Heute gehören Daten zu den wertvollsten Ressourcen überhaupt. Diese vor ungebetenem Zugriff zu schützen ist damit eine der wichtigsten, aktuellen Herausforderungen für Unternehmen aller Branchen und Grössen. Doch wie akut ist die Gefahrenlage wirklich? Und wie können sich insbesondere KMU gegen Cyber-Attacken schützen?
Es sind Zahlen, die überraschen. Und zwar negativ: Mehr als ein Drittel der Schweizer KMU sind bereits von Cyberattacken betroffen. Dennoch fühlt sich die Mehrheit aber «gut» bis sogar «sehr gut» geschützt – und gerade einmal vier Prozent der CEOs von KMU erkennen Cybercrime als «grosse» oder «sehr grosse» Gefahr an. Diese Erkenntnisse entstammen einer repräsentativen Umfrage des Markt und Sozialforschungsinstitut gfs-zürich, die im September vergangenen Jahres publiziert wurde. Für die Studie befragte gfs-zürich 300 CEOs von Schweizer KMU zum Thema «Cyberrisiken». Da die Auswahl der KMU nach wissenschaftlichen Methoden erfolgte, können die Resultate auf die Gesamtheit der Schweizer KMU übertragen werden. Die Befragung wurde im Auftrag mehrerer Verbände, darunter der Dachverband der Informatikbranche ICTswitzerland, in Zusammenarbeit mit dem Informatiksteuerungsorgan des Bundes (ISB) und der Expertenkommission des Bundesrates zur Datenbearbeitung und Datensicherheit durchgeführt.
Sorglosigkeit, die sich rächen kann
Die Experten von gfs-zürich zeigen mit ihrer Untersuchung auf, dass das Risiko von Cyberangriffen stark unterschätzt wird. Gleichsam sei der Schutz vor Attacken aus dem Web ungenügend: Nur 60 Prozent der Befragten geben an, Grundschutzmassnahmen wie Malware-Schutz, Firewall, Patch-Management und Backup voll und ganz umgesetzt zu haben. Systeme zur Erkennung von Cyber-Vorfällen wurden nur von jedem fünften Unternehmen vollständig eingeführt. Prozesse zur Behandlung von Cyber-Vorfällen existieren nur bei 18 Prozent der befragten Unternehmen und Mitarbeiter-Schulungen über den sicheren Gebrauch von IT belaufen sich auf 15 Prozent.
In einer Medienmitteilung zur Untersuchung nimmt Andreas Kaelin, Geschäftsführer des Dachverbands ICTswitzerland, Stellung zu den Ergebnissen: «Die zunehmende
Vernetzung von Unternehmensinfrastrukturen,-prozessen und -daten mit dem Internet ist eine Voraussetzung, um die Vorteile der Digitalisierung nutzen zu können. Dies erhöht die Risiken aus dem Cyberspace und bedingt, dass sich die KMU mit Cyberrisiken kompetent auseinandersetzen, geeignete Abwehrdispositive betreiben sowie Notfallpläne erarbeiten und einüben.» Thema von nationaler Wichtigkeit Peter Fischer, der Delegierte für die Informatiksteuerung des Bundes, kommt in derselben Mitteilung zum Schluss: «Cyber-Sicherheit ist für die Schweiz ein Schlüsselthema und ein Standortfaktor.» Deshalb hat, unter der Leitung des ISB, eine Gruppe von rund 100 Vertretern von Wirtschaft, Verwaltung und Wissenschaft die zweite Nationale Cyber-Strategie für die Jahre 2018-2022 entwickelt. Durch die Umsetzung der Strategie sollen die Handlungsfähigkeit und Integrität der Bevölkerung, der Wirtschaft und des Staates gegenüber Cyber-Bedrohungen gewährleistet werden.
Gefahrenpotenzial von Cybercrime muss erkennt werden
Dass die Politik mit der Wirtschaft den Schulterschluss übt und Unternehmen dadurch in Sachen Schutz vor Cybercrime stärken will, ist begrüssenswert. Für Unternehmen stellt sich in der Zwischenzeit aber die Frage, wie sie sich konkret vor Hackerangriffen schützen können. Wie die gfs-Untersuchung gezeigt hat, liegt ein erster und zentraler Schritt hin zur Prävention wohl in der Erkenntnis, dass ein reales Gefahrenpotenzial tatsächlich besteht. Dass jedes dritte Schweizer KMU bereits Cyber-Angriffe verzeichnen musste, beweist deutlich, dass man sich Ignoranz zu diesem Thema nicht mehr leisten kann. Argumente wie «unser Unternehmen ist zu klein und für Hacker damit nicht interessant» zählen nicht mehr.
Cyber-Sicherheit ist für die Schweiz ein Schlüsselthema und ein Standortfaktor.
Was also können Firmen konkret tun – hier und jetzt?
Einerseits sollten sie die Beratung von spezialisierten Unternehmen in Kauf nehmen, die ihre IT-Umgebung absichern. Zudem haben die Informatikexperten der Hochschule Luzern acht praktische Tipps zusammengestellt, die sich leicht in den Firmenalltag übertragen lassen:
1. Verantwortlichkeit zuteilen
Bestimmen Sie eine IT-Verantwortliche oder einen IT-Verantwortlichen sowie dessen Stellvertretung. Delegieren Sie der verantwortlichen Person alle Sicherheitsaufgaben und lassen Sie sich regelmässig über die Informationssicherheit in Ihrem Unternehmen informieren.
2. Mitarbeiterschulungen
Alle Mitarbeitenden erhalten die IT-Benutzerrichtlinien und besuchen eine Basisausbildung zum Umgang mit Passwörtern, Internet, E-Mail und den Arbeitsmitteln. Regeln werden nur ernst genommen, wenn sich auch Vorgesetzte daran halten – gehen Sie also als gutes Vorbild voran.
3. Daten sichern
Nicht nur Hacker und Viren bedrohen Ihre Geschäftsdaten. Auch Gefahren wie Feuer und Wasser können die IT-Infrastruktur zerstören. Erstellen Sie deshalb täglich (mindestens wöchentlich) ein Backup auf mobile Datenträger und überprüfen Sie regelmässig ob sich die Daten wiederherstellen lassen.
4. Antivirus-Programm aktuell halten
Damit Ihr Netzwerk zuverlässig vor Viren und anderen schädlichen Programmen geschützt ist, muss man das Antivirus-Programm auf sämtlichen Servern und Arbeitsstationen installieren und regelmässig aktualisieren.
5. Firewall ist ein Muss
Sorgen Sie dafür, dass der Internetzugang nur über die installierte Firewall erfolgen kann. Für kleinere Unternehmen eignen sich besonders Firewalls, die neben dem Sperren des unerlaubten Datenverkehrs beispielsweise auch den Inhalt von erlaubtem Datenverkehr auf Malware überprüfen.
6. Software überprüfen
Da Computerprogramme Fehler haben, werden diese für Angriffe ausgenutzt. Die Hersteller bieten deshalb immer wieder Software-Aktualisierungen an. Testen Sie neue Programmversionen vor dem produktiven Einsatz, aber sorgen Sie dafür, dass Sie diese zeitnah installieren.
7. Starke Passwörter verwenden
Verwenden Sie mindestens zehn Zeichen lange Passwörter, die aus Buchstaben (gross und klein), Zahlen und Sonderzeichen bestehen. Man kann sich auch einen geheimen Satz merken. «Letzten Sommer waren wir zu zweit in Berlin!» ergibt beispielsweise das starke Passwort: «LSwwz2iB!».
8. Daten klassifizieren
Deklarieren Sie alle Firmen-Informationen als «intern». Besonders schützenswerte Informationen sind «vertraulich» und öffentlich zugängliche Informationen sind «öffentlich». Darauf aufbauend sollen die Zugriffsrechte soweit eingeschränkt werden, wie sie für die Wahrnehmung der Aufgaben erforderlich sind («need to now»-Prinzip).
Schreibe einen Kommentar