NGF: Die Next Generation Firewall allein reicht nicht

Vor einiger Zeit kam ich mit Mario Husmann von Witstor.de, der auch als IT-Berater für den  Verband der Sachversicherer tätig ist, auf das Thema „Next-Generation Firewall” (NGF). Die wird ja manchmal als Allzweckwaffe in der IT-Sicherheit dargestellt. So etwas macht mich immer skeptisch.

Nun bin ich Versicherungsmakler, kein IT-Experte. Aber Mario Husmann sieht das ähnlich:

 „Die NGF ist kein pauschaler Sicherheitsgewinn. Zwar ist die neue Technologie schon sicherer. Aber: Man muss sie auch administrieren und konfigurieren können. Wer eine NGF mit den Standard-Einstellungen betreibt, öffnet damit schnell ein Einfallstor, denn die Hacker kennen die Standardeinstellungen genau.

Deshalb ist Technik für sich genommen nicht die Lösung. Schon gar nicht bei KMU ohne professionell ausgebildeten Administrator. Wichtiger als die neueste Firewall-Technik wäre es in vielen Fällen, zunächst einmal Updates einzuspielen und die Firmware aktuell zu halten. Aber wenn der  Administrator Autodidakt ist, wird er davon oft die Finger lassen. Schließlich läuft doch alles …

Nicht, dass der Mitarbeiter selbst die Schuld trägt. Die Geschäftsführung muss Bewusstsein für den Handlungsbedarf entwickeln. Sie sollte zum Beispiel wissen, dass ein Cyber-Einbruch ins Unternehmen selten sofort entdeckt wird. Viel wahrscheinlicher ist es, dass es Monate dauert, bis der unauthorisierte Zugang auffällt. Und auch dann muss sich jemand mit den Monitoring-Tools und dem Netzwerk auskennen, damit die Anomalien auffallen.

Für solche Unternehmen ist es wichtig, den VdS-Sicherheitscheck zu machen, um Schwachstellen aufzudecken. Dann lässt sich mit geringem finanziellen Aufwand Schadenbegrenzung betreiben. Dafür müssen aber zunächst die Geschäftsführer verstehen, dass die Zeit der Nebenbei-Administratoren endgültig vorbei ist und dass man mehr tun muss, als einmal teure Technik zu bestellen. Analyse und Beratung tun Not.”

Recht hat er. Für eine gute IT-Sicherheit braucht man eben IT-Sicherheitsexperten. Und für das Restrisiko, das auch die beste Technologie nicht auf Null zurückfahren kann, benötigt man eine Cyber-Versicherung. Schreiben Sie mir eine kurze Nachricht, wenn Sie Fragen oder Anmerkungen dazu haben.

Schreibe einen Kommentar