Die Cybersicherheit ist für alle KMU zu einer entscheidenden Herausforderung geworden. Um ihnen bei der Bewältigung dieser neuen Herausforderung zu helfen, ist der Schweizerische Gewerbeverband sgv eine Partnerschaft mit dem Label Cyber-Safe eingegangen, dem Schweizer Label für Cyber-Sicherheit, das sich an KMU richtet. Ein kurzer Erfahrungsbericht eines KMU und seines Auditors, um das Label kennenzulernen.

Label vom sgv mitgetragen

Die Manenti Farquet SA, ein KMU mit über 80 Mitarbeitern, das in der Westschweiz im Bereich Bau und Renovierung tätig ist, hat kürzlich das Cyber-Safe-Label erhalten. Für das KMU ist die Cybersicherheit angesichts der Risiken – Lahmlegung von Systemen, Datendiebstahl und Erpressung, Auswirkungen auf den Ruf – zu einer Priorität geworden.Isabelle Farquet, die Buchhalterin der Organisation, betont: «Trotz der Existenz von Schutzmassnahmen wie Antivirenprogrammen suchten wir nach Möglichkeiten, die Sicherheit unserer Informationssysteme weiter zu erhöhen. Wir wollten eine Bestandsaufnahme der Website, der Server, der E-Mails usw.» Da das KMU kein Spezialist war, ergriff es die Initiative und beschloss, «das Fachwissen von Fachleuten für Cybersicherheit einzuholen, um eine umfassende Bewertung zur Stärkung unserer Sicherheit durchzuführen».

Eine Internetrecherche führt sie auf die Website von Cyber-Safe. Neben den verfügbaren Fachkenntnissen und dem erschwinglichen Preis für die Kennzeichnung führte die Tatsache, dass das Label von einem Verband getragen wird, zur Entscheidung des KMU: «Als neu-trale Einrichtung hat der Verband kein kommerzielles Interesse am Verkauf von Sicherheitsprodukten, was das Vertrauen in den Bewertungsprozess stärkt.»

Ein lehrreicher Prozess

Die Kennzeichnung des KMU beginnt dann mit einer Cybersicherheitsdiagnose, die von einem vom Verband beauftragten Auditor durchgeführt wird. Dazu gehören eine Analyse der Cyberrisiken, eine Phishing-Kampagne, technische Scans der Infrastruktur und eine Überprüfung der Schlüsselprozesse. Auf dieser Grundlage wird dem Walliser KMU eine Liste mit prioritären Massnahmen vorgelegt, die für den Erhalt des Labels umgesetzt werden müssen. Es folgte ein umfassendes Audit des Unternehmens, dessen Ergebnisse die Anforderungen des Labels bestätigten. Ein lehrreicher Prozess, der über einen Zeitraum von mehreren Monaten stattfand und die Sicherheit der Daten und Systeme des KMU erhöhte.

Personal muss geschult werden

Mit Blick auf die wichtigsten Erkenntnisse nennt Isabelle Farquet zunächst den menschlichen Aspekt: «Es ist klar, dass ein verwundbares Element der menschliche Aspekt bleibt. Wir dürfen die Notwendigkeit, unser Personal zu schulen, nicht unterschätzen.»

Auf technischer Ebene wurden Ausrüstungen entdeckt und Mängel behoben, die nicht auf dem neuesten Stand waren oder aufgrund ihres Alters nicht mehr aktualisiert werden konnten – Probleme, «die man fast immer bei KMU findet», so Samuel Progin, ein von Cyber-Safe beauftragter Auditor.

Gefragte Expertenmeinung

Auf organisatorischer Ebene schliesslich werden strategische Diskussionen durch einen Cyber-Ansatz herbeigeführt, denn, wie Progin betont, «man ist es nicht gewohnt, in Daten zu denken». Und weiter: «Wir sind da, um zu bewerten und zu kontrollieren. Aber wir geben oft auch eine Expertenmeinung zur Cybersicherheit ab, zu der die KMU ohne das Label keinen Zugang hätten.»

Widerstandsfähigkeit verbessern

Das Label Cyber-Safe hat es sich zur Aufgabe gemacht, KMU im Bereich der Cybersicherheit zu unterstützen, damit sie wissen, wo sie stehen und was sie tun müssen, um ihre Widerstandsfähigkeit zu verbessern. Eine Mission, die das Cyber-Safe Label nun gerne an der Seite des sgv weiterführt.Christophe Hauert,Geschäftsführer Cyber-Safe

www.cyber-safe.ch

Kontakt für Offerten:

sgv-usam@cyber-safe.ch