Dank der Digitalen Transformation arbeiten wir am Digital Workplace inzwischen weitaus mobiler, auf den unterschiedlichsten, teils sogar privaten Endgeräten (Stichwort Bring Your Own Device) und wir speichern auch sensible Daten sehr viel dezentraler als je zuvor in der Cloud. Die Digitale Transformation macht das Unternehmen nicht nur modern und flexibel, sondern bringt alle Mitarbeitenden zu Höchstleistungen. Die Omnipräsenz des Internets macht das IT-System und somit das gesamte Unternehmen allerdings auch angreifbar. Eine funktionierende Cyber Security ist daher so wichtig wie nie zuvor.
Der Schutz von Netzwerken und Computersystemen inklusive der von ihnen verarbeiteten Daten gegen permanente Bedrohungen wie Diebstahl, Beschädigung und unerlaubten Zugriffs durch Hacker und andere Unbefugte ist eine neue Aufgabe, der sich viele KMUs noch nicht gewachsen fühlen. Wenn es um das Thema IT-Sicherheit geht, sind viele Unternehmen noch auf dem Status Quo des analogen Zeitalters. Manchmal sind zwar einzelne Lösungsansätze vorhanden, doch einen zentralen, erfahrenen und kompetenten Ansprechpartner für alle Belange der Cyber Security sucht man in KMUs oftmals vergeblich. Dabei sind Cyberrisiken im Zuge der Digitalen Transformation heute in vielen Unternehmen ein wesentlicher Bestandteil der Geschäftsrisiken.
Dem bereits angesprochenen zentralen Cyber Security-Experten kommt dabei eine Schlüsselrolle zu. Denn trotz aller Digitalisierung spielt der Faktor Mensch bei der Verbesserung der IT-Sicherheit eine zentrale Rolle und entpuppt sich dabei oft als Fehlerquelle: Risiken werden aufgrund mangelnden Bewusstseins und fehlendem Verständnisses insbesondere im Verwaltungsrat oder in der Geschäftsleitung falsch eingeschätzt. Spätestens an dieser Stelle wird deutlich: Cyber Security ist Chefsache! Die Verantwortung für die IT-Sicherheit darf nicht vom Verwaltungsrat delegiert werden, denn im Worst Case fallen mögliche Haftungsfolgen auch auf den Verwaltungsrat zurück.
Sicherheit läuft idealerweise unbemerkt im Hintergrund ab und wird erst dann wahrgenommen, wenn etwas schiefläuft – und es in den meisten Fällen schon zu spät ist. Doch ungenügende Sicherheitsvorkehrungen können nicht nur der Unwissenheit der Geschäftsleitung in die Schuhe geschoben werden: Oftmals werden Risiken, die aus einer mangelhaften Cyber Security resultieren, durchaus in Kauf genommen. Ganz nach dem Motto „Zeit ist Geld“ werden beide Ressourcen lieber in andere, sofortigen Erfolg versprechende Projekte eingebracht als für die Investition in einen langfristigen aber aufwändigeren Ausbau der IT-Sicherheit. Denn der Aufbau und die Instandhaltung von Sicherheit verursacht zunächst verhältnismässig hohe Kosten und behindert dabei nicht selten auch die Produktivität und den laufenden Betrieb, was indirekt zu weiteren Kosten führt.
Als Allheilmittel setzen viele Unternehmen auf eine externe Revision. Mit einem positiven Ergebnis ist das Gewissen schnell beruhigt und viele Unternehmen und Anspruchsgruppen gehen davon aus, dass eine Revision ohne Beanstandungen mit 100-prozentiger Sicherheit gleichzusetzen sei – weit gefehlt. Denn der Abschlussprüfer äussert sich lediglich zur Richtigkeit, Vollständigkeit und Rechtskonformität des Abschlusses, nicht aber zum erreichten Sicherheitsniveau oder der Resilienz des Unternehmens gegen Cyberbedrohungen. Der Bericht der externen Revision alleine kann also keineswegs als Grundlage für Cyber Security-Entscheide ausreichen.
Das gestiegene Risiko gezielter Cyber-Angriffe verlangt eine Erweiterung der Fähigkeiten im Management und sollte ein integraler Bestandteil der Strategie und Entscheidungen sein. Sollte dieses Know-How intern nicht vorhanden sein oder Nachholbedarf bestehen, kann ein externer Partner die Weiterbildung im IT-Sicherheitsbereich punktuell unterstützen.
Eine solche Weiterbildung kann in Form einer regelmässigen Schulung aller Mitarbeitenden zu den neuesten Entwicklungen im Bereich Cyber Security (Awareness Training) durchgeführt werden. In den Zeitplan der speziell auf das Unternehmen und die Branche abgestimmten Seminare ist stets auch viel Zeit eingeplant für Q&A der Teilnehmenden und für spezifische Fragestellungen bezüglich der Risiken im eigenen Unternehmen und der Bedrohungen in der entsprechenden Branche. Ergänzend zu diesen Seminaren bietet sich auch ein kontinuierliches «Online Security Awareness Training» mit anschliessenden Prüfungsfragen zur Qualitätssicherung an.
Kontinuität ist ein entscheidender Faktor, sonst gleicht die Cyber Security gewissermassen einem Kampf gegen Windmühlen. Nicht nur die Abwehr lernt dazu, sondern auch die Angreifer. Cyber-Angriffe werden immer intelligenter, autonomer und schwieriger zu erkennen. Alte Bedrohungen kehren immer wieder zurück, jedoch bewaffnet mit den neuesten Technologien. „Die Bedrohungslandschaft von Cyberattacken ist einem ständigen Wandel unterzogen. In dieser digitalen und damit stark vernetzten Welt kommt es darauf an, aktuelle Bedrohungslagen in Echtzeit zu erkennen und Schwachstellen oder Einfallstore schnell zu schließen“, ermahnt Michael Kranawetter, National Security Officer bei Microsoft Deutschland.
Eine regelmässige Überprüfung der IT-Sicherheit im Unternehmen ist enorm wichtig, um daraus Massnahmen ableiten zu können und die Cyber Security anschliessend erneut zu optimieren. Die ICT Switzerland bietet auf ihrer Internetseite einen Cyber Security-Schnelltest für KMU an, mit dem Sie in nur wenigen Minuten unkompliziert und schnell analysieren können, ob Ihr Unternehmen die wichtigsten technischen, organisatorischen und mitarbeiterbezogenen Massnahmen für einen minimalen Cyber Security-Schutz umsetzen. Eine komplette, umfassende Analyse kann dieser Schnelltest dabei natürlich nicht ersetzen. Hierfür stehen wir Ihnen unserem Dinotronic IT Security Risk Assessment gerne zur Seite. Wir bieten Ihnen eine 360°-Analyse Ihres IT Security-Zustands, basierend auf einer Geschäftsrisiko-/Auswirkungs-Analyse und schlagen Ihnen ausführliche und umsetzbare Empfehlungen zur Optimierung Ihrer Cyber Security vor.
Kontaktieren Sie uns gerne für unseren IT Security Healthcheck (ITSHC), wir unterstützen Sie im Kampf gegen Cyber-Windmühlen.