Der Fachkräftemangel macht sich in der IT weiter deutlich bemerkbar. Bundesweit sind aktuell mehr als 50.000 Stellen unbesetzt. Doch betroffen sind davon nicht nur die Software-Unternehmen, Systemhäuser oder andere Spezialisten. Auch in kleinen und mittelständischen Unternehmen fällt es immer schwerer, die für sie nötigen IT-Experten aufzutreiben. Sie fehlen in Verwaltung, Industrie und Gewerbe. Und mit Ihnen fehlt auch ein wichtiges Kompetenzfeld: IT-Security.
Die Zahlen sind alarmierend: Zwei von drei Industrieunternehmen sind in den vergangenen zwei Jahren Opfer von Cybercrime (oder Cyberkriminalität) geworden. Über alle Bereiche der Wirtschaft sind es immerhin noch 51 Prozent. Laut einer Berechnung des IT-Verbandes Bitkom beträgt der wirtschaftliche Schaden pro Jahr allein in Deutschland 22,4 Milliarden Euro.
Viele Firmen machen bei der IT-Sicherheit einen groben Fehler: Sie schützen nur das, was besonderer Sicherheit bedarf. So sind die Rechenzentren in der Regel gut gerüstet, wenn es einen Angriff von außen gibt. In weniger sensiblen Bereichen sieht es anders aus. Zum Teil auch, weil innerhalb der Unternehmen die IT-Experten und damit das Verständnis für diese sicherheitsrelevanten Bereiche fehlt. Genau hier setzen aktuell die Bedrohungen an, die Malware ins Unternehmen bringen und für enormen wirtschaftlichen Schaden sorgen.
Laut Bitkom ist das größte Risiko für die IT-Sicherheit nicht die Hard-, Software oder Infrastruktur, sondern der eigene Mitarbeiter. Diese sind immer noch für jede zweite sicherheitsrelevante Störung in Unternehmen verantwortlich. Und das Risiko steigt weiter, da Unternehmen immer öfter erlauben, dass Mitarbeiter eigene Geräte, etwa Laptops oder Smartphones, mit dem Netzwerk verbinden. Dieser “Bring Your Own Device” genannte Ansatz benötigt aber eine genau definierte Policy. Wenn hier unkontrollierte Zugriffe erfolgen entsteht ein unkalkulierbar hohes Risiko für die Firma und es entsteht ein neues Eintrittstor für Schadsoftware jeder Art.
Doch was tut man nun, wenn man einen erhöhten Sicherheitsbedarf hat, diesen aber nicht mit eigenen Mitarbeitern abdecken kann und auch keine fähigen Kandidaten auf dem Arbeitsmarkt findet? Ein externer Berater kann hier helfen. Spezialisten für IT-Sicherheitsmanagement verfolgen einen umfassenden Ansatz. Sicherheit in der Informationstechnik bedeutet Qualitätsmanagement. Die Experten kümmern sich darum, dass die Systeme laufen, kein ungewollter Stillstand eintritt und die Informationen immer in den richtigen Händen bleiben.
IT-Sicherheit ist keine Einmalinvestiton, sondern ein fortlaufender Prozess, der eigentlich niemals endet. „Ich habe doch voriges Jahr investiert – das reicht noch Jahre.“ gilt in der IT-Sicherheit nicht, denn die Angreifer sind nicht statisch. Sie sind dynamisch, intelligent und lernen dazu.
So braucht auch die IT-Sicherheit einen Frühjahrsputz. Hier müssen Sie Ordnung schaffen. Es gilt, Altlasten zu entsorgen, neue Risiken zu identifizieren und die Löcher zu stopfen. Räumen Sie auf, misten Sie aus. Denn wenn hier schon Unordnung herrscht, wie sieht es dann in den anderen Bereichen Ihrer Firma aus?
Welche Zugangsberechtigungen gibt es? Welche Zugänge gibt es in die Firma? Werden alle Zugänge bzw. Verbindungen noch benötigt? Gibt es eine Policy, wie mit Accounts ausscheidender Mitarbeiter verfahren wird? Sind die Virenscanner aktuell? Gibt es Anomalien beim Maileingang? Benutzen Mitarbeiter externe Webmailaccounts, um Firmendaten zu verschicken? Werden Passwörter auch wirklich geheim gehalten? Werden Sie laufend aktualisiert? Werden Updates und Patches zeitnah aufgespielt und installiert? Werden diese getestet? Welche Lizenzen haben Sie vergeben?
Machen Sie sich nichts vor: Das Eindringen in Ihr Firmennetzwerk passiert heute meistens durch Einschleusen von Schadsoftware, über Mail, über Zugriff auf Geräte, die nur schwach geschützt sind oder durch Angriff von Perimeter-Systemen, die nicht auf dem neuesten Stand sind. Ist Ihr Unternehmen noch in der Lage, dieses Thema ganzheitlich zu betreuen?