DsiN-Blog

Der IT-Sicher­heitsblog für den Mittelstand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abonnieren:

Geschäfts­partner als Sicherheitsrisiko?

 Geschäfts­partner spielen nicht nur für den Erfolg eine wichtige Rolle, sie können auch ein nicht uner­heb­liches Sicher­heits­risiko darstellen.

 

 

Kleine bis mit­tel­große Unter­nehmen sind für sich betrachtet häufig kein inter­es­santes Ziel für gezielte Attacken. Aller­dings werden sie von Cyber­kri­mi­nellen gerne als Sprung­brett benutzt, um ihre grö­ßeren Geschäfts­partner anzu­greifen. Das funk­tio­niert, weil kleine Unter­nehmen oftmals kein spe­zia­li­siertes Per­sonal, damit nur wenig IT-Sicher­heitsknow-how und kaum Mög­lich­keiten haben, Angriffe zu erkennen bzw. falls sie diese erkennen die Wurzel des Übels auszumerzen.

Die großen Unter­nehmen wie­derum befassen sich häufig nicht intensiv genug mit den Risiken, die ihnen durch Dritte drohen können. Sie ver­teilen häufig nur Fra­ge­bögen zur Risi­ko­be­wertung an ihre Geschäfts­partner. Diese beant­worten die Fra­ge­bögen zwar nach bestem Wissen und Gewissen, aller­dings klafft hier häufig eine große Lücke zwi­schen der Selbst­ein­schätzung der KMU und deren tat­säch­licher Sicherheitslage.
Das Unter­nehmen Datumsec führt in regel­mä­ßigen Abständen Unter­su­chungen durch und ver­öf­fent­licht die Ergeb­nisse. Fol­gende Punkte machen  die Zusam­men­arbeit mit kleinen Unter­nehmen so riskant für ihre großen Geschäftspartner:

Der Bodensatz

Es gibt immer einen gewissen Pro­zentsatz von KMUs der nicht aus­rei­chend abge­si­chert ist. Während 75 % der unter­suchten kleinen Unter­nehmen ver­hält­nis­mäßig gut abge­si­chert waren, wiesen die rest­lichen 25 % erheb­liche Sicher­heits­mängel auf. Ins­be­sondere sind hier offene Ports, ver­altete Anwen­dungen und Dienste im Unter­neh­mens­netzwerk, DNS-Fehl­­kon­­fi­­gu­ra­­tionen und unver­schlüs­selte Login-Portale als Schwach­stellen zu nennen.
 

Pro­bleme bei der Umsetzung

Manche Unter­nehmen schneiden bei der externen Bewertung gut ab, haben aber bei der internen Umsetzung von Sicher­heits­fragen erheb­liche Pro­bleme. Bei­spiels­weise gaben sie im Fra­ge­bogen an, regel­mäßig zu patchen, wenn aber über­prüft wurde, wie sie tat­sächlich patchen, schnitten sie erheblich schlechter ab.

Feh­lender Antimalwareschutz

24 % der über­prüften Unter­nehmen hatten keinen Anti­mal­wa­re­schutz. Das sind zwar erheblich weniger als 2009, als Symantec in einer ähn­lichen Studie her­ausfand, dass 59 % der Unter­nehmen keinen Anti­mal­wa­re­schutz nutzen. Aber auch wenn mitt­ler­weile viele Sicher­heits­ex­perten pro­pa­gieren, dass der Anti­vi­ren­schutz tot ist, und es bei den gegen­wär­tigen Risiken nicht mehr aus­reicht nur die End­punkte abzu­si­chern, finden noch genügend Angriffe an den End­punkten statt. Man kann sich aus­malen, was das für die Geschäfts­partner der betrof­fenen KMUs bedeutet.

Man­gel­hafte Ver­waltung der Benutzerkonten

Das ist deshalb als kri­tisch zu bewerten, weil der Nutzer ja das schwächste Glied der Sicher­heits­kette ist. 59% der über­prüften Unter­nehmen hatten „Geis­ter­konten“, die min­destens ein Jahr lang nicht genutzt wurden. 79% der über­prüften Unter­nehmen hatten in diesem Zeitraum die Pas­sörter für Benut­zer­konten nicht gewechselt.

Windows XP Arbeitsplätze

Obwohl Windows XP bereits vor über 2 Jahren abge­kündigt wurde fanden sich bei mehr als 5 % der Unter­nehmen noch Windows XP Arbeits­plätze. Da diese nicht mehr gepatcht werden können, sind sie ein Sicherheitsrisiko.
Wenn man diese Ergeb­nisse betrachtet, ist es kein Wunder mehr, dass KMUs oft als schwächstes Glied in der Sicher­heits­kette ihrer grö­ßeren Geschäfts­partner ange­sehen werden.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Manuela Moretta, DATEV eG

Über die Autorin:

Diplom-Kauffrau

Seit 1994 tätig bei DATEV eG. Im Bereich IT-Dienst­leis­tungen und Security seit 2005 zuständig für über­grei­fende Kom­mu­ni­kation und Ver­marktung tech­ni­scher Pro­dukt­lö­sungen. Ver­fasst in diesem Kontext regel­mäßig Bei­träge in der Kun­den­zeit­schrift der DATEV und ist Co-Autorin des Leit­fadens „Deutschland sicher im Netz”. Privat Mutter eines „Digital Natives” und „tech­nische Bera­terin” der Unter­nehmer im Bekanntenkreis.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mittelstand.