Im Hause des mittelständischen Unternehmens Fried wurde zum ersten Mal die IT-Sicherheit durchleuchtet - von Konica Minolta IT-Sicherheitsberatern. Es wurden Schwachstellen geschlossen und ein Sicherheitskonzept etabliert.
Mit den IT-Sicherheitsberatern von Konica Minolta IT Solutions hatte das mittelständische Unternehmen Fried erstmalig Experten im Haus, die die IT-Sicherheit durchleuchteten. Aufgrund der Analyse konnte Fried schnell Schwachstellen schließen und ein Sicherheitskonzept etablieren. Neben der Implementierung einer modernen Firewall, halfen auch viele vorgeschlagene Best- Practice-Maßnahmen, die keine Zusatzinvestitionen erforderten.
Fried Kunststofftechnik ist ein erfolgreiches mittelständisches Unternehmen, das mit rund 250 Mitarbeitern technische Präzisionsteile und Baugruppen aus Kunststoff herstellt, die in der Medizintechnik, dem Maschinenbau und der Automobil-Branche zum Einsatz kommen. Über Jahrzehnte gewachsene IT-Systeme unterstützen sowohl die Verwaltung als auch die Produktion.
„IT-sicherheitstechnisch haben wir das getan, was üblich ist: eine Antivirensoftware und eine Firewall betrieben“, berichtet Johannes Thomas, Leiter IT und Controlling bei Fried Kunststofftechnik.
Aber rundum geschützt fühlte sich die Unternehmensleitung damit nicht, wie Thomas beschreibt: „Da die IT-Sicherheit bis dato noch nie einer richtigen, durchgängigen Kontrolle unterzogen worden war, herrschten Zweifel, ob unsere IT-Prozesse tatsächlich technisch und organisatorisch sicher waren.“
Ein Sicherheitsvortrag, den Firmenchef Gerhard Fried auf einer Unternehmerveranstaltung hörte, gab den Anstoß, die IT-Sicherheit unter die Lupe nehmen zu lassen. Mit den Zielen, ein klares IT-Sicherheits-Konzept zu erarbeiten, Mitarbeiter zu sensibilisieren, Richtlinien umzusetzen und eventuell den Softund Hardware-Bereich sinnvoll zu ergänzen, lud Fried daher Konica Minolta IT Solutions zu einem Informationsaustausch in die Firma ein.
Bei dem Vor-Ort-Termin sprachen die Experten von Konica Minolta IT Solutions mit den Geschäftsführern und IT-Verantwortlichen von Fried ausführlich über die Historie und die aktuelle Situation der IT-Sicherheit im Unternehmen. Daraufhin erklärten die Sicherheitsspezialisten wie sie mittels der Top-10-Analyse, auf der das Security Consulting von Konica Minolta IT Solutions basiert, weiterhelfen könnten. Das Konzept orientiert sich unter anderem an Standards und Richtlinien wie die des Bundesamts für Sicherheit in der Informationstechnik (BSI IT-Grundschutz), Empfehlungen von Analysten wie IDC, Gartner und Forrester und dem Know-how aus vielen IT-Sicherheitsprojekten. Es enthält zehn Themenbereiche beispielsweise Verschlüsselung, Berechtigungen und Logmanagement, die detailliert untersucht werden.
„Uns hat das ganze Konzept überzeugt, da es in Form eines Audits aufgebaut ist und wir als Firma Fried „Rede und Antwort“ stehen mussten, was unsere IT-Sicherheit angeht. Genau das wollten wir: den fokussierten, kritischen Blick von außen auf unsere IT - ohne Betriebsblindheit“, betont Thomas.
Drei Monate später fanden der eintägige Auftaktworkshop und die Audit-Termine statt. „Während der Analyse überraschte uns die Detailliertheit der Fragen im positiven Sinne. Es wurden Dinge angesprochen, auf die man selbst nicht so einfach gekommen wäre“, meint Thomas. Beispielsweise wurde abgefragt, ob bestimmte Firewall-Ports freigeschaltet und ob diverse Netzwerkprotokolle eingeschaltet sind.
Bereits eine Woche später erfolgte die Abschlusspräsentation mit der Übergabe einer detaillierten Ausarbeitung. Die Dokumentation enthält unter anderem übersichtliche, grafische Auswertungselemente der abgefragten Themengebiete und Bewertungen nach dem Ampelsystem - Fried hatte zunächst viele rote Bereiche. Zudem erhielt der Mittelständler einen Zeitplan und Empfehlungen, wie die Sicherheitslücken zu schließen sind.
Bei einem Review-Termin, der sieben Monate später stattfand, nahmen die Experten von Konica Minolta IT Solutions eine Neubewertung der Sicherheitslage vor. Sie zeigte, dass viele Verbesserungen bereits erreicht waren und zahlreiche Schwachstellen vollständig geschlossen werden konnten. Bei einigen gravierenden Punkten waren nicht einmal Zusatzinvestitionen nötig, wie Thomas beschreibt: „Ohne Geld in die Hand nehmen zu müssen, haben wir beispielsweise das Handling von Passwörtern unserer Mitarbeiter und die Zugangsregeln für externe Dienstleister verändert. Außerdem vergeben wir die Berechtigungen auf verschiedene Ordner und Dokumente viel restriktiver als früher.“
Obwohl für die Anschaffung einer leistungsstarken Firewall ein finanzieller Aufwand entstand, bewertet der Leiter von IT und Controlling die Investitionen in das neue Sicherheitskonzept als durchaus angemessen. Weder die Kosten für die Sicherheitsberatung noch für die ergänzende Hard- und Software hätten den Rahmen gesprengt. Der Nutzen ist dagegen nicht hoch genug einzuschätzen.
Uns hat das ganze Konzept überzeugt, da es wie ein Audit aufgebaut ist und wir als Firma "Rede und Antwort" stehen mussten, was unsere IT-Sicherheit angeht.
Johannes Thomas
Johannes Thomas, Leiter IT und Controlling
Unklarheit über Zustand der IT-Sicherheit beseitigen
Untersuchung der Ist-Situation auf Basis der Top-10-Analyse einschließlich konkreter Maßnahmenempfehlungen
Beseitigung der Schwachstellen, Schaffung eines IT-Sicherheitskonzepts und Sensibilisierung der Mitarbeiter für IT-Sicherheit