugriff geschützt. Auch die Angreifer wissen, dass mobile Geräte oftmals ungeschützt sind und können sich diese Schwachstellen zu Nutze machen, um Daten abzugreifen oder Schadsoftware einzuschleusen. Die zentrale Verwaltung und Absicherung von mobilen Endpoints mit Hilfe von Mobile Device Management Lösungen durch die IT-Abteilung ist durch die zunehmende Anzahl dieser Endgeräte unabdingbar geworden.

3. Unternehmen vernachlässigen proaktive Maßnahmen und handeln häufig zu spät

Proaktive Maßnahmen, zu denen Security Audits, Penetrationstests und auch regelmäßige Tests und Übungen der Notfall- und Reaktionspläne zählen, weisen erhebliche Umsetzungsprobleme auf. Unternehmen sind auf Angriffe und die dazu gehörigen Abwehrmaßnahmen häufig unvorbereitet, weil erst gehandelt wird, wenn es eigentlich schon zu spät ist. Proaktive Maßnahmen unterstützen dabei, die Umsetzung der eigenen IT-Sicherheitsmaßnahmen und -lösungen zu kontrollieren und gegebenenfalls anzupassen. Darüber hinaus ist man bei der Prävention nicht dazu gezwungen, unter Zeitdruck und unter dem Risiko eines Datenverlusts oder -abflusses handeln zu müssen.

4. Fehlende sichere Authentifizierung macht es Angreifern leicht

Für knapp zwei Drittel der Mittelständler ist die Authentifizierung nicht gut genug umgesetzt. Meist nutzen diese nur unsichere Authentifizierungsverfahren wie die Ein-Faktor-Authentifizierung und erleichtern Angreifern damit den Zugang zu IT-Systemen und Unternehmensdaten. Mehrfaktorielle Authentifizierungsverfahren mit Smart-Cards oder USB-Tokens, zertifikatsbasierte Authentifizierungsverfahren oder sogar eine biometrische Authentifizierung erschweren den Angreifern viele Angriffsszenarien, wie zum Beispiel Phishing-Angriffe, erheblich.

5. Ohne Sensibilisierung der Mitarbeiter verlieren IT-Sicherheitslösungen ihre Funktion

Die fünfte hervorzuhebende Problemstelle bilden mitarbeiterfokussierte Maßnahmen, die von zwei Dritteln der Studienteilnehmer als nur unzureichend umgesetzt eingestuft werden. Jede noch so gute Sicherheitslösung kann durch Unachtsamkeit oder Fehlverhalten der Mitarbeiter im Unternehmen torpediert werden. Mitarbeiter bilden aus Sicht der Angreifer immer das schwächste Glied der IT-Security-Kette. Regelmäßige Übungen und Schulungen sowie Awareness-Kampagnen versetzen Mitarbeiter in die Lage, Angriffe zu erkennen und helfen, sich im Angriffsfall richtig zu verhalten. Selbst einfache Hinweise darauf, wie mit E-Mail-Anhängen unbekannter Absender zu verfahren ist, können das Risiko einer Infektion des Unternehmensnetzwerks bereits massiv verringern. Dabei ist es essentiell, regelmäßig auf aktuelle Gefahren hinzuweisen, damit Angriffsversuche erkannt werden können und die Mitarbeiter sensibilisiert sind.

Individueller Security-Check

Der Bericht zur Studie, der die fünf größten Schwachstellen in Mittelstand und öffentlichen Verwaltungen zusammenfasst, steht auf der Webseite des Projekts unter www.security-bilanz.de zum Download bereit. Zusätzlich finden interessierte Unternehmen dort den Security Consulter, ein kostenloses Tool, mit dem sie sich an den Studienergebnissen messen können und dadurch eine Einschätzung ihrer IT-Sicherheit im Vergleich zum Wettbewerb erhalten.

Zusätzlich zur Studie bietet der individuelle Security-Check jedem mittelständischen Unternehmen die Möglichkeit, eigene Stärken und Schwächen im Vergleich zu ähnlichen Unternehmen zu identifizieren. Der Security-Check basiert auf der Studie und ermöglicht so, sich mit den Studienergebnissen zu vergleichen.

www.techconsult.de

 

 

Verwandte Themen
Ein neues Element des Orgatec-Programms ist das Wherever Whenever – Work Culture Festival. Die ersten Speaker stehen fest. (Bild: IBA)
IBA mit hochkarätigem Programm auf der Orgatec weiter
Das Kongressprogramm der Learntec, die im Juni in der Messe Karlsruhe stattfindet, wartet auch in diesem jahr wieder mit zahlreichen spannenden Themen auf. (Bild: Learntec)
Learntec Kongress 2024 mit spannenden Themen weiter
OpenTalk legt besonderen Wert auf Datensicherheit und Datenschutz – ideal für die öffentliche Verwaltung. (Bild: OpenTalk)
Thüringer Landesverwaltung setzt auf OpenTalk weiter
Synergien schaffen und Wachstum fördern. Das ist das gemeinsame Ziel von Gmund Papier und Flyeralarm. (Bild: Gmund x Flyeralarm)
Papier von Gmund jetzt auch online über Flyeralarm erhältlich weiter
Auch beim diesjährigen Thementag von BusinessPartner PBS und C.ebra standen wieder zahlreiche spannende Themen rund um das Arbeiten der Zukunft auf der Agenda.
Vorträge des New-Work-Thementags als Video verfügbar weiter
Neuer Aufsichtsratsvorsitzender bei Faber-Castell ist Dirk Engehausen. (Foto: Faber-Castell)
Dirk Engehausen ist neuer Aufsichtsratsvorsitzender bei Faber-Castell weiter