Johannes Lewin
IT ist keine Raketenwissenschaft. Sie wird nur oft so verkauft. Dabei ist das Gegenteil wahr: Gut gemachte IT erklärt sich selbst und gute Sicherheit entsteht nicht durch immer mehr Technik, sondern durch klare Strukturen.
In vielen kleinen und mittleren Unternehmen ist die IT über Jahre gewachsen. Neue Systeme kamen hinzu, Anforderungen änderten sich, Zuständigkeiten blieben diffus. Sicherheitsfragen rücken meist erst dann in den Fokus, wenn Störungen auftreten. Aus der Praxis zeigt sich dabei immer wieder: Die eigentlichen Probleme liegen selten in hochkomplexen Angriffen, sondern in grundlegenden strukturellen Schwächen.
Infrastruktur als unterschätzter Sicherheitsfaktor
Firewalls, Virenschutz oder Mitarbeiterschulungen sind wichtig, entfalten ihre Wirkung aber nur dann, wenn die Infrastruktur diese Maßnahmen trägt. In vielen Unternehmen fehlen genau diese Grundlagen: keine saubere Dokumentation, historisch gewachsene Zugänge, ungeklärte Verantwortlichkeiten.
Das Ergebnis: Im Ernstfall weiß niemand genau, was wo läuft und wer wofür zuständig ist.
Autor: Johannes Lewin
Geschäftsführer
threesixty IT-Lösungen (360SYSTEMS UG)
www.360.de
Flache Netzwerke als strukturelles Risiko
Ein häufiges Muster sind vollständig flache Netzwerke, in denen Arbeitsplätze, Server und weitere Systeme direkt erreichbar sind. Kompromittierte Geräte erhalten so direkten Zugriff auf kritische Systeme, Angriffe können sich ungehindert ausbreiten.
Eine Segmentierung über VLANs schafft Abhilfe: Benutzer-Arbeitsplätze, Server, Administrationszugänge, externe Zugänge und Geräte wie Drucker oder IoT-Komponenten gehören in getrennte Bereiche mit klar definierten Kommunikationsregeln. Nicht alles darf mit allem sprechen.
Zugriffsrechte, Passwörter und Zwei-Faktor-Authentifizierung
Wiederverwendete Passwörter, administrative Kennwörter im Alltagseinsatz, Zugangsdaten in Excel-Tabellen – diese Muster entstehen selten aus Nachlässigkeit, sondern aus Zeitmangel und fehlenden Strukturen. Das Ergebnis ist dennoch dasselbe: ein erhebliches Sicherheitsrisiko.
Der richtige Ansatz heißt Least Privilege: Benutzer und Systeme erhalten nur die Rechte, die sie tatsächlich benötigen. Technik ist erst dann wertvoll, wenn sie verstanden und sinnvoll eingesetzt wird. Das gilt auch für Zugriffskonzepte.
Ergänzend sollte für alle externen Zugänge, insbesondere VPN und Microsoft 365, eine Zwei-Faktor-Authentifizierung (MFA) aktiviert sein. Sie ist eine der wirksamsten Maßnahmen gegen kompromittierte Zugangsdaten und in den meisten Umgebungen ohne großen Aufwand umsetzbar.
Wartung und Updates
Ungepatchte Systeme gehören zu den häufigsten Ursachen für erfolgreiche Angriffe. Wartungsfenster fehlen oder werden aufgeschoben. Wer einmal richtig wartet, muss nicht zweimal ran. Regelmäßige Pflege ist keine Zusatzaufgabe, sondern Bestandteil der Sicherheitsarchitektur.
Redundanz, Backup und Dokumentation
Redundanz ist mehr als ein Verfügbarkeitsthema. Fehlen Ausweichmöglichkeiten, entsteht im Störungsfall Zeitdruck und unter Druck werden Entscheidungen getroffen, die neue Risiken schaffen.
Bewährt hat sich das 3-2-1-Prinzip beim Backup: drei Kopien der Daten, auf zwei verschiedenen Medien, davon eine außerhalb des Unternehmens. Gerade bei Ransomware ist ein sauberes, getrenntes Backup häufig der einzige Weg zur Wiederherstellung ohne Lösegeldzahlung.
Ebenso entscheidend: aktuelle Dokumentation und klare Zuständigkeiten. Ohne diese wird selbst ein kleiner Vorfall schnell unübersichtlich.
Fazit
Viele Sicherheitsprobleme entstehen nicht durch fehlende Technik, sondern durch fehlende Struktur. Eine durchdachte IT-Architektur reduziert Risiken, begrenzt Schäden und schafft die Grundlage für wirksame Maßnahmen.
IT muss nicht perfekt sein. Sie muss verständlich, gepflegt und beherrschbar bleiben.
