Stiefkind IT-Sicherheit - Mit der Betriebsgröße steigt das Sicherheitsbewusstsein

Selbst in denjenigen Betrieben, die das Thema in der Geschäftsleitung vorantreiben würden, gebe es noch erheblichen Bedarf, die Mitarbeiter aufzuklären. Man könne allerdings von den Arbeitnehmern nicht erwarten, dass sie neben ihrem eigentlichen Aufgabengebiet auch noch über Detailkenntnisse der IT-Sicherheit verfügten. Der einzelne Mitarbeiter müsse sich beispielsweise nicht darum kümmern, ein Update durchzuführen. Die Komplexität, dass und wie ein Update gefahren werden müsse, liege beim IT-Dienstleister, so die Erfahrung von Nextiraone. Für Unternehmen sei der Aufwand, um 80 bis 90 Prozent aller Gefahren abzudecken, mit verhältnismäßig geringen Mitteln zu bewerkstelligen: Eine Firewall und ein flächendeckender Virenschutz. Lediglich die dann noch abzudeckenden 10 bis 20 Prozent seien tatsächlich entscheidend, um technisch hochwertige und für die jeweilige Firma gefährliche Angriffe abzuwehren. Um diesem Restrisiko zu begegnen, sei allerdings auch ein erhöhter finanzieller Aufwand nötig. Dieser wiederum schrecke besonders Mittelständler ab - je größer ein Betrieb, desto größer die Sensibilisierung für IT-Sicherheit. "Es kommt darauf an, die kleinen und mittleren Unternehmen für das Thema zu gewinnen“, so Wolfram Zabel, Redaktionsleiter des Mittelstandsportals der Vogel Medien Gruppe http://www.clickmall.de. Den einfachsten Weg sieht Mandato darin, nicht die Zuständigkeit, sondern das komplexe Management für IT-Sicherheit auszulagern. Mittlerweile gebe es technische Entwicklungen, die es erlauben, "praktisch mit einem zentralen Klick den gesamten "Sicherheitszaun" meiner IT-Umgebung hochzufahren." Der externe Dienstleister könne auf Wunsch darüber hinaus „Testangriffe“ durchführen, um den Wirkungsgrad des Sicherheitssystems zu überprüfen. Diese sogenannten "Security-Audits" würden immer starker nachgefragt. Einig waren sich die Experten, dass die Sensibilisierung der Mitarbeiter für IT-Sicherheit ein dauerhafter Prozess sei und sich nicht in Aktionismus erschöpfen dürfe, wenn gerade ein gefährliches Virus für öffentliche Aufmerksamkeit sorge. Wenn dann die Schäden geringer als angekündigt seien, lege sich die Aufregung schnell. Zudem gebe es keine belastbaren Daten über die tatsächlichen Schäden. Geschätzte Schadenskosten seien meist sehr schwammig und nicht nachvollziehbar. Eine Ursache hierfür sei, dass Unternehmen durch die Quantifizierung ihrer Schäden auch eine Aussage über den Stand ihrer Sicherheitsmaßnahmen abgeben würden. Daher sei es kaum möglich, so die Runde, Kosten für die IT-Sicherheit den Kosten möglicher Schäden und Ausfallzeiten gegenüber zu stellen. Das sei aber sinnvoll, um gerade kleineren Betrieben aufzeigen zu können, dass Investitionen in Sicherheitsstrukturen kostengünstiger seien als die Folgekosten möglicher Schäden. Zur Einführung eines Schadensregisters vertrat Wolfram Zabel die These, dass dies im Umkehrschluss eine Evaluierbarkeit des Virusprogrammierens nach sich ziehen könnte: Wer gezielt Angriffe plane, könne dann konkret überlegen, mit welchem Aufwand an Programmierarbeit er einen bestimmten Schaden anrichten könne.

• Über Medienbüro Sohn
• Weitere Meldungen
• Diesen Pressetext kommentieren
• Pressemitteilung veraltet?