Ein großer Teil der kleinen und mittleren Unternehmen (KMUs) ist heute überfordert, wenn es um das Thema IT-Sicherheit geht. Die Gefahr durch Computer-Schädlinge und Cyber-Kriminelle ist den Firmenlenkern in der Regel zwar durchaus bewusst, aber es fehlen ihnen und ihren Mitarbeitern schlicht die Zeit und das Fachwissen, um sich mit dem Thema intensiver zu beschäftigen. Für auf Security spezialisierte Managed-Service-Provider (MSPs) und den Channel ergeben sich dadurch jedoch zahlreiche Möglichkeiten.
Foto: Gorodenkoff - shutterstock.com
Die Situation der KMUs
Mehr als 70 Prozent aller Datenschutzvorfälle geschehen nach Angaben des Sicherheitsanbieters Eset in kleinen und mittelständischen Unternehmen. Warum ist das so? Laufend attackiert Malware das lokale Netz. Außerdem versuchen Kriminelle mit Phishing-Mails immer wieder neue Opfer zu finden. Dazu kommen unerkannte Gefahren durch nicht geschlossene Sicherheitslücken und veraltete Legacy-Anwendungen. Auf der anderen Seite können dadurch aber MSPs punkten, die die Sorgen ihrer Kunden ernst nehmen und die sich um die Belange der oft verunsicherten Anwender kümmern. Hilfreich ist dabei ein neuer "Survival Guide", den Stephen Cobb, Senior Security Researcher bei Eset geschrieben hat.
Darin stellt er ein mehrstufiges System vor, mit dem Sie Ihre Kunden in überschaubaren Maßnahmen zum Ziel führen können. Das Verfahren nennt sich A-F-Methode. Es enthält folgende Schritte:
ASSESS - Dokumentation von Geräten, Risiken und Ressourcen
BUILD - Aufstellung von Sicherheitsrichtlinien
CHOOSE - Auswahl von Kontrollmechanismen
DEPLOY - Einführung der Kontrollmechanismen
EDUCATE - Schulung von Mitarbeitern, Führungskräften und Zulieferern
FURTHER - Weiterführende Dokumentation, Prüfung und Tests
- Roundtable Managed Security Services am 28. Juni 2018 bei ChannelPartner
Dr. Ronald Wiltscheck, Chefredakteur bei ChannelPartner, eröffnet den Roundtable "Managed Security Services" und begrüßt alle Teilnehmer. - Maik Wetzel, Channel Sales Director DACH bei ESET
„Die Zuwächse in dem Bereich Managed Security Services sind um ein Vielfaches größer, als im klassischen Business.“ - Tim Berghoff, Security Evangelist bei G Data
„Audits, Penetrationstest und ähnliches bieten sich als ergänzende Leistungen zu MSS an. Das kann auch jemand machen, der herstellerübergreifend tätig ist.“ - David Beier, Partner Account Manager bei Avast
„Gerade bei KMU kommt der Bedarf von den Endkunden. Sie möchten wegen Personalmangel oder um Kosten zu sparen outscourcen.“ - Thomas Huber, Channel Director bei Trend Micro
„Der IT-Admin beim Endkunden braucht neue Prozesse und er braucht Antworten von den Resellern.“ - Roundtable Managed Security Services am 28. Juni 2018 bei ChannelPartner
Elisabeth Gries (Avast, links) im Gespräch mit Regina Hermann (IDG, rechts). - Richard Werner, Business Consultant bei Trend Micro
Mit dem Thema Managed Security Services beschäftigen wir uns bereits seit zehn Jahren. Und schon damals hatte die großen Systemintegratoren aber auch die Spezialisten unter den IT-Dienstleistern in Deutschland Managed Security Services im Fokus." - Michael Haas, Area Sales Director Central Europe bei Watchguard
„Ich glaube, dass ein MSS-Provider mehrere Hersteller anbieten muss. Daher muss man auch als Hersteller offen sein für die technische Kommunikation mit anderen Lösungen.“ - Sven Janssen, Director Channel Sales DACH bei Sophos
„Ganz wichtig ist, dass es nicht nur um die Lösung an sich geht, sondern dass drumherum auch die Lizenz- und Preismodelle stimmen.“ - Peter Marwan, ChannelPartner
"Wie hoch ist Ihr Managed Security Services-Anteil am Gesamt-Business?" - Roundtable Managed Security Services am 28. Juni 2018 bei ChannelPartner
Die Teilnehmer am "Managed Security"-Roundtable von ChannelPartner (v.l.n.r.): Sven Janssen, (Sophos), Hagen Renner (Rohde und Schwarz Cybersecurity), Peter Marwan und Saskia van der Kraaij (beide ChannelPartner), Thomas Huber (Trend Micro), David Baier (Avast), Richard Werner (Trend Micro), Maik Wetzel (Eset), Thomas Jank (ChannelPartner), Michael Haas (WatchGuard) und Ronald Wiltscheck (ChannelPartner). - Hagen Renner, Head of Channel Sales DACH bei Link11
„Endkunden wollen Kosten auf ein möglichst langes Zeitfenster verteilen und da kommt automatisch die Anforderung nach einem geeigneten Modell.“
Thomas Uhlemann, Sicherheitsexperte bei Eset, ist überzeugt, dass sich das Sicherheitsniveau von KMUs durch diese Maßnahmen um ein Vielfaches steigern lässt: "Malware-Schutz, Verschlüsselung und 2-Faktor-Authentifizierung verwandeln auch kleinste Netzwerke in eine fast uneinnehmbare Festung", ist Uhlemann überzeugt. Besonders viel verspricht sich der Experte von Umsetzungen, "bei denen das gesamte Handling und die Anpassung der genutzten Sicherheitslösungen von spezialisierten Systemhäusern übernommen werden".
Gefährlicher Irrglauben
Gerade in KMUs glauben viele Verantwortliche, dass ihre Firma aufgrund der geringen Größe und vermeintlich wenig wertvoller Daten kein lohnenswertes Ziel der Angreifer sei. Laut Eset ist das aber ein Trugschluss mit teils dramatischen Folgen. Selbst kleinste Unternehmen verarbeiten in der Regel persönliche Daten ihrer Kunden. Bei Kriminellen seien dies beliebte Ziele, genauso wie Zahlungsinformationen. Sie alle lassen sich lukrativ auf dem Schwarzmarkt verkaufen. Darüber hinaus besteht das Problem, dass Unternehmen für verlorengegangene oder ungenügend geschützte Daten verantwortlich gemacht werden können. Das ist nicht erst seit der Einführung der Datenschutzgrundverordnung (DSGVO) so.
Lesen Sie auch: DSGVO-Tipps für Nachzügler
Selbst kleinste Unternehmen müssen aufgrund dieser Gegebenheiten von ihnen verarbeitete Daten Dritter systematisch schützen. Oft benötigen sie dafür aber die Hilfe erfahrener MSPs. Diese können sie dabei auch unterstützen, alle getroffenen Maßnahmen detailliert zu dokumentieren und die Mitarbeiter über ihre Pflichten in Sachen Datenschutz aufzuklären.
- AhnLab V3 Internet Security
Schutzwirkung: 4,5 Systembelastung: 6,0 Benutzbarkeit: 6,0 - Avast Free Antivirus
Schutzwirkung: 6,0 Systembelastung: 5,5 Benutzbarkeit: 6,0 - AVG Internet Security
Schutzwirkung: 6,0 Systembelastung: 5,5 Benutzbarkeit: 5,5 - VIPRE Security VIPRE AdvancedSecurity
Schutzwirkung: 5,5 Systembelastung: 6,0 Benutzbarkeit: 6,0 - Symantec Norton Security
Schutzwirkung: 6,0 Systembelastung: 6,0 Benutzbarkeit: 6,0 - Malwarebytes Premium
Schutzwirkung: 4,5 Systembelastung: 5,0 Benutzbarkeit: 4,5 - Kaspersky Lab Internet Security
Schutzwirkung: 6,0 Systembelastung: 5,5 Benutzbarkeit: 6,0 - Microsoft Windows Defender
Schutzwirkung: 6,0 Systembelastung: 5,5 Benutzbarkeit: 5,5 - Avira Antivirus Pro
Schutzwirkung: 6,0 Systembelastung: 5,5 Benutzbarkeit: 6,0 - F-Secure SAFE
Schutzwirkung: 6,0 Systembelastung: 6,0 Benutzbarkeit: 6,0 - Comodo Internet Security Premium
Schutzwirkung: 6,0 Systembelastung: 5,0 Benutzbarkeit: 5,5 - G Data Internet Security
Schutzwirkung: 5,5 Systembelastung: 4,0 Benutzbarkeit: 6,0 - PC Pitstop PC Matic
Schutzwirkung: 5,5 Systembelastung: 6,0 Benutzbarkeit: 4,0 - BullGuard Internet Security
Schutzwirkung: 5,5 Systembelastung: 5,5 Benutzbarkeit: 6,0 - McAfee Internet Security
Schutzwirkung: 6,0 Systembelastung: 6,0 Benutzbarkeit: 6,0 - Bitdefender Internet Security
Schutzwirkung: 5,5 Systembelastung: 5,5 Benutzbarkeit: 5,5 - K7 Computing TotalSecurity
Schutzwirkung: 5,5 Systembelastung: 5,5 Benutzbarkeit: 6,0 - Microworld eScan internet security suite
Schutzwirkung: 4,5 Systembelastung: 6,0 Benutzbarkeit: 6,0 - Trend Micro Internet Security
Schutzwirkung: 5,5 Systembelastung: 5,0 Benutzbarkeit: 6,0
A-F-Methode im Detail
Die von Stephen Cobb vorgestellte Methode eignet sich auch, um Ihre Kunden und die von ihnen verarbeiteten Daten umfassend zu schützen.
ASSESS: In dieser Phase erstellen Sie eine Liste der vorhandenen IT-Infrastruktur inklusive aller Geräte und Services, die der Kunde verwendet. Dazu gehören aber auch Online-Dienste wie Salesforce, Online-Banking-Webseiten und andere Cloud-Dienste. Gehen Sie die Liste anschließend durch und überlegen Sie, welche Risiken sich aus der Nutzung ergeben.
BUILD: Stellen Sie Sicherheitsrichtlinien für Ihren Kunden auf und erläutern Sie ihm, was sich hinter den Maßnahmen verbirgt und warum Sie sie vorschlagen.
CHOOSE: Wählen Sie Kontrollmechanismen aus, um sicherzustellen, dass die Sicherheitsrichtlinien auch wirklich umgesetzt werden.
DEPLOY: Führen Sie die Kontrollmechanismen ein und überprüfen Sie zugleich, ob sie auch wirklich funktionieren. Außerdem sollten Schritte definiert werden, die der Kunde ergreifen kann, wenn zum Beispiel eine Sicherheits-Software eine Malware oder eine Phishing-Nachricht entdeckt hat.
EDUCATE: Es genügt nicht, dem Kunden nur eine Reihe von Sicherheitsrichtlinien vor die Nase zu setzen. Er selbst und seine Mitarbeiter müssen verstanden haben, warum sie notwendig sind. Schulungen gelten nicht zu Unrecht als eine der effektivsten Maßnahmen, um die Sicherheit in einem Unternehmen zu erhöhen. Achten Sie dabei aber darauf, dass wirklich alle Beteiligten einbezogen werden.
FURTHER: Mit der Durchführung der genannten Schritte muss kein Projekt enden. Nutzen Sie es, um fortlaufende Prozesse und Folgeprojekte mit dem Kunden auszumachen. So sollte etwa mindestens einmal im Jahr geprüft werden, ob die getroffenen Sicherheitsmaßnahmen noch den internen und externen Gegebenheiten des Kunden entsprechen. Es ist äußerst wichtig, die verwendeten Sicherheitsrichtlinien und Kontrollmechanismen immer wieder auf den Prüfstand zu stellen und an aktuelle Ereignisse und Trends in der IT-Sicherheit anzupassen.