Analyst rät Mittelstand Teilauslagerung von Security

ZDNet: Ist der Einsatz von VPNs bei kleinen und mittleren Firmen üblich?

Funk: Das weiß ich nicht, sinnvoll ist es auf alle Fälle und zudem relativ einfach und kostengünstig. Es gibt inzwischen auch Varianten (SSL-Verschlüsselung), bei denen keine Software auf dem Client-Gerät installiert werden muss, so dass sich die Verwaltung vereinfacht.

ZDNet: Durch Internet-Telefonie wird zunehmend auch Sprache über das Netz abgewickelt. Ist das gefährlich?

Funk: Auch normale Telefonate lassen sich abhören, aber die technischen Möglichkeiten im Internet sind auf jeden Fall noch größer und einfacher.

ZDNet: Vor einigen Jahren galt Instant Messaging (IM) als großes Problem. Ist dem noch so?

Funk: Dieses Jahr sind bereits über 30 Zwischenfälle wegen IM-Viren, -Würmern oder anderen Formen mobilen Codes registriert worden. Noch richten sich die Bedrohungen vor allem gegen Nutzer bestimmer Netzwerke wie MSN, Yahoo und AIM. Es gibt Systeme, wie etwa Lotus ‚Sametime‘, die für Unternehmenszwecke konzipiert und damit als geschlossenes System relativ sicher sind, wenn man sie richtig aufsetzt. Ohne Prozesse hilft Technik wenig

ZDNet: Was tut man, um sich vor Angriffen zu schützen?

Funk: Vor allem sollte es eine Fachkraft geben, die für IT-Security zuständig ist und sei es nur in Teilzeit. Fachbereiche und Geschäftsführung sollten eingebunden sein, denn schließlich geht es darum, Geschäftsprozesse zu schützen. Im Gespräch lässt sich hier schon ausloten, welche Werte es zu schützen gilt, etwa die Kundendatenbank oder die Forschungsabteilung, wo und in welchen Fällen werden schützenswerte Daten via Netz etwa in eine Zweigstelle transferiert. Daraus lässt sich eine rudimentäre Strategie aufbauen, und man kann einfacher Prioritäten bei der Verteilung der Budgets setzen. Wichtig sind außerdem Regeln für den Umgang mit E-Mail, Web-Nutzung etc. Diese Grundregeln müssen im Unternehmen kommuniziert werden, dabei kann man auch Bewusstsein für die möglichen Gefahren schaffen.

Mein Rat für Mittelständler ist, intern einen groben Überblick über die Sicherheitssituation zu definieren , sich dann aber klar zu machen, welche Funktionen man nach außen an externe Dienstleister vergibt. Dabei sind klare Service-Levels zu definieren und auch die Sanktionen für den Fall, dass sie nicht erfüllt werden. Im Rahmen von Managed Services beispielsweise lassen sich etwa Firewalls überwachen und verwalten. Eine komplette Auslagerung der IT-Sicherheit ist nicht zum empfehlen – es muss immer eine kompetente interne Koordinierungsfunktion da sein. Ein eventuell notwendiger Wechsel des Dienstleisters wird dann weniger Bauchschmerzen – sprich Know-how-Verlust – bedeuten.

ZDNet: Wie findet man den richtigen Dienstleister?

Funk: Oft gibt es ja bereits einen langjährigen Dienstleister, wenn der schon ein paar Jahre Erfahrung mit Managed Security Services hat, dann klingt das nicht schlecht. Bei Zweifeln sollte man sich besser noch einmal umsehen. Bei etablierten großen Anbietern wird man zwar vielleicht nicht so individuell betreut, dafür verfügen sie in der Regel über reiche Erfahrung.