IT-Sicherheit für Mittelständler: Worauf es heute und morgen ankommt.

Die COVID-Krise hat Sicherheitslücken in den IT-Systemen mittelständischer Betriebe offenbart. Durch Cyber-Angriffe verursachte Schäden können in die Millionenhöhe gehen und sogar zur Insolvenz führen. Da IT-Sicherheit vor allem im Mittelstand ein brandaktuelles Thema ist, haben wir uns mit dem Sicherheitsexperten Volker Bentz unterhalten.

Herr Bentz ist seit über 20 Jahren der Geschäftsführer von Brandmauer IT GmbH, ein auf IT-Sicherheit und IT-Services spezialisiertes Unternehmen mit Sitz in Bellheim in Rheinland-Pfalz. Er berät mit seinem Team vor allem mittelständische Unternehmen hinsichtlich IT-Fragen. Brandmauer bietet auch IT-Outsourcing und Managed IT-Services an, sowie Sicherheits-Schulungen für Mitarbeiter.

Im Experteninterview spricht Lukas Hofer von Teylor mit Herrn Bentz über IT-Sicherheit im Mittelstand, Cloud-Services und die wichtigsten IT-Trends für die nächsten Jahre.

Was sind die wichtigsten Grundpfeiler einer IT-Sicherheitsstrategie in mittelständischen Betrieben?

Insbesondere die folgenden fünf Kernbereiche: Patch-Management, Virenschutz, Firewall, Mitarbeiterschulungen und Passwortmanagement. Zuallererst ist ein funktionierendes Patch-Management zu nennen. Nur wenn Rechner und Software im Unternehmen stets mit Updates versorgt werden, lassen sich unnötige Sicherheitslücken vermeiden. Weiter ist ein leistungsfähiger, moderner Virenschutz, der verdächtiges Verhalten und Anomalien frühzeitig erkennt, unabdingbar. Der nächste Grundpfeiler einer IT-Sicherheitsstrategie ist die professionell gemanagte und konfigurierte Firewall mit Contentfilter. Leider hilft aber auch die beste technische Infrastruktur wenig, wenn dann die Mitarbeiter die Schwachstelle eines Unternehmens sind. Daher sind in Sachen IT-Sicherheit gut ausgebildete Mitarbeiter ein Muss für jedes Unternehmen. Der fünfte Grundpfeiler ist das Passwortmanagement. Es kommt leider immer noch vor, dass unsichere Passwörter gewählt werden und dann auch noch für alle möglichen Konten und Accounts das gleiche Passwort verwendet wird. Und wenn verschiedene Passwörter genutzt werden, stehen diese dann schlimmstenfalls frei zugänglich auf irgendwelchen Zetteln oder für Hacker noch besser in einer Datei mit dem Namen „Passwort“ oder so ähnlich. Ein Passwortmanagement, bzw. ein Password-Safe, schafft hier Abhilfe.

Seit Ausbruch der COVID-Krise sind Cyber-Angriffe auf mittelständische Unternehmen angestiegen. Welche IT-Sicherheitslücken hat die COVID-Krise bei mittelständischen Unternehmen offenbart?

Die größten Sicherheitslücken sind dadurch entstanden, dass viele Unternehmen nicht darauf vorbereitet waren, ihre Mitarbeiter ins Homeoffice zu schicken. Fehlende Geräte wie Laptops oder Tablets auf Unternehmensseite haben dazu geführt, dass oft private Geräte benutzt wurden. Das ist aus sicherheitstechnischer Perspektive eine Katastrophe, weil niemand kontrollieren kann, wie es um die Sicherheit der privaten Geräte bestellt ist. Außerdem kam es dadurch zu einem Kontrollverlust über die Unternehmensdaten, die z.B. per USB-Stick auf private Geräte transferiert wurden. Zuletzt sind noch die Phishing-Angriffe zu erwähnen, denen Mitarbeiter privat ausgesetzt sind. Im Unternehmen sorgt meistens die Firewall für die Erkennung von Phishing-Angriffen und beseitigt diese. Zuhause gibt es sowas nicht – die privaten Mailboxen sind voller Spam und Phishing-Mails. Daher ist es umso wichtiger, Mitarbeiter darauf zu trainieren, Phishing-Mails erkennen können – das hört sich erstmal banal an, ist es aber nicht. Ich selbst habe Phishing-Angriffe gesehen, die ich erst nach Minuten genauen Hinsehens erkennen konnte.

Sie sind im „go-digital“ Förderprogramm des Bundesministeriums für Wirtschaft und Energie als Beratungsunternehmen autorisiert und beraten KMU bei der Erstellung digitaler IT-Konzepte. Wo sehen sie bei Mittelständlern in puncto Digitalisierung die größten Chancen?

Meinem Verständnis nach bedeutet Digitalisierung nicht, eine funktionierende IT zu haben. Das sollte Standard sein und stellt keinen Wettbewerbsvorteil mehr dar. Vielmehr sollten kleine und mittlere Unternehmen sich auf integrierte Lösungen, intelligente Software, vernetzte Systeme, IT-Sicherheit und vor allem digitalisierte Geschäftsprozesse fokussieren. Damit einhergehen muss aber auch eine Änderung der Betriebskultur. Digitalisierung wird nur funktionieren, wenn man auch die Mitarbeiter mit auf den Weg nimmt. Diese müssen die Digitalisierung unterstützen und mittragen sonst läuft man Gefahr, dass IT Projekte nicht den gewünschten Effekt erzielen. Man erinnere sich immer an den Satz: „Kultur frisst Technologie“.

Cloud-Services und Software-as-a-Service-Angebote werden immer beliebter. Firmen können dadurch Kosten sparen und auf externe Expertise zugreifen. Was sollten Mittelständler beachten, wenn sie sich für IT-Outsourcing entscheiden?

Im Grunde geht es darum, einen kompetenten und erfahrenen IT-Dienstleister zu finden. Unternehmen sollten daher darauf achten, dass der Dienstleister Referenzen in Sachen Digitalisierung nachweisen kann. Es macht immer Sinn, nach den Digitalisierungsprojekten zu fragen, die der Dienstleister bereits umgesetzt hat, und was er dabei geleistet hat. Außerdem sollte man darauf achten, den IT-Dienstleister sozusagen mit ins Boot zu holen, sodass auch der Dienstleister ein großes Interesse daran hat, dass die IT rund läuft. Idealerweise geht das recht einfach über Managed IT Services. Hier steht der Ertrag des Dienstleisters am Monatsanfang fest – sein zu leistender Aufwand aber nicht. Er wird daher alles daran setzen, dass die IT des Kunden läuft. Denn dann macht er den meisten Gewinn und der Kunde hat eine stabile IT ohne Störungen. Eine klassische Win-Win Situation.

Zum Ausblick: Was halten Sie für die wichtigsten IT-Trends in mittelständischen Betrieben in den nächsten Jahren?  

Zurzeit sind insbesondere sogenannte Managed-Service-Modelle im Kommen. Diese werden in den nächsten Jahren noch an Bedeutung gewinnen, weil sie Vorteile bieten, die nicht von der Hand zu weisen sind. Man hat als Unternehmen damit planbare Kosten und kann sich individuell passende und skalierbare Managed Services einkaufen. Und außerdem profitiert man damit auch von der Expertise und den standardisierten Prozessen des Dienstleisters. In der Regel spart man dadurch sogar Kosten und mit Blick auf den Fachkräftemangel können Managed Services den Unternehmen helfen, trotz eventuell mangelnder personeller Kapazitäten oder Fähigkeiten ihre IT professionell zu betreiben.

Wenn man über IT-Trends redet, muss man ferner natürlich auch das Thema IT-Sicherheit ansprechen. Alle Bemühungen im Bereich Digitalisierung machen wenig Sinn, wenn das eigene Unternehmen nicht richtig gegen die zahlreichen Cyber-Bedrohungen geschützt ist. Immer wieder zeigt sich in Statistiken und in den Nachrichten, dass hier immer noch bei vielen Unternehmen Nachholbedarf besteht.

Weitere Informationen über die Arbeit von Brandmauer IT erfahren Sie hier.