Publiziert am: 07.09.2018

Auch KMU haben viel zu verlieren

INFORMATIONSSICHERHEIT – Fast im Wochentakt beherrschen Cyberangriffe die Schlagzeilen. Dass diese Angriffe 
immer häufiger KMU betreffen, hat einen einfachen Grund: Es fehlt die Sensibilisierung – und damit die Informationssicherheit.

KMU sind ein dankbares Cyberangriffsziel. Mit anderen Worten: KMU machen es Cyberkriminellen oft viel zu einfach, in ihre Systeme einzudringen und Schaden anzurichten, weil entsprechende Sicherheitsmassnahmen entweder ganz fehlen, veraltet sind oder nur halbherzig umgesetzt werden.

Während grosse Firmen grosse Anstrengungen unternehmen, um ihre Daten und Informationen bestmöglich zu sichern und zu schützen – und ein Angriff deshalb viel mehr Know-how und Mühe erfordert – ist die Bedeutung der Informationssicherheit vielen KMU zwar bekannt, sie scheuen aber oftmals Aufwand und Ressourcen.

Keine Ausreden

Die ganze Sicherheitsthematik ist für ein KMU eh zu kompliziert, zu teuer, zu arbeitsintensiv, und letztlich wird schon nichts passieren. Nur: Denken KMU auch so, wenn es um das eigene Hab und Gut geht? Oder lassen sie Fenster und Türen weit offen, weil schon nichts passieren wird und die Schlüsselsuche zu mühsam ist?

Daten und Informationen sind wertvoll und wichtig und verdienen wirkungsvollen Schutz. Nicht nur, weil gestohlene oder verlorene Daten weit mehr Arbeit (und Geld!) bedeuten als angemessene, aber konsequente Informationssicherheit. Auch weil solche Vorfälle die Reputation einer Firma arg beschädigen oder gar deren Existenz gefährden können.

Vertrauenspunkte sammeln

Wer auf Informationssicherheit Wert legt, schafft Vertrauen – im Unternehmen und bei Kunden. Informationssicherheit sorgt für mehr Sicherheit, aber auch für mehr Transparenz, und gerade mit dem Thema Datenschutz können KMU Vertrauenspunkte sammeln (Stichwort Datenschutzgesetz oder DSGVO).

Über die Notwendigkeit von Informationssicherheit ist sich im Übrigen auch das Parlament einig – trotz Nichteintreten auf das Informationssicherheitsgesetz im März dieses Jahres. Strittig war einzig die Art der Ausgestaltung des Gesetzes.

Konsequent sein

Der Weg zu wirkungsvoller Informationssicherheit ist bei Weitem nicht so steinig wie befürchtet. Genau wie bei der klassischen Einbruchprävention reichen einige Massnahmen, um Daten und Informationen zu schützen (vgl. Kasten). Vor allem aber muss Informationssicherheit gelebt und Teil der Unternehmenskultur werden – egal wie klein das Unternehmen ist.

Die grösste Sicherheitsschwachstelle ist und bleibt der Mensch. Gerade deshalb ist es unabdingbar, dass alle Mitarbeitenden für Sicherheitsthemen und -risiken sensibilisiert und bezüglich Informations­sicherheit geschult werden. Besser heute als morgen.

Reto C. Zbinden,

Experte für Informationssicherheit

Nützliche infos

Die Hochschule Luzern hat die Informationssicherheit in KMU untersucht und verrät auf blog.hslu.ch/informatik/8-nuetzliche-tipps-
fuer-die-informationssicherheit-im-kmu/, welche Massnahmen sofort mehr Sicherheit bringen.

Ebenfalls empfehlenswert: Aus der KMU-Schriftenreihe «Aus der Praxis – für die Praxis»: Mehr Informationssicherheit für Klein- und Mittelbetriebe (KMU) der Arbeitsgruppe KMU + Informationssicherheit des Vereins Info­Surance. Download auf www.kmu.admin.ch unter der Rubrik «Praktisches Wissen», «KMU betreiben» und «Infrastruktur und IT».