​

Was ist besser? Ein kleines, wendiges Speed-Boot, oder ein großer, robuster Tanker? Beide brauchen Cybersecurity, haben aber unterschiedliche Ausgangslagen. Die großen Tanker können große Lasten transportieren und dabei große Distanzen zurücklegen. Die kleinen Speed-Boote hingegen können ihren Kurs rasch ändern und kommen schneller ans Ziel. Ein Leck ist für beide Seiten nicht optimal. 🤿

Heute möchte ich über die unterschiedlichen Herangehensweisen an Security von Konzernen und KMUs schreiben. Ausnahmen bestätigen die Regel, aber es gibt schon einen generellen Tenor.

Wie Konzerne Security machen (können)

In den IT-Teams von Konzernen ist es ziemlich strukturiert und hierarchisch. Für jeden Handgriff gibt es spezialisierte Teams und natürlich auch eigene IT-Security-Teams. Klar, der Trend geht mehr in Richtung Managed SOC (Security Operations Center), aber trotzdem sind etliche Positionen intern besetzt. Von Firewall und Netzwerk-Security über Identity Management (Active Directory und Entra ID) bis hin zur Informationssicherheit mit Business Continuity Management und IT-Security Risiko Management.

Die IT-Prozesse sind etabliert, man orientiert sich an ITIL, hat große Service Desks und auch GRC (Governance, Risk and Compliance) ist überall integriert. Auch andere Fachabteilungen wie HR, Finance und Legal haben hochkomplexe Prozesse, die durch IT gestützt sind.

Die IT-Systeme haben einen hohen Standardisierungsgrad. Das fängt bei der Beschaffung von Client- und Server-Hardware bereits an. Die Client-Software wird paketiert und zentral bereitgestellt, es kommen hochkonfigurierte Golden Master Images zum Einsatz, es gibt komplexe Configuration Policies und auch ein standardisiertes User- und Device-Management.

Natürlich hat jeder Konzern seine Tücken und Nachbesserungsbedarf, aber der Trend geht in Richtung Standardisierung und Optimierung. Das ist auch nötig, um die hohen regulatorischen Anforderungen der Branche zu erfüllen. Dazu kommen IT-Security Standards wie ISO 27001, TISAX und NIS2.

Deren monetärer Vorteil: Viel, hilft viel. Würde man bei Geld kaum glauben. 🤑 Wirtschaftskrise und gekürzte Budgets hin oder her, Konzerne schöpfen trotzdem aus dem Vollen. Sie haben Enterprise-Tools so weit das Auge reicht. XDR, SIEM, DLP, IAM, PAM, VM, WTF, LOL und ROFL. Manchmal glaube ich, dass die CISOs da Bullshit-Bingo spielen, nur um auf dem nächsten Summit mit "haben wir auch" prahlen zu können.

Selbst wenn, sie können es sich leisten. Immerhin brauchen sie etliche externe Berater, die ihnen die Tools implementieren, von denen jeder auch mal gerne 100-300k € pro Jahr kostet.

Nicht nur die Externen, sondern auch ihr internes Security-Personal ist top. Als Konzern hat man am Jobmarkt einfach eine andere Sichtbarkeit, kann ein höheres Gehalt zahlen, hat attraktivere Karriere-Chancen, großartige Weiterbildungen und die Mitarbeiter sind gekommen, um zu bleiben.

Das Problem bei der Konzern-Security ist oft leider, dass sich Angreifer in der Komplexität und dem Wirrwarr einfacher verstecken können. Das Incident Response Team könnte Zig-Millionen Incidents pro Tag abarbeiten, wenn man die Intensität der Logs nicht so stark filtern würde AI kann hier ein echter Game-Changer sein, aber eine 100%-Lösung ist es leider auch nicht.

Wie KMUs Security machen (müssen)

Im echten Mittelstand, aber auch in kleineren Unternehmen ist das Budget oft knapp und wird hart umkämpft. Die IT kann auch inhouse sein, wird aber oft an MSPs ausgelagert. Dann bleiben nur noch ein paar interne Ansprechpartner.

Der Fokus liegt hier auf kosteneffizienten und reibungslosen Betrieb. Dort wo Konzerne sparen wollen, müssen KMUs noch rigoroser sein. Es wird von den IT-Technikern sehr oft getrickst, um viele technische Prozesse und Funktionen zu ermöglichen.

Die IT-Security wird, wenn überhaupt, erst nachgelagert berücksichtigt. Oft wird nur das Nötigste gemacht: Firewall, EDR / Anti-Virus, Backup, Anti-Spam und das war's.

Ihre IT-Grundstruktur ist dabei nicht wesentlich anders als die in Konzernen. Auch kleinere Firmen haben die gleichen Anforderungen an ihre IT wie große Unternehmen. E-Mail, DNS, DHCP, Fileserver, Remote-Access, Identity Services (Active Directory, Entra ID), Monitoring und so weiter. Der Aufwand und die Risiken sind vergleichbar, aber die Ressourcen eben nicht. Auch wenn die Komplexität nicht ganz so krass ist, sind die Anforderungen an den Betrieb trotzdem hoch.

Die unsichtbare Gefahr

Dass sich KMUs in falscher Sicherheit wiegen, ist ja nichts Neues. Die Massenmedien tragen auch dazu bei, da immer nur von Cyberangriffen auf die "Großen" berichtet wird.

Wenn man die Leute fragt, wie groß ein Mittelständler ist, dann bekommt man ganz unterschiedliche Antworten. Da gibt es auf einmal welche mit mehr als 10.000 Mitarbeitern, aber auch welche mit weniger als 300. Es fühlt sich an wie eine Identitätskrise der deutschen Wirtschaft. Man will nicht erwachsen werden, denn sonst hätte man vielleicht auch die gleichen Probleme wie Erwachsene.

Und genau da liegt auch der Hund begraben. Die "Kleinen" sehen sie ja auch nicht als Ziel für Cyberangriffe an. Sonst müssten sie womöglich dagegen auch etwas tun. Wie ich schon gesagt habe, wird die IT-Sicherheit bei KMUs oft vernachlässigt. MSPs haben viele Kunden und ihr Fachpersonal ist oft total überbucht, so dass sie sich kaum noch um alle Kunden ordentlich kümmern können. Auch wenn die MSPs in den letzten Jahren den Sicherheits-Boom genutzt haben, um mehr zu verkaufen, sieht die Praxis leider oft sehr ernüchternd aus.

Es gibt nämlich viele Risiken, die unentdeckt bleiben. Sie verkaufen Produkte mit guten Margen, die nach der Anzahl der verwalteten Systeme lizenziert werden. Was fehlt, ist der Blick aufs große Ganze. Shadow-IT, Sicherheitsrelevante Konfigurationsfehler, nicht ganzheitliches Patch-Management, übergroßzügige Zugriffsrechte, fehlende Notfallkonzepte, kein gehärtetes Active Directory und so weiter.

Die Chancen

Wir sind wieder beim Speed-Boot. Das ist einfacher zu wenden als einen internationalen Konzern, der in 100 Ländern aktiv ist. In KMUs gibt es weniger verwachsene Altlasten (ich habe WENIGER gesagt, nicht "keine" 😂) und man kann sie auch einfacher migrieren als in Konzernen.

Außerdem haben wir viel weniger Systeme insgesamt. Es gibt nicht 100 SQL-Server, sondern vielleicht nur fünf. Und es sind auch nicht 80.000 Clients, sondern nur 150. Die IT-Leute wissen oft auch über jeden einzelnen Server Bescheid und haben sehr viel konzentriertes und wertvolles Fachwissen. Das macht es einfacher, mit ihrer Hilfe Security schneller und überall zu integrieren.

Du kannst in KMUs nach dem Pareto-Prinzip, also mit 20% des Aufwands, 80% an Sicherheit schaffen. Danach tastest du dich langsam, aber beständig, an die theoretischen 100% heran. Aufhören solltest du aber trotzdem nicht. Ein Speed-Boot, das 80% weniger leckt, wird trotzdem irgendwann ein Problem haben.

Ich möchte hier keine Panik verbreiten, sondern Hoffnung schüren. Wenn du IT-Security strukturiert und richtig priorisiert angehst, sparst du nicht nur Zeit, sondern auch Geld. Denn du kannst nicht einfach ein Tool-Friedhof aufbauen, um dich dann nicht darum zu kümmern.

Fazit

Konzerne haben ein großes Budget für IT-Security, viele Prozesse, aber auch viele Altlasten und eine hohe Komplexität in ihrer IT. Dazu kommt eine große Anzahl an Systemen und sehr viel verteiltes Wissen.

KMUs hingegen haben ein kleines Budget, können die IT-Security hemdsärmeliger und effizienter anpacken. Das Commitment muss aber trotzdem da sein, denn für beide Welten ist es schon lange kein Luxus-Problem mehr.

Konzerne wissen das bereits. KMUs haben noch Schwierigkeiten damit, das auch zuzugeben.