Die IT-Sicherheitsstrategie kleiner und mittelständischer Unternehmen steht vor neuen Herausforderungen: Neben einer zuverlässigen Security-Software wird das Wissen der Mitarbeiter über potenzielle Gefahren und Sicherheitslücken immer wichtiger. 

Vorbei sind die Zeiten, in denen nur recht harmlose Schadprogramme massenhaft und völlig willkürlich in der IT-Welt verbreitet wurden. Vielmehr läuft Cyberkriminalität heutzutage hoch professionell und spezialisiert ab. Mit immer komplexerer Malware greifen Cyberkriminelle gezielt die IT-Netzwerke bestimmter Unternehmen und Organisationen an. Ihre Intention ist es, über einen langen Zeitraum hinweg unbemerkt Zugang zum Unternehmensnetz zu erlangen, um geschäftskritische Informationen auszuspionieren oder hohe Geldbeträge zu erbeuten. Die IT-Security-Branche spricht hier von Advanced Persistent Threats (APT).

Sicherheitskonzept für KMU
Es ist ein Irrglaube, dass solche APTs nur die «dicken Fische» wie Grossunternehmen und Konzerne mit Hunderten oder Tausenden Mitarbeitern treffen. Zunehmend gehören auch kleine und mittelständische Unternehmen zu den Opfern. Die nötige Konsequenz daraus, also die präventive Aufstockung der IT-Security, bleibt jedoch meist aus. Noch zu oft unterschätzen KMU ihre eigene Attraktivität für Cyberkriminelle, bis es schliesslich doch zum Angriff kommt und geistiges Eigentum, Kontaktdaten oder Finanzinformationen gestohlen werden.

Umso wichtiger wird auch für diese Unternehmensgrösse ein breit aufgestelltes IT-Sicherheitskonzept. Die Basis hierfür ist eine professionelle Endpoint-Security. Sie sollte modular aufgebaut sein, um Endpoints und sonstige IT-Infrastrukturen flexibel und zuverlässig zu schützen. Denn bei steigendem Sicherheitsbedarf kann die Lösung einfach «mitwachsen».

Skalierbarkeit bringt Vorteile
Die Plattform Kaspersky Endpoint Security for Business entspricht genau diesen Anforderungen: Aus vier Stufen können Unternehmen diejenige auswählen, die ihre Sicherheitsbedürfnisse optimal abdeckt. Mit dem signaturbasierten Basisschutz bestehend aus Firewall und Anti-Malware-Technologie bildet die Version Core die perfekte Einstiegslösung. Auf den höheren Stufen werden weitere Sicherheitstechnologien hinzugeschaltet. Wer mobile Geräte schützen und IT-Richtlinien beachten muss, aktiviert die zweite Stufe Select, die mit einem integrierten Mobile Device Management ausgestattet ist. Zudem kommen hier der Schutz für File-Server sowie eine Programm-, Geräte- und Web-Kontrolle hinzu.

Das Toolkit der nächsten Stufe Advanced beinhaltet neben einer Datenverschlüsselung auch Managementfunktionen wie Anfälligkeitsprüfung, Lizenzkontrolle, Patch-Management und Integration ins SIEM-System (Security Information and Event Management). In Total Security for Business sind schliesslich alle Elemente zu einer Komplettversion zusammengefügt. Zusätzlich werden Mail- und Collaboration-Server sowie das Internet-Gateway geschützt, sodass die vierte Stufe für den höchsten Sicherheitsstandard im gesamten Unternehmensnetzwerk sorgt.

Gefahren sofort erkennen
Doch selbst der Einsatz einer zuverlässigen Software kann die IT-Landschaft nur bis zu einem gewissen Grad schützen. Eine ernst zu nehmende Sicherheitslücke sind nämlich die Mitarbeiter im Unternehmen selbst. Nur zu gerne nutzen Cyberkriminelle deren fehlendes Know-how im Bereich Cyberbedrohungen aus, um an interessante Informationen zu gelangen. In manchen Fällen ist dafür nur eine E-Mail nötig. Mithilfe einer sogenannten Phishing-Mail versuchen Betrüger den Mitarbeiter dazu zu bringen, seinen Benutzernamen, sein Passwort oder seine PIN preiszugeben. Auf den ersten Blick sieht eine solche Mail wie eine ganz normale Nachricht der Hausbank oder eines Lieferanten aus. Sie stammt aber von einem Cyberkriminellen. Nur Details wie Grammatik- und Orthografie-Fehler oder die Aufforderung, innerhalb kürzester Frist auf die Mail zu reagieren, verraten die fehlende Seriosität. Um diese und ähnliche Taktiken sofort erkennen zu können, gilt es, bei Mitarbeitern das Bewusstsein für Sicherheitsgefahren zu schärfen. Am besten gelingt dies mit gezielten Schulungsmassnahmen – neben dem software-basierten Endpoint-Schutz die zweite, wichtige Komponente einer Sicherheitsstrategie.

Die etwas andere Vorgehensweise
Das Problem bei traditionellen Weiterbildungen ist allerdings, dass sie oft zu «trocken» aufbereitet sind. Folglich stossen die übermittelten Inhalte nicht auf das nötige Interesse, verankern sich nicht im Kopf der Mitarbeiter und werden in der Konsequenz im Unternehmensalltag auch nicht gelebt. Kaspersky Lab wählt deshalb einen anderen Ansatz, um Mitarbeitern und Führungskräften das Thema IT-Security nahezubringen. Im Vordergrund stehen das interaktive Lernen und die persönliche Erfahrung im Umgang mit Cyberkriminalität. Zu diesem Zweck wurden spezielle «Security Awareness Games» entwickelt. Sie simulieren Bedrohungsszenarien, wie sie jederzeit im Arbeitsalltag vorkommen können, und erhöhen so auf spielerische, aber trotzdem sehr einprägsame Weise bei den Teilnehmern das Bewusstsein für die Gefahren aus dem Internet.

Aktuell stehen zwei unterschiedliche Spiele zur Verfügung. Das «Cyber Security Awareness Game» versetzt die Teilnehmer-Teams in ein virtuelles Unternehmen, in dem sie in der IT-Umgebung dreier typischer Arbeitsbereiche mögliche Cybergefahren entlarven müssen. Ganz nach dem Motto «Learning by doing» sammeln sie Erfahrungen, um in Zukunft verantwortungsvolle Entscheidungen bei realen Sicherheitsvorfällen treffen zu können. Das Security Game hilft Unternehmen dabei, abteilungsübergreifend eine ausgeprägte IT-Sicherheitskultur aufzubauen.

Das zweite Spiel «Kaspersky Industrial Protection Simulation» ist speziell auf Unternehmen im Produktionssektor ausgerichtet und adressiert Entscheider aus den Bereichen IT und Ingenieurwesen, die sich mit Security-Fragen befassen. Im Spiel wird beispielsweise simuliert, wie es durch einen Cyberangriff zum Stillstand einer Produktionsstrasse kommt. Ziel ist es, Strategien und Lösungen zu entwickeln, um Ausfallzeiten und Kosten zu reduzieren.

Fazit
Je mehr Mitarbeiter aktuelle Cybergefahren erkennen, umso besser ist es für die gesamte Unternehmenssicherheit. Ebenso wichtig ist es aber auch, das Security-Fachwissen in den IT-Abteilungen gezielt auszubauen. In KMU fehlt es nicht selten an Spezialisten, weil die Zuständigkeitsbereiche in IT-Abteilungen noch zu wenig aufgeteilt sind. IT-Administratoren sind für die Behebung von Softwareproblemen an Mitarbeiterrechnern oft ebenso verantwortlich wie für die Installation und den Umgang mit der jeweils eingesetzten IT-Sicherheitslösung. Hier sollten Unternehmen umdenken: Die heutigen Cyberbedrohungen sind zu komplex, um sie neben dem allgemeinen IT-Tagesgeschäft abwehren zu können. Deshalb empfiehlt sich der Aufbau eines Spezialisten-Teams, welches im Bereich der Malware-Analyse und der digitalen Forensik auf dem neusten Stand ist.

Weitere Informationen: www.kaspersky.ch