Was ist zu tun?

Thomas Uhlemann: Gerade kleineren und mittelständischen Unternehmen fehlen häufig finanzielle und personelle Ressourcen. Der erste Schritt in Richtung Sicherheit und Datenschutz ist proaktives statt reaktives Arbeiten. Auch der wahllose Erwerb von Software hilft Unternehmen nicht unbedingt weiter. Verfügt die Firma über keine eigene IT-Abteilung, sind professionelle IT-Dienstleister eine gute Anlaufstelle für ein ganzheitliches Sicherheitskonzept: vom Status quo über Lücken- und Gefährdungsanalysen bis zum Notfallplan. Darüber hinaus gehört auch eine gründliche Planung von störungsfreien Wartungsfenstern für die einzelnen Systeme dazu, um Software- und Betriebssystem-Updates so zeitnah wie möglich zu installieren. Neben technischen Lösungen ist es wichtig, dass das gesamte Unternehmen Sicherheit «lebt», und zwar in aller Konsequenz. Trainings zum Umgang mit Technologien und Cyberangriffen sollten im Budget unbedingt eingeplant werden, genauso wie mögliche Upgrades bei Hard- und Software.

Liviu Arsene: Die einzige Richtlinie, um sich gegen Angriffe effizient zu schützen, besteht darin, vorbereitet zu sein, wenn sie passieren. Einen soliden Notfallplan zu haben, den man Schritt für Schritt abarbeiten kann, sobald ein Vorfall identifiziert wurde, macht den grossen Unterschied aus und ermöglicht die Aufrechterhaltung der Geschäftsprozesse. Natürlich ist auch die kontinuierliche Prüfung der eigenen Infrastruktur wichtig, da diese den IT-Teams dabei hilft, den Notfallplan kontinuierlich zu verbessern und gefundene Schwachstellen zu flicken, noch bevor Angreifer sie verwenden.

Tim Berghoff: Am Anfang eines solchen Sicherheitsprojekts steht immer eine Bestandsaufnahme. Diese umfasst alle Geräte, die mit dem Firmennetzwerk verbunden sind, wie auch die Infrastruktur des eigenen Netzwerks und das Erstellen eines Anforderungsprofils. Hat  man diese Standortbestimmung vorgenommen und damit das Ziel der Reise definiert, können darauf basierend schon die nächsten Schritte geplant werden – das Stichwort lautet hier «Incident Readiness» (zu Deutsch: «Bereitschaft für den Ernstfall»). Das können zum Beispiel die Trennung vertraulicher Daten von öffentlichen Informationen, neu anzuschaffende Hardware oder Umstrukturierungen innerhalb des Netzwerks sein.

Tim Berghoff: Sofern man die private Nutzung von Firmengeräten duldet oder ausdrücklich erlaubt, muss natürlich sichergestellt sein, dass für all diese Geräte genau dieselben Richtlinien gelten – egal, ob es sich um einen «stationären» Computer oder ein Mobilgerät wie einen Laptop, ein Tablet oder ein Smartphone handelt. So kann zum Beispiel ein Richtlinien-Management dafür sorgen, dass USB-Sticks auch ausserhalb des Firmennetzes nicht angeschlossen werden können. Ebenso wichtig ist die Versorgung mit Software-Aktualisierungen. Ein Patch-Management muss auch den Fall abdecken können, dass ein Gerät, das sich gerade nicht im Netzwerk befindet, zeitnah kritische Programmaktualisierungen erhält.

Holger Suhl: Solche Geräte müssen im Rahmen einer Bring-Your-Own-Device- oder Choose-Your-Own-Device-Strategie berücksichtigt und verwaltet werden. Denn jedes Endgerät innerhalb eines Unternehmensnetzwerks könnte ein mögliches Cybereinfallstor sein.

Thomas Uhlemann: Wir kennen nicht nur die Arbeitsweise der Kriminellen, wir kennen auch das Nutzerverhalten. Deswegen enthalten alle Produkte ineinandergreifende Schutzmassnahmen. Die Produkte lassen sich miteinander kombinieren und integrieren, um Schutz, Datensicherheit und Administration abzudecken. Unsere Innovationen sind fakten- und nutzerorientiert statt ökonomisch. Als EU-Unternehmen halten wir uns an europäisches Recht sowie Datenschutz und sind unabhängig von politischen Interessen.

Tim Berghoff: Als Mittelständler haben wir einen genauen Blick für die Bedürfnisse von KMU und können so schnell auf Kundenwünsche reagieren. Unsere Business-Lösungen sind modular aufgebaut und können passgenau auf jede Betriebsgrösse und Anforderung zugeschnitten werden. Unsere flexiblen und skalierbaren Lösungen umfassen zudem viele weitere Funktionen, welche die Verwaltung aller Netzwerkkomponenten erleichtern und gleichzeitig sensible Daten schützen.

Holger Suhl: Weil wir ein Produkt- und Service-Portfolio anbieten, das einerseits klassische Security-Ansätze berücksichtigt, aber auch neue innovative Ansätze wie HuMachine einbezieht. Auch haben wir mit KasperskyOS ein eigenes Betriebssystem entwickelt, mit dem wir Geräte des Internets der Dinge sowie kritische Systeme vor Cybergefahren schützen können.

Liviu Arsene: Bitdefender wurde viele Male von unabhängigen Testlabors getestet. Auch deshalb können wir heute sagen, dass wir den bestmöglichen Schutz mit einem Minimum an «False Positives» (also Fehlalarmen) bieten. Darüber hinaus konzentrieren wir uns auch auf das Thema Performance. Niemand will eine Security-Lösung, welche die Leistung von Systemen ausbremst.