Themen
Tipp des Monats
Machen Sie in nur zehn Minuten den IT-Sicherheitscheck von Deutschland sicher im Netz. Der Test liefert Handlungsempfehlungen, mit denen Sie die eigene IT-Sicherheitslage verbessern können.
Newsletter
Um neue Beiträge regelmäßig zu erhalten, können Sie hier unseren Newsletter abonnieren:
Geschäftspartner als Sicherheitsrisiko?
Geschäftspartner spielen nicht nur für den Erfolg eine wichtige Rolle, sie können auch ein nicht unerhebliches Sicherheitsrisiko darstellen.
Kleine bis mittelgroße Unternehmen sind für sich betrachtet häufig kein interessantes Ziel für gezielte Attacken. Allerdings werden sie von Cyberkriminellen gerne als Sprungbrett benutzt, um ihre größeren Geschäftspartner anzugreifen. Das funktioniert, weil kleine Unternehmen oftmals kein spezialisiertes Personal, damit nur wenig IT-Sicherheitsknow-how und kaum Möglichkeiten haben, Angriffe zu erkennen bzw. falls sie diese erkennen die Wurzel des Übels auszumerzen.
Die großen Unternehmen wiederum befassen sich häufig nicht intensiv genug mit den Risiken, die ihnen durch Dritte drohen können. Sie verteilen häufig nur Fragebögen zur Risikobewertung an ihre Geschäftspartner. Diese beantworten die Fragebögen zwar nach bestem Wissen und Gewissen, allerdings klafft hier häufig eine große Lücke zwischen der Selbsteinschätzung der KMU und deren tatsächlicher Sicherheitslage.
Das Unternehmen Datumsec führt in regelmäßigen Abständen Untersuchungen durch und veröffentlicht die Ergebnisse. Folgende Punkte machen die Zusammenarbeit mit kleinen Unternehmen so riskant für ihre großen Geschäftspartner:
Der Bodensatz
Es gibt immer einen gewissen Prozentsatz von KMUs der nicht ausreichend abgesichert ist. Während 75 % der untersuchten kleinen Unternehmen verhältnismäßig gut abgesichert waren, wiesen die restlichen 25 % erhebliche Sicherheitsmängel auf. Insbesondere sind hier offene Ports, veraltete Anwendungen und Dienste im Unternehmensnetzwerk, DNS-Fehlkonfigurationen und unverschlüsselte Login-Portale als Schwachstellen zu nennen.
Probleme bei der Umsetzung
Manche Unternehmen schneiden bei der externen Bewertung gut ab, haben aber bei der internen Umsetzung von Sicherheitsfragen erhebliche Probleme. Beispielsweise gaben sie im Fragebogen an, regelmäßig zu patchen, wenn aber überprüft wurde, wie sie tatsächlich patchen, schnitten sie erheblich schlechter ab.
Fehlender Antimalwareschutz
24 % der überprüften Unternehmen hatten keinen Antimalwareschutz. Das sind zwar erheblich weniger als 2009, als Symantec in einer ähnlichen Studie herausfand, dass 59 % der Unternehmen keinen Antimalwareschutz nutzen. Aber auch wenn mittlerweile viele Sicherheitsexperten propagieren, dass der Antivirenschutz tot ist, und es bei den gegenwärtigen Risiken nicht mehr ausreicht nur die Endpunkte abzusichern, finden noch genügend Angriffe an den Endpunkten statt. Man kann sich ausmalen, was das für die Geschäftspartner der betroffenen KMUs bedeutet.
Mangelhafte Verwaltung der Benutzerkonten
Das ist deshalb als kritisch zu bewerten, weil der Nutzer ja das schwächste Glied der Sicherheitskette ist. 59% der überprüften Unternehmen hatten „Geisterkonten“, die mindestens ein Jahr lang nicht genutzt wurden. 79% der überprüften Unternehmen hatten in diesem Zeitraum die Passörter für Benutzerkonten nicht gewechselt.
Windows XP Arbeitsplätze
Obwohl Windows XP bereits vor über 2 Jahren abgekündigt wurde fanden sich bei mehr als 5 % der Unternehmen noch Windows XP Arbeitsplätze. Da diese nicht mehr gepatcht werden können, sind sie ein Sicherheitsrisiko.
Wenn man diese Ergebnisse betrachtet, ist es kein Wunder mehr, dass KMUs oft als schwächstes Glied in der Sicherheitskette ihrer größeren Geschäftspartner angesehen werden.

Über die Autorin:
Diplom-Kauffrau
Seit 1994 tätig bei DATEV eG. Im Bereich IT-Dienstleistungen und Security seit 2005 zuständig für übergreifende Kommunikation und Vermarktung technischer Produktlösungen. Verfasst in diesem Kontext regelmäßig Beiträge in der Kundenzeitschrift der DATEV und ist Co-Autorin des Leitfadens „Deutschland sicher im Netz”. Privat Mutter eines „Digital Natives” und „technische Beraterin” der Unternehmer im Bekanntenkreis.

Neueste Kommentare