Ein genauer Blick lohnt sich, denn Geschäftsführerinnen und -führer sind von Gesetzes wegen verantwortlich für Datenschutz und Datensicherheit in ihrem KMU. Diese Verantwortung sowie das Risiko lassen sich nicht auslagern – weder an Mitarbeitende noch an IT-Dienstleister oder an eine Versicherung. Und das neue Datenschutzgesetz (nDSG), das am 1. September dieses Jahres in Kraft getreten ist, erhöht die Ansprüche an die Datensicherheit als Voraussetzung für den Datenschutz. Jetzt ist also ein guter Moment, um die getroffenen Massnahmen zu prüfen, zu hinterfragen – und zu verbessern.
1: Dank Back-up sind die Daten gesichert
In regelmässigen Abständen sichert das KMU seine wichtigen Geschäftsdaten – Office-Dokumente, die Datenbanken von CRM und ERP, Handbücher und was sonst noch an relevanten digitalen Informationen anfällt. Doch im Notfall muss sichergestellt sein, dass die Daten auch wiederhergestellt werden können. Und Cyberkriminelle dürfen bei einem erfolgreichen Angriff keinen Zugriff auf die Back-ups erhalten, weil sie diese sonst verschlüsseln und unbrauchbar machen oder veröffentlichen können.
Ăśberdenken Sie Ihre Back-up-Strategie, falls eine dieser Aussagen auf Sie zutrifft:
• Die Sicherung ist permanent von einem PC aus zugänglich, weil sie auf einer externen Festplatte oder in einem Netzwerkspeicher liegt.
• Die Sicherung ist unverschlüsselt.
• Es gibt keine Prüfung, ob die Wiederherstellung funktioniert und ob die Back-up-Medien verfügbar und lesbar sind.
2: Zugriffsrechte und persönliche Konten schützen unsere Daten
Im Prinzip ist diese Aussage korrekt. Doch in der Realität schaut die Situation oftmals anders aus, indem beispielsweise alle auf alles Zugriff haben. Was vielleicht als Vertrauensbeweis in die Mitarbeitenden gedacht ist, erleichtert Cyberkriminellen die Arbeit ungemein.
Auch hier: Wenn eine der folgenden Aussagen auf Sie zutrifft, sollten Sie die Berechtigungen ĂĽberprĂĽfen:
• Alle Mitarbeitenden haben Zugriff auf die gesamte Dokumentenablage – mit wenigen Ausnahmen wie Buchhaltung und HR.
• Wenn Mitarbeitende das Unternehmen verlassen, bleiben die Konten eine Zeit lang aktiv.
• Für gewisse Cloud-Dienste oder das Intranet nutzen mehrere Mitarbeitende dasselbe Konto und Passwort.
3: Wir spielen regelmässig Updates ein
Das Problem liegt in der Definition von «regelmässig»: Spielen Sie Sicherheits-Updates sofort nach Erscheinen ein oder gibt es fixe Zeitintervalle, in denen Ihr KMU selbst oder der IT-Partner Arbeitsstationen und Server aktualisiert? Bei schwerwiegenden Sicherheitslücken in Windows- und in Office-Anwendungen (Microsoft 365) verschaffen Sie Cyberkriminellen mit verzögerten Updates ein – hoch willkommenes – Zeitfenster, um die Lücke auszunutzen. Wenn eine der folgenden Aussagen auf Sie zutrifft, sollten Sie die Update-Strategie hinterfragen:
• Wir (oder der IT-Partner) installieren Updates in definierten Zeitabständen.
• Wir haben Systeme in Betrieb, für die es keine Sicherheits-Updates mehr gibt.
• Gewisse Systeme können wir nicht aktualisieren, weil die Software, die darauf läuft, zu alt für neuere Betriebssysteme ist.
Die regelmässige Überprüfung und Anpassung von IT-Sicherheitsmassnahmen senken das Risiko vor Datenverlust und erfolgreichen Cyberangriffen und damit auch das Risiko vor Betriebsausfällen. Mit einer erhöhten IT-Sicherheit verringern Sie das Risiko solcher Vorfälle und schützen damit sich selbst und Ihre Mitarbeitenden.
swisscom.ch/kmu-sicherheit