No risk management, no fun

Geht es um unser Hab und Gut, wappnen wir uns gründlich: Um uns vor Einbrechern zu schützen, treffen wir eine Vielzahl von Vorkehrungen. So statten wir nicht nur unsere Haustür mit einem Sicherheitsschloss aus, sondern sorgen auch für robuste Fenster und installieren ein Alarmsystem. Auch Unternehmen sollten vielschichtige Maßnahmen ergreifen, um alle Angriffspunkte abzuriegeln und unbefugten Zugriff auf betriebliche Interna zu verhindern. Das Problem: Kleinere Firmen können sich in der Regel keine eigenen Spezialisten leisten, die sich um das Thema IT-Security kümmern könnten. Dabei liegt die Lösung häufig näher als vermutet.

Fakt ist: Homeoffice, Hybrid-Arbeit und Remote Work sind mittlerweile Standard in der heutigen Geschäftswelt. Auch künftig dürften sie uns weiterhin erhalten bleiben, bieten sie doch für Arbeitskräfte und Unternehmen gleichermaßen Vorteile gegenüber der reinen Präsenzarbeit. Doch je mehr Angestellte von der Ferne aus arbeiten, desto größer die Gefahr für das Unternehmen, einer Cyberattacke zum Opfer zu fallen. Bedenkt man, dass sich der durchschnittliche Schaden, der deutschen Unternehmen bei einem Hackerangriff entsteht, auf mehr als 18.000 Euro beläuft[1], wird schnell klar: Ein ausgeklügeltes und vielschichtiges Sicherheitskonzept ist mittlerweile für alle Firmen unerlässlich. Hier heißt es, sämtliche Angriffspunkte auf ihre Sicherheit hin abzuklopfen – vom Netzwerk über die Cloud und die genutzten Geräte bis hin zu den einzelnen Anwendungen.

Kleinere Unternehmen benachteiligt?

Doch dies stellt gerade für kleinere Betriebe eine riesige Herausforderung dar: Zwar ist das Thema IT-Sicherheit rein formal oft in der Geschäftsführung angesiedelt, doch sind in der Führungsriege eher selten IT-Spezialisten vertreten. Für Nichtkundige ist es jedoch fast schon ein Ding der Unmöglichkeit zu wissen, ob das Unternehmen ausreichend geschützt ist. Und selbst dann, wenn es eine eigene IT-Abteilung gibt, muss das nicht unbedingt heißen, dass die Geschäftsleitung ein vollständiges Bild der Lage erhält. Denn einerseits sind diejenigen, die das System installiert haben, quasi betriebsblind, bewerten es also meist nur aus der eigenen Perspektive. Und andererseits wird wohl auch kein Angestellter je behaupten, das von ihm installierte Sicherheitssystem biete keinen ausreichenden Schutz. Hier lohnt es sich, externe Spezialisten in puncto Cybersecurity mit an Bord zu holen, die das System neutral beurteilen und dessen Sicherheit auf den Prüfstand stellen.

Security Assessment

Bei einer Schwachstellenanalyse – dem so genannten Security Assessment – untersucht der qualifizierte Dienstleister für IT-Sicherheit sämtliche Unternehmensressourcen auf eventuelle Sicherheitslücken. Hierzu klopft er nicht nur Nutzeridentitäten ab, sondern auch Hard- und Software sowie Infrastrukturen. Seine Erkenntnisse fließen dann in einen erschöpfenden Sicherheitsbericht ein, der die entdeckten Schwachstellen auflistet und zudem Empfehlungen hinsichtlich deren Beseitigung gibt. Eine solche Untersuchung dauert idealerweise gerade einmal zwei bis drei Wochen, sodass das Unternehmen innerhalb relativ kurzer Zeit erfährt, wie es um die Sicherheit seiner Systeme bestellt ist. Die aufgedeckten Sicherheitslücken kann der Betrieb dann entweder selbst stopfen oder den IT-Security-Dienstleister damit betrauen.

Unwissenheit schützt vor Hackern nicht

Die gute Nachricht: In vielen Fällen müssen die Unternehmen nicht einmal neue Software anschaffen, um die aufgespürten Schwachstellen zu beseitigen. Denn, was viele nicht wissen: Häufig enthalten die bereits vorhandenen Systeme schon entsprechende Funktionen und Anwendungen, auf die die Firmen relativ bequem zurückgreifen können. Softwarepakete wie Microsoft 365 zum Beispiel bieten eine umfangreiche Palette an IT-Sicherheitstools, die das Unternehmen lediglich aktivieren muss – sei es für die Abwehr von Cyberattacken, für den Schutz von Kundendaten und Hardware oder für die Nutzer- und Geräteverwaltung. So ist oftmals bereits ein MDM (Mobile Device Management) enthalten, das der Verwaltung unternehmenseigener Mobilgeräte dient. Sollte eines der Endgeräte verlorengehen oder gestohlen werden, gestattet es ein MDM, dieses zu deaktivieren und darauf befindliche Daten zu löschen. Eine weitere Verwendung – insbesondere durch Unbefugte – wird somit verhindert. Auch der sogenannte bedingte Zugriff (Conditional Access) ist häufig bereits in das System integriert, wenn es auf Microsoft 365 fußt. Mithilfe dieser Funktion ist es möglich, den Zugang zu speziellen Unternehmensressourcen auf bestimmte Anwender, Geräte und sogar Länder zu limitieren.

Bei der entsprechenden Analyse der vorhandenen Systeme können auf IT-Sicherheit spezialisierte Experten beratend zur Seite stehen. Ein kurzer Blick in die vorliegende Infrastruktur verrät ihnen relativ schnell, über welche Softwarelizenzen das Unternehmen bereits verfügt. Der Betrieb wiederum profitiert von höherer IT-Sicherheit, spart sich dabei aber enorme Kosten: Statt Lizenzen für ein neues Sicherheitssystem zu kaufen, nutzt er einfach die – zum Beispiel in Microsoft 365 – bereitgestellten (und bereits bezahlten) Tools.

[1] https://de.statista.com/statistik/daten/studie/1230400/umfrage/durchschnittliche-durch-cyberkriminalitaet-verursachte-kosten-in-deutschland/

Die unterschiedlichen Sicherheitsschichten in Microsoft 365

• Viren- und Bedrohungsschutz (Absicherung von Endpunkten, Netzwerken, E-Mails und geschäftskritischen Daten vor Malware, Spam, Phishing sowie schädlichen URLs und Dateien)
• Authentifizierung und Zugriffsverwaltung (beispielsweise Multi-Faktor-Authentifizierung)
• Conditional Access (bedingter Zugriff)
• Lösungen zur Absicherung gegen Veränderung, Löschung, unbefugte Offenlegung und Missbrauch vertraulicher Informationen

Managed Services: Entlastung für das Unternehmen

Doch selbst mit einer solchen Analyse und entsprechenden Maßnahmen ist es noch nicht getan. Denn der Kreativität von Cyberkriminellen sind keine Grenzen gesetzt. Allein schon deshalb gilt es, das System stets mit den aktuellen Technologien zu versehen und es regelmäßig auf etwaige Auffälligkeiten zu überprüfen. Auch diese Aufgabe kann ein externer Dienstleister übernehmen: So lassen sich alle wichtigen Maßnahmen rund um den Betrieb der IT-Infrastruktur an erfahrene Managed-Services-Provider auslagern, wodurch das Unternehmen entlastet wird. Möchte dieses nicht den kompletten Infrastrukturbetrieb an externe Dienstleister abgeben, kann es diesen Service auch lediglich für einzelne Anwendungen buchen.

Ein zudem vereinbartes Service-Level-Agreement (SLA) ermöglicht es, Antwortzeiten auf die Bedürfnisse des Unternehmens zuzuschneiden und monatliche Mindestzeiten für Wartung, Schulung der Mitarbeiter oder Beratungsleistungen zu definieren. Ein solches SLA bringt dem Unternehmen viele Vorteile: So erhält es ein einwandfrei funktionierendes System samt aller dazugehörigen Serviceleistungen – und das zu einem erheblich niedrigeren Preis als ohne einen solchen Vertrag. Zudem ist sofort Hilfe zur Stelle, sollte es doch einmal zu einem Systemausfall kommen. Last, but not least verfügen die Kunden so über eine zentrale Anlaufstelle (single point of contact) und sparen sich das mühsame Durchforsten der umfangreichen Supportangebote auf dem Markt.

Fazit: Experten als Freund und Helfer

Eine sinnvolle IT-Sicherheitsstrategie zu entwickeln ist für die Unternehmen unerlässlich. Doch mit Blick auf die stetig wachsende Anzahl an Softwarewerkzeugen und somit an möglichen Angriffspunkten für Hacker & Co. ist es wenig erstaunlich, dass insbesondere kleinere Betriebe dabei häufig überfordert sind. Genau hier können IT-Sicherheits-Spezialisten helfend unter die Arme greifen: Anhand eines detaillierten Security Assessments spüren sie Sicherheitslücken auf, können diese gleich beseitigen und schützen das Unternehmen so vor ungebetenen Eindringlingen. Mehr noch: Wenn gewünscht, entlasten sie ihre Kunden sogar dauerhaft, indem sie für den reibungslosen Betrieb der IT-Infrastruktur sorgen und sicherstellen, dass alle Systeme stets auf dem neuesten Stand der Technik sind.

Autor: Ilia Rud, Team Lead – Azure Security & Infrastructure, Fellowmind

Ilya Rud ist Team Lead – Azure Security & Infrastructure bei der Fellowmind Germany GmbH und ein erfahrener Berater für Cloud-Technologie. Er ist verantwortlich für die Erstellung hochmoderner Hybridlösungen sowie die effiziente Migration der Infrastrukturen von Kunden in Microsoft Azure und Microsoft 365. Dank mehr als 20 Jahren Projekterfahrung in der IT-Branche kennt er die Probleme und Herausforderungen der Unternehmen sehr genau. Mithilfe dieses Wissens und seiner außergewöhnlichen Fachkenntnisse ermöglicht er den Kunden einen reibungslosen und unbeschwerten Umstieg auf moderne Cloud-Technologien.