Kirsten Nothbaum
Die Bedrohungslage ist real, doch die Ressourcen in Form von Budget und spezialisiertem Fachpersonal sind begrenzt. Kennen Sie dieses Dilemma, mit dem sich aktuell viele kleinere und mittelständische Unternehmen konfrontiert sehen? Umso wichtiger ist ein pragmatischer Blick auf das Thema Security.
Meist liegt es an einer fehlenden Grundhygiene, wenn Sicherheitsvorfälle eskalieren. Es beginnt bei unzuverlässigen Backups oder fehlenden Wiederanlaufplänen. So kann aus einem zunächst überschaubaren Vorfall schnell ein ernsthaftes Geschäftsrisiko entstehen. Im Folgenden erfahren Sie, wie Sie eine gute Basis für zuverlässige IT-Security schaffen.
Was ist überhaupt geschäftskritisch?
Bevor Budget in Security-Lösungen fließt, ist eine Bestandsaufnahme immer sinnvoll. Welche Daten und Systeme sind überhaupt erforderlich, damit Ihr Geschäft im Notfall weiterlaufen kann? Wie abhängig sind Sie von digitalen Infrastrukturen? Worauf können Sie heute schon zurückgreifen? Identifizieren Sie zunächst Ihren konkreten Bedarf und bestehende Lücken, um Security-Lösungen bedarfsgerecht zu etablieren.
Autorin: Kirsten Nothbaum
Senior Marketing Manager
plusserver GmbH
www.plusserver.com
Daten und Einstellungen sichern
Regelmäßige Backups sind die wichtigste Sicherheitsmaßnahme. Zwar verhindern sie bekanntlich keine Angriffe, jedoch begrenzen sie deren Auswirkungen. Dabei ist es entscheidend, die Wiederherstellung regelmäßig zu testen und Backup-Kopien an einem externen Ort aufzubewahren. Das kann beispielsweise bei Ransomware den Unterschied machen. Hierzu eignen sich gemanagte Backup-Lösungen in der Cloud. Sie helfen zusätzlich dabei, Backups zu automatisieren, den Aufwand gering zu halten und unabhängig von internem Spezialwissen zu bleiben.
Aber sind geschäftskritische Daten in der Cloud wirklich sicher? Was ist mit Datenschutzthemen? In der Tat ist Cloud nicht gleich Cloud und wer die Gewissheit haben möchte, dass wertvolle Daten nicht das Land verlassen oder von Dritten eingesehen werden, sollte auf regionale Anbieter mit Rechenzentrumsstandorten in Deutschland achten. Idealerweise verfügt der Anbieter sogar über mehrere eigene Rechenzentren, sodass bei Bedarf eine zusätzliche Geo-Redundanz realisiert werden kann. Das bedeutet, dass jede Datensicherung automatisch an einen geographisch entfernten Standort repliziert wird, sodass die Daten selbst beim Ausfall eines Rechenzentrums verfügbar bleiben.
Systeme wiederherstellen
Aufbauend auf einer soliden Backup-Strategie stellt sich die Frage, wie schnell geschäftskritische Systeme im Ernstfall wieder verfügbar sein müssen. Disaster-Recovery-Konzepte legen Prioritäten, Abläufe und akzeptable Ausfallzeiten fest. Sie können als externer Service in einer Cloud bereitgestellt werden, sodass eine selbst betriebene Notfallinfrastruktur nicht erforderlich ist. So bleiben Unternehmen auch dann handlungsfähig, wenn ihnen das Wasser buchstäblich bis zum Hals steht. Eine Cloud-basierte Lösung rechnet sich auch finanziell, da die Ressourcen nur bei Bedarf hochgefahren werden und erst dann Kosten entstehen.
Durchblick schaffen
Je früher verdächtige Ereignisse auf Endgeräten, im Netzwerk oder auf Servern entdeckt werden, desto geringer der Schaden. Um 24/7-Transparenz zu erreichen, hat sich die Kombination aus SIEM (Security Information and Event Management) und SOC (Security Operations Center) in größeren Unternehmen bereits bewährt. Hier werden Log-Daten verschiedener Quellen gesammelt, gefiltert und ausgewertet. Ein eigenes SOC inkl. Security-Tools und Personal aufzubauen, ist für kleinere Unternehmen zwar meist nicht machbar. Sie können aber ein SOC as a Service als wirtschaftliche Alternative in Betracht ziehen, bei dem die nötigen Ressourcen zentral für mehrere Kunden betrieben werden. So müssen sich kleinere Budgets und großer Überblick nicht ausschließen.
Fazit: Don’t panic
Auch wenn sich nicht alle Elemente einer nachhaltigen Security-Strategie von heute auf morgen umsetzen lassen: Was zählt ist die Grundhygiene. Starten Sie ruhig klein mit einer Ist-Analyse und einem soliden Backup und planen Sie von hier aus die sinnvollen nächsten Schritte, angepasst an den Schutzbedarf Ihres Unternehmens.
