Auch heute noch wird in vielen kleinen und mittelständischen Unternehmen (KMU) in Deutschland die Verantwortung für die IT-Umgebung an einen IT-affinen Auszubildenden oder Mitarbeiter übertragen. Er soll sich um die „EDV“ zu kümmern, aber bitte nur die Daten sichern und ansonsten nichts verändern, frei nach dem Motto: "Never touch a running system". So viel Arbeit kann das ja wohl nicht sein.
Die Zeiten haben sich jedoch geändert. Durch zunehmende Vernetzung und immer größere und vielfältigere Sicherheitsbedrohungen werden Verwaltung und Absicherung der IT auch in KMUs immer anspruchsvoller. Selbst erfahrene IT-Experten stoßen oft an ihre Grenzen.
Sie müssen unterschiedlichste Hardware – Server, Storage, Backup-Systeme und -Medien, Switches, Router, PC-Workstations, Laptops, Tablets, Smartphones, Monitore und Drucker verwalten, verschiedenste Betriebssysteme wie Microsoft Server, Linux, Unix oder Hypervisoren wie Hyper-V und vSphere administrieren, Kommunikations- und Datenbanksoftware wie Exchange, Lotus Notes oder SQL-Server kennen und natürlich Sicherheitslösungen für Netzwerke und Daten wie Firewall, Virenschutz, Endpoint-Security und Phishing-Mail-Schutz beherrschen.
Das große Aufgabenfeld von IT-Verantwortlichen
Das Aufgabenfeld für IT-Verantwortliche ist heute also groß und anspruchsvoll, auch im Hinblick auf die kaufmännische und risikominimierende Verantwortung: Neben der permanenten Überprüfung und dem Austausch von Hardware und Software zählen dazu der Schutz der Hardware vor Schäden wie z.B. Stromausfall, die Aktualisierung und Anpassung von Netzwerkkomponenten sowie der Festplatten- und Backupkapazitäten.
Und, last but not least, das große Feld der IT-Sicherheit: Heute müssen sich Unternehmen aktiv um die Überwachung und Aktualisierung der IT-Sicherheitsvorkehrungen kümmern. Dazu zählen Firewall, Virenscanner-Update, Backups, Server-Überwachung und -Sicherung, die Überwachung der Netzwerksicherheit sowie Mobile Device Management für die sichere Nutzung mobiler Endgeräte, aber auch Betriebssysteme und Software müssen immer auf dem neuesten Stand gehalten werden.
Bleiben Aufgaben liegen, bedeutet das ein hohes Risiko. Es drohen nicht nur Ausfälle von Hard- und Software, bei gravierenden IT-Sicherheitsvorfällen kann die gesamte Unternehmensexistenz bedroht sein.
Was Managed Services für den Mittelstand tun können
Wie wichtig eine gut funktionierende IT-Pflege ist, zeigt der jüngste Hackerangriff auf das Neusser Lukaskrankenhaus. Die durch das Öffnen eines E-Mail-Anhangs ausgelöste Attacke führte dazu, dass das Krankenhaus den IT-Betrieb auf Handbetrieb umstellen musste, um den Befall hochsensibler Patientendaten zu vermeiden. Das Krankenhaus war betriebs-, aber nicht mehr geschäftsfähig. Geplante Operationen konnten durchgeführt, ungeplante mussten an andere Krankenhäuser abgegeben werden. Wenn man bedenkt, dass auch in dieser Branche ein harter Wettbewerb herrscht, dann bedeutet das einen hohen Umsatzausfall. Insgesamt dauerte der Ausfall beim Lukaskrankenhaus mehr als fünf Tage.
Ein anderes Beispiel: Trotz der in einem mittelständischen Unternehmen vorhandenen Firewall und aktuellster Virenschutzsoftware erhielt der Virus Cryptowall über einen Benutzer-Account Zugang auf die Unternehmensdaten. Cryptowall verschlüsselte diese Daten, um im Nachhinein vom Eigentümer Geld für die Entschlüsselung zu verlangen. Was genau und warum es passierte, war nur über die eingesetzten Sicherheitslösungen und Auswertung der Logdaten und Eventanzeigen zu klären. Mit geringem Verlust wiederhergestellt werden konnten die Daten lediglich aufgrund eines guten und aktuellen Backups – mithilfe einer leistungsstarken Software.
Mittelständler sind auf Hilfe angewiesen
Die Beispiele zeigen: Für ein mittelständisches Unternehmen sind die Anforderungen an eine hoch funktionale, performante, ausfall- und angriffssichere Unternehmens-IT extrem hoch, die Umsetzung wirtschaftlich fast nicht machbar. Sie nehmen deswegen oft die Hilfe externer IT-Dienstleister in Anspruch, die mit umfangreichen Service-Konzepten (Managed Services) für einen sicheren und störungsfreien IT-Betrieb sorgen.
Schuldig, oder nicht schuldig?
Offen bleiben die Fragen „Wer ist schuld, wenn ein Schaden eintritt?“ und „Wer haftet für den Schaden, der IT-Dienstleister oder die IT-Abteilung? Hat er/sie richtig beraten? Hat er/sie richtig gehandelt? Oder ist der Geschäftsführer des betroffenen Unternehmens verantwortlich? Hat er sich vielleicht nicht (umfassend) beraten lassen und/oder Empfehlungen nicht angenommen?
Meist verteilt sich die „Schuld“ auf mehrere Schultern. Und wichtiger sind letztlich auch die Lehren, die alle Beteiligten daraus ziehen sollten:
Unternehmen und IT-Dienstleister müssen sich ihrer Verantwortung bewusst sein.
Beide müssen sich umfassend informieren.
Die Sicherheitslösungen müssen auf den Prüfstand.
Die technischen Regelwerke (Antivirus, lokale Firewall, Internet-Gateway-Firewall) müssen diskutiert und aktualisiert werden.
Die Benutzer müssen umfassend informiert und sensibilisiert werden.
Die private Nutzung der Unternehmens-Ressourcen (Systeme und Netzwerke) sollte eingeschränkt werden.
Ein Notfallplan muss erstellt und den Risiken angepasst werden.
So beherzigt, wird die Pflicht zur Kür. (haf)