Ein IT-Sicherheitscheck lohnt sich

Kinderleicht zu knackende Passwörter, unregelmäßige Datensicherungen, kaum geschützte Internetzugänge – die Liste ließe sich beliebig fortsetzen. Die IT-Systemlandschaften von Unternehmen weisen oft massive Sicherheitslücken auf.

Umfragen zeigen: Nur rund jedes vierte Unternehmen sieht sich derzeit sicherheitstechnisch ausreichend gewappnet – oft ein Blindflug mit ungewissem Ausgang. In KMU sind die Entscheidungsträger mit Fragen der Sicherheit schlichtweg überfordert. Gleichzeitig steigt die Zahl der Angriffe, und auch die Angriffstechniken werden immer raffinierter.Unternehmen müssen sich zudem verstärkt gegen Fehler absichern, die durch eigene Mitarbeiter verursacht werden – sei es aus Versehen oder bewusst. Unbeabsichtigte Datenverluste können teuer werden, von den Folgen bewussten Datendiebstahls ganz zu schweigen. Nicht umsonst drängen Geschäftspartner und interne Revisionsstellen verstärkt auf schlüssige IT-Sicherheitskonzepte.

Die eigenen IT-Abteilung oder der externe IT-Betreuer können solche Risikoanalysen und Sicherheitschecks nicht vornehmen: Ihnen fehlt es an Unabhängigkeit und Objektivität. Allein aus Selbstschutzgründen würden sie kaum grobe Mängel und Versäumnisse kommunizieren. Immer mehr Firmen greifen daher auf unabhängige Anbieter sogenannter IT-Security-Checks oder Sicherheits-Audits zurück, also die systematische Überprüfung der gesamten IT-Infrastruktur.

Systematische Überprüfung

Der Aufwand für den Sicherheitscheck liegt bei wenigen Tagen. In einem Gespräch wird auf die Schwerpunkte der Überprüfung und bereits bekannte kritische Konstellationen eingegangen, wie etwa die Kommunikation mit mobilen Endgeräten. Anschließend führen die Spezialisten einen umfassenden Check-up durch und identifizieren Schwachstellen und Risiken: So werden Internetzugänge kontrolliert, Passwörter und Zugangsregelungen überprüft, Datensicherungsprozesse durchleuchtet, Betriebsstandorte der Server oder die logistische Auslagerung von Datenträgern hinterfragt. Ebenfalls ein Thema, das immer mehr an Bedeutung gewinnt:die Überprüfung bestehender Notfallvorsorge-Pläne.

Umfassende Dokumentation

Alle Ergebnisse des Sicherheits-Checks werden übersichtlich dokumentiert und bewertet. Risiken werden benannt, eingeschätzt und der nötige Handlungsbedarf aufgezeigt. So können sich alle Beteiligten und insbesondere auch die Entscheidungsträger einen Überblick der aktuellen
„Sicherheitslage“ verschaffen. Eine Priorisierung der Maßnahmen wird ebenfalls im Bericht vorgenommen, denn insbesondere bei gravierenden Mängeln sollte umgehend gehandelt werden.

Fazit

Sicher oder nicht sicher? So einfach lässt sich diese Frage nicht beantworten. Fakt ist, dass es kaum mehr ungesicherte Systemlandschaften gibt. Fakt ist aber auch, dass kaum eine IT-Infrastruktur zu 100 Prozent sicher ist. Wo die Schwachstellen liegen, welche Risiken vorhanden sind und wie diese behoben werden können, lässt sich mit einem Sicherheitscheck überprüfen.
Entscheidend ist die Wahl des richtigen Partners: kompetent muss er sein, vor allem aber unabhängig.

Frank Vollmer

Erschienen in: Wirtschaft regional, 19. September 2009