Publiziert am: 05.10.2018

Risiken auch für KMU

IT-SICHERHEIT – Auch gewerbliche Unternehmen müssen sich mit Cyberrisken auseinandersetzen. Im Vordergrund 
stehen dabei Risiko­analyse und Handlungs­bedarf.

Im September 2017 führte das gfs-Forschungs­institut 300 Interviews mit Geschäftsführern von Schweizer KMU durch. Ziel war es, deren Kenntnisse, Einstellungen und Massnahmen im Bereich Cyberrisiken zu erheben. Die wichtigsten Erkenntnisse sind:

• Rund die Hälfte der Firmen bewirtschaften ­Geschäftsgeheimnisse und 60 Prozent verwalten personenbezogene Kundendaten.

• Bei über der Hälfte der Firmen ist der Geschäftsführer selbst für die IT-Sicherheit verantwortlich; davon fühlen sich 51 Prozent gut bis sehr gut über Cyberrisiken informiert.

• Es gibt eine offensichtliche Diskrepanz zwischen Risikoeinschätzung und tat­sächlicher Betroffenheit: Das Risiko, einen Tag ausser Gefecht gesetzt zu werden, empfinden nur zehn Prozent als grosse oder sehr grosse Gefahr.

• Die Betroffenheitszahlen zeigen ein anderes Bild: Basierend auf der Umfrage, kann die Zahl der von Erpressung betroffenen Firmen auf 23 000 geschätzt werden und rund 209 000 Unternehmen dürften von Malware wie Viren und Trojanern betroffen gewesen sein.

• Eine Mehrheit der KMU hat elementare technologische Massnahmen im Bereich IT-Sicherheit umgesetzt; hingegen werden organisatorische Massnahmen offen­sichtlich stark vernachlässigt. Lediglich 15 Prozent der befragten Unternehmen haben Mitarbeitertrainings über den sicheren ­Gebrauch von IT durchgeführt. Dies ist umso bedenklicher angesichts der Tatsache, dass die Grundlage für über drei Viertel der erfolgreichen Cyberattacken menschliches Fehlverhalten ist.

Was ist zu tun?

In einem ersten Schritt sollten KMU eine Bestandesaufnahme machen, wie stark sie den Risiken der Cyberkriminalität ausgesetzt sind und wie gross ihr Schadens­potenzial ist. Um KMU bei dieser Fragestellung zu unterstützen, wurde von der Bundesverwaltung (MELANI) zusammen mit anderen Organisationen ein Cybersecurity-Schnelltest entwickelt, der unter www.cybersecurity-check.ch aufgerufen werden kann.

Gesunder Menschenverstand 
als stärkste Waffe

Es reicht bereits einige zentrale Informationen ­zusammenzutragen, um sich ein erstes Bild zu machen, wie stark man den Risiken ausgesetzt ist. Dazu gehören:

• Anzahl IT-Systeme, Vernetzung und Schnittstellen zum Internet.

• Zentrale Systeme (ERP, CRM, DMS o.ä.) und deren Schnittstellen zum Internet.

• Umfang Regulierung netzwerkinterner Datenverkehr und Schnittstellen Internet durch Firewall.

• Standard der definierten Benutzerrechte.

So heterogen wie das Gewerbe ist, so unterschiedlich ist auch das Risikopotenzial. Ein Treuhandbüro ist beispielsweise offensichtlich ganz anders betroffen als eine Bäckerei. Zentrale Indikatoren sind

• Abhängigkeit von potenziell kompromittierten Systemen

• Geschäftsgeheimnisse

• Personenbezogene Kundendaten

• Umfang und Vertraulichkeit der bewirtschafteten Dokumente

Unabhängig vom gewählten Weg müssen KMU angesichts der gestiegenen Risiken die Thematik IT-Sicherheit proaktiv angehen und insbesondere dem Aspekt der Sensibilisierung der Mitarbeitenden genügend Beachtung schenken.

Stephan Loeb, Verantwortlicher E-Communication, sgv

www.cybersecurity-check.ch

Leserbrief

Russische Spionageaffäre – Schutz für unsere KMU nötig!

Wenn unbedarfte russische Spionagespäher in Spiez und Lausanne umhergeistern, ist das nur eine ablenkende Taktik, um von weitaus dramatischeren in hundertfache Millionen gehenden Schäden abzulenken. Nachdem die russischen Spione aufgeflogen sind, die sich in Spiez an unser sicherheitspolitisch wichtiges Armeelabor für chemische und biologische Analysen und in Lausanne an das Welt-Antidoping-Labor in dilettantischer Weise herangemacht haben, überdeckt der grosse Medientsunami gegen Russland eine weit gefährlichere und bedrohlichere Spionage. Gerade auch im Gewerbeverband angegliederte KMU, die weltweite Spitzenprodukte in den verschiedensten Bereichen herstellen und einmalige Nischen mit ihrer Forschung und Produkteentwicklung einnehmen, sind bedroht, ­erleiden enorme Kollateralschäden und verlieren durch diese Spionage an Wettbewerbsfähigkeit. Die USA, auch Russland und andere sogenannt befreundete Länder spionieren mit modernsten elektronischen Angriffswaffen seit Jahren unseren Werkplatz und führende Industrie- und Pharmaunternehmen, unseren Finanzplatz, führende Banken sowie unsere wissenschaftlichen ­Spitzeninstitute wie die ETH aus. Es wäre an der Zeit, diesen Machenschaften, die unserer Schweiz einen weit erheblicheren Schaden zufügen, und diesen internationalen Spionagetätigkeiten sogar befreundeter Länder konsequent Einhalt zu gebieten und entsprechende Abwehrmassnahmen zu ergreifen.

Roger E. Schärer, Oberst a D, Feldmeilen