KMUs zwischen Cyberbedrohungen und Compliance-Anforderungen
In der Unternehmenslandschaft gibt es im Bereich IT-Sicherheit ein starkes Gefälle: Am oberen Ende stehen Großunternehmen, die entweder der Digitalindustrie angehören, oder frühzeitig ihre Digitalisierung vollzogen haben. Am unteren Ende befinden sich kleine und mittelständische Unternehmen, bei denen die Digitalisierung später Einzug gehalten hat oder die gerade erst beginnen, diese umsetzen.
Ihre finanziellen Ressourcen für IT-Security müssen in einem vertretbaren Rahmen bleiben, doch dies gestaltet sich angesichts der IT-Bedrohungslage und wachsender gesetzlicher Anforderungen schwierig. Die lokalen IT-Dienstleister, mit denen sie zusammenarbeiten, haben wiederum das Problem, dass sie hochwertige IT-Security-Expertise kaum in für ihre Kunden bezahlbare Services bringen können. Die Möglichkeiten der Automatisierung hingegen bieten für alle Beteiligten eine Lösung.
Die ständige Gefahr eines Ransomware-Angriffs oder Datendiebstahls ist mittlerweile Bestandteil des Alltags von KMUs. Über die vergangenen Jahre hat sich die Cyberkriminalität immer weiter professionalisiert und hat so eine dunkle, florierende Ökonomie entstehen lassen, in der Hacker ihr Können zu Geld machen können. KMUs sind für sie als Ziele interessant geworden, weil sie nicht über die massiven Sicherheitskapazitäten von Großkonzernen verfügen und damit größere Erfolgsaussichten für ihre ausgereiften Angriffstaktiken bieten.
Der Gesetzgeber verlangt Kontrolle
Auch von gesetzlicher Seite wachsen die Anforderungen an Informationssicherheit und Cybersecurity. Während die DSGVO von Unternehmen einen gewissenhaften Umgang mit sensiblen Daten und eine Auskunftsfähigkeit zu deren Verarbeitung verlangt, nimmt die kommende NIS-2-Richtlinie Unternehmen stärker in die Verantwortung – und vor allem Haftung – für ihre Cybersicherheitsstrategie. Darin steckt für Unternehmen implizit das Erfordernis, stets über den Zustand ihrer IT-Infrastruktur und deren Anfälligkeit informiert zu sein und die nötigen Maßnahmen zu ergreifen, um Sicherheitslücken zu schließen. Großunternehmen lösen dieses Problem mit regelmäßigen Security-Audits.
Security-Audits: Gewissheit ist teuer
Wollen KMUs sich auf dieselbe Weise Gewissheit verschaffen, stoßen sie allerdings auf zwei Probleme: Ein Security-Audit bewegt sich im fünfstelligen Kostenbereich und kommt auf Grund dessen für sie bestenfalls in großen zeitlichen Abständen in Frage. Das zweite Problem besteht meist auf Seiten ihrer Dienstleister: Die Durchführung verlangt von diesen fachliche Expertise, die sie sich unter Umständen extern hinzuholen müssen. Es kostet sie viel Zeit und Ressourcen, um eine Infrastruktur gewissenhaft zu prüfen und insbesondere die Ergebnisse sowie erforderliche Maßnahmen ihren Kunden verständlich zu machen. Da diese Dienstleistung von ihren Kunden nur wenig nachgefragt wird und eine zusätzliche Belastung für ihre gewohnten Arbeitsroutinen darstellt, lohnt es sich für sie kaum, in ein entsprechendes dauerhaftes Serviceangebot zu investieren.
Es bestehen also zwei Entwicklungen, die einander zuwider laufen: Einerseits verlangen Bedrohungslage und Gesetzgebung von Unternehmen bestmögliche Kontrolle über ihre IT-Infrastrukturen. Andererseits scheinen KMUs auf Grund der Beschaffenheit des IT-Security-Markts von den erforderlichen Maßnahmen abgeschnitten zu sein.
Automatisierung schafft Chancengleichheit
Dieses Problem lässt sich jedoch technologisch sowohl für KMUs als auch IT-Dienstleister zufriedenstellend lösen: IT-Security-Audits lassen sich automatisiert durchführen. Mit entsprechenden SaaS-Lösungen – beispielsweise von Lywand – können IT-Dienstleister regelmäßig remote Security-Scans bei ihren Kunden durchführen. Diese lassen sich einfach in ihre gewohnten Arbeitsabläufe und Managed Services-Angebote integrieren. Im Anschluss an einen Scan erhalten sie eine Sicherheitsbewertung auf einer Skala von A-F und einen einfach verständlichen Bericht mit einer Liste empfohlener Maßnahmen zur Behebung der entdeckten Schwachstellen.
Auf diese Weise können IT-Dienstleister ihren KMU-Kunden ein hilfreiches Angebot machen, ohne einen unverhältnismäßig hohen Aufwand betreiben zu müssen. Für ihre Kunden sind Security-Audits nun erschwinglich, da ihnen lediglich ein Bruchteil der Kosten eines klassischen Audits entsteht. Folglich können sie diese und lässt sich folglich beliebig häufig durchführen lässt. Mit regelmäßigen Sicherheitsscans können zielgerichtet und effizient die notwendigen Maßnahmen ergriffen und die Angriffsfläche eines Unternehmens auf ein Minimum reduziert werden. Automatisierte SaaS-Lösungen erhöhen damit nicht nur das Sicherheitsniveau einzelner Unternehmen, sondern schaffen auch Chancengleichheit in der IT-Security, indem sie dazu beitragen, das Gefälle in der Unternehmenslandschaft auszugleichen.
Lywand – automatisierte Security-Audits für KMUs: https://lywand.com/produkt/#kmu
So unterstützt Lywand IT-Dienstleister: https://lywand.com/produkt/#it-dienstleister
Über Lywand Software
Lywand Software bietet eine vollautomatisierte Sicherheitsüberprüfung der IT-Infrastruktur für Unternehmen. Für IT-Händler, -Dienstleister und Systemhäuser, welche den Bedarf ihrer kleinen und mittleren Kunden nach IT-Sicherheit bedienen wollen, vereinfacht Lywand den Prozess der Beratung und Produktempfehlung. Kunden erhalten so Angebote, die deren Sicherheit messbar erhöhen. Lywand hat seinen Hauptsitz in St. Pölten, Österreich. Weitere Informationen: www.lywand.com