Ein großer Teil der kleinen und mittleren Unternehmen (KMUs) ist heute überfordert, wenn es um das Thema IT-Sicherheit geht. Die Gefahr durch Computer-Schädlinge und Cyber-Kriminelle ist den Firmenlenkern in der Regel zwar durchaus bewusst, aber es fehlen ihnen und ihren Mitarbeitern schlicht die Zeit und das Fachwissen, um sich mit dem Thema intensiver zu beschäftigen. Für auf Security spezialisierte Managed-Service-Provider (MSPs) und den Channel ergeben sich dadurch jedoch zahlreiche Möglichkeiten.
Die Situation der KMUs
Mehr als 70 Prozent aller Datenschutzvorfälle geschehen nach Angaben des Sicherheitsanbieters Eset in kleinen und mittelständischen Unternehmen. Warum ist das so? Laufend attackiert Malware das lokale Netz. Außerdem versuchen Kriminelle mit Phishing-Mails immer wieder neue Opfer zu finden. Dazu kommen unerkannte Gefahren durch nicht geschlossene Sicherheitslücken und veraltete Legacy-Anwendungen. Auf der anderen Seite können dadurch aber MSPs punkten, die die Sorgen ihrer Kunden ernst nehmen und die sich um die Belange der oft verunsicherten Anwender kümmern. Hilfreich ist dabei ein neuer "Survival Guide", den Stephen Cobb, Senior Security Researcher bei Eset geschrieben hat.
Darin stellt er ein mehrstufiges System vor, mit dem Sie Ihre Kunden in überschaubaren Maßnahmen zum Ziel führen können. Das Verfahren nennt sich A-F-Methode. Es enthält folgende Schritte:
ASSESS - Dokumentation von Geräten, Risiken und Ressourcen
BUILD - Aufstellung von Sicherheitsrichtlinien
CHOOSE - Auswahl von Kontrollmechanismen
DEPLOY - Einführung der Kontrollmechanismen
EDUCATE - Schulung von Mitarbeitern, Führungskräften und Zulieferern
FURTHER - Weiterführende Dokumentation, Prüfung und Tests
Thomas Uhlemann, Sicherheitsexperte bei Eset, ist überzeugt, dass sich das Sicherheitsniveau von KMUs durch diese Maßnahmen um ein Vielfaches steigern lässt: "Malware-Schutz, Verschlüsselung und 2-Faktor-Authentifizierung verwandeln auch kleinste Netzwerke in eine fast uneinnehmbare Festung", ist Uhlemann überzeugt. Besonders viel verspricht sich der Experte von Umsetzungen, "bei denen das gesamte Handling und die Anpassung der genutzten Sicherheitslösungen von spezialisierten Systemhäusern übernommen werden".
Gefährlicher Irrglauben
Gerade in KMUs glauben viele Verantwortliche, dass ihre Firma aufgrund der geringen Größe und vermeintlich wenig wertvoller Daten kein lohnenswertes Ziel der Angreifer sei. Laut Eset ist das aber ein Trugschluss mit teils dramatischen Folgen. Selbst kleinste Unternehmen verarbeiten in der Regel persönliche Daten ihrer Kunden. Bei Kriminellen seien dies beliebte Ziele, genauso wie Zahlungsinformationen. Sie alle lassen sich lukrativ auf dem Schwarzmarkt verkaufen. Darüber hinaus besteht das Problem, dass Unternehmen für verlorengegangene oder ungenügend geschützte Daten verantwortlich gemacht werden können. Das ist nicht erst seit der Einführung der Datenschutzgrundverordnung (DSGVO) so.
Lesen Sie auch: DSGVO-Tipps für Nachzügler
Selbst kleinste Unternehmen müssen aufgrund dieser Gegebenheiten von ihnen verarbeitete Daten Dritter systematisch schützen. Oft benötigen sie dafür aber die Hilfe erfahrener MSPs. Diese können sie dabei auch unterstützen, alle getroffenen Maßnahmen detailliert zu dokumentieren und die Mitarbeiter über ihre Pflichten in Sachen Datenschutz aufzuklären.
A-F-Methode im Detail
Die von Stephen Cobb vorgestellte Methode eignet sich auch, um Ihre Kunden und die von ihnen verarbeiteten Daten umfassend zu schützen.
ASSESS: In dieser Phase erstellen Sie eine Liste der vorhandenen IT-Infrastruktur inklusive aller Geräte und Services, die der Kunde verwendet. Dazu gehören aber auch Online-Dienste wie Salesforce, Online-Banking-Webseiten und andere Cloud-Dienste. Gehen Sie die Liste anschließend durch und überlegen Sie, welche Risiken sich aus der Nutzung ergeben.
BUILD: Stellen Sie Sicherheitsrichtlinien für Ihren Kunden auf und erläutern Sie ihm, was sich hinter den Maßnahmen verbirgt und warum Sie sie vorschlagen.
CHOOSE: Wählen Sie Kontrollmechanismen aus, um sicherzustellen, dass die Sicherheitsrichtlinien auch wirklich umgesetzt werden.
DEPLOY: Führen Sie die Kontrollmechanismen ein und überprüfen Sie zugleich, ob sie auch wirklich funktionieren. Außerdem sollten Schritte definiert werden, die der Kunde ergreifen kann, wenn zum Beispiel eine Sicherheits-Software eine Malware oder eine Phishing-Nachricht entdeckt hat.
EDUCATE: Es genügt nicht, dem Kunden nur eine Reihe von Sicherheitsrichtlinien vor die Nase zu setzen. Er selbst und seine Mitarbeiter müssen verstanden haben, warum sie notwendig sind. Schulungen gelten nicht zu Unrecht als eine der effektivsten Maßnahmen, um die Sicherheit in einem Unternehmen zu erhöhen. Achten Sie dabei aber darauf, dass wirklich alle Beteiligten einbezogen werden.
FURTHER: Mit der Durchführung der genannten Schritte muss kein Projekt enden. Nutzen Sie es, um fortlaufende Prozesse und Folgeprojekte mit dem Kunden auszumachen. So sollte etwa mindestens einmal im Jahr geprüft werden, ob die getroffenen Sicherheitsmaßnahmen noch den internen und externen Gegebenheiten des Kunden entsprechen. Es ist äußerst wichtig, die verwendeten Sicherheitsrichtlinien und Kontrollmechanismen immer wieder auf den Prüfstand zu stellen und an aktuelle Ereignisse und Trends in der IT-Sicherheit anzupassen.