Sicherheit ist für Unternehmen eines der zentralsten Güter überhaupt. Ist diese nicht gegeben, kann dies weitreichende Konsequenzen verschiedenster Art nach sich ziehen. Wie diese vermieden werden können.
Cybersecurity wird im Zuge der Digitalisierung für Unternehmen immer wichtiger. Nichtsdestotrotz löst die Thematik nach wie vor Unsicherheit aus – wie beispielsweise der Begriff an sich. Was umfasst Cybersecurity genau? «Cybersecurity ist der Schutz von Computern und Netzwerken vor Cyberangriffen sowie Schäden, die durch Viren, Trojaner und so weiter verursacht werden», berichtet Max Klaus vom Nationalen Zentrum für Cybersicherheit (NCSC). Dazu gehören gemäss dem Experten auch der Informationsschutz, also Massnahmen, die Daten vor Diebstahl, Veränderung oder Löschung schützen sollen.
Verheerende Folgen
Die Zeiten, in denen ein Unternehmen seine Daten ausschliesslich analog in dicken Akten aufbewahrten, gehören längst der Vergangenheit an. Die digitale Umstellung bringt zweifelsohne Chancen, aber auch Herausforderungen mit sich. Max Klaus hält fest: «Jedes Unternehmen verfügt über Daten, die für einen Angreifer interessant sein können oder deren Verlust teilweise massive wirtschaftliche Schäden verursachen kann.» Deren Folgen können verheerend sein. «Reputationsschäden sind nicht auszuschliessen», ergänzt Max Klaus. «Dementsprechend sollte jedes Unternehmen angemessene Vorkehrungen treffen, um seine Daten, Computer und Netzwerke gegen Angriffe zu schützen.»
Wertvolle Daten
In Sachen Cybersecurity besteht bei vielen Unternehmen noch Aufklärungsbedarf. Sich einzureden, das eigene Unternehmen sei für Hacker uninteressant, kann bereits zum Verhängnis werden. Max Klaus erzählt aus der Praxis: «Sehr oft hören wir von KMU das Argument: ‹Bei uns ist für einen Hacker nichts zu holen›.» Dies sei jedoch in doppelter Hinsicht ein Trugschluss, wie der Experte ausführt: «Erstens verfügt jedes Unternehmen über Kundendaten, Finanzdaten und so weiter, die bei einem Datendiebstahl unter anderem an interessierte Dritte weiterverkauft werden können.» Zweitens gebe es Cyberangriffe, bei denen es aus Sicht der Angreifer keine Rolle spielt, welche Daten betroffen sind. «So genannte Verschlüsselungstrojaner machen Daten unbrauchbar», so Max Klaus. «Wenn diese Daten für das Opfer einen wirtschaftlichen oder emotionalen Wert haben, ist dieses höchst wahrscheinlich bereit, das geforderte Lösegeld zu bezahlen.»
Technische Massnahmen reichen nicht aus!
Um dies zu vermeiden, gilt es, die richtigen Vorkehrungen zu treffen und Stolpersteine zu umgehen. «Unternehmen übersehen oft, dass heute im beruflichen Umfeld technische Massnahmen allein nicht mehr ausreichen», so Max Klaus. «Selbstverständlich braucht jedes Unternehmen einen Virenschutz und eine Firewall. Ebenfalls müssen die Daten regelmässig gesichert und Systemupdates zeitnah eingespielt werden.»
Selbstverständlich braucht jedes Unternehmen einen Virenschutz und eine Firewall. Max Klaus
Prävention ist das A und O
Doch nicht nur auf technischer Ebene gilt es anzusetzen, wie Max Klaus betont: «Die Sensibilisierung der Mitarbeitenden für den richtigen Umgang ist ein wichtiger Faktor. Mit ihrem korrekten Verhalten leisten sie einen wichtigen Beitrag zur Sicherheit von Daten und Infrastruktur. Das Wichtigste ist die Prävention, damit es möglichst gar nicht zu Vorfällen kommt oder diese zumindest weniger gravierende Auswirkungen haben.»
Das richtige Konzept
Ausserdem sei die Implementierung organisatorischer Massnahmen zwingend notwendig. «Das so genannte ‹Business Continuity Management Konzept› legt fest, wie die Arbeit weitergehen kann, sollte die Informatik für längere Zeit ausfallen», berichtet Max Klaus. «Ebenfalls sollte ein Kommunikationskonzept etabliert sein, das regelt, ob und wie im Fall eines Cybervorfalls die Kunden und die Öffentlichkeit informiert werden sollen.» Denn je nach Art des Cybervorfalls kann dieser zu mehrtägigen Unterbrüchen der unternehmerischen Tätigkeiten führen, oder die Bewältigung beziehungsweise die Wiederherstellung der Unternehmens-IT nach einem solchen Vorfall kann sehr hohe Kosten verursachen, wie der Experte ausführt. «Es sind Einzelfälle bekannt, in denen Unternehmen als Folge eines Cyberangriffs Konkurs anmelden mussten», hält Max Klaus fest.
Je sensibler die Daten, desto dringender der Schutz
«Von zentraler Bedeutung ist auch die Identifizierung besonders unternehmenskritischer Anwendungen. Diese müssen einen höheren Schutz aufweisen als weniger kritische Systeme. Erzielt ein Unternehmen beispielsweise einen grossen Teil seines Umsatzes durch Verkäufe über einen Onlineshop, sollte dieser entsprechend gut gegen mögliche Angriffe geschützt sein.»
Datenverluste melden
Nach einem Cybervorfall gilt es, einen kühlen Kopf zu bewahren und sich über die nächsten Schritte im Klaren zu sein. «Erwähnenswert ist in diesem Zusammenhang auch die Datenschutzgrundverordnung der EU (DSGVO)», ergänzt Max Klaus. Demzufolge seien unter gewissen Voraussetzungen auch Schweizer Unternehmen verpflichtet, Datenverluste an die EU zu melden. «Bei Nichtbeachtung drohen massive Geldstrafen von bis zu vier Prozent des gesamten weltweit erzielten Umsatzes dieses Unternehmens», so Max Klaus. «Deshalb sollte jedes Unternehmen juristisch abklären lassen, ob und welche Massnahmen zu ergreifen sind.» Allenfalls sei auch der Abschluss einer Cyberversicherung prüfenswert, wie der Experte ergänzt. Wer sich für eine solche entscheidet, sollte aber etwas Wichtiges beachten, wie Max Klaus betont: «Ein solcher Abschluss darf nicht dazu führen, dass die Informatik vernachlässigt wird, weil eine Versicherung für allfällige Schäden aufkommen würde.»
Über die Wichtigkeit von Updates
Auf dem Markt existieren zahlreiche Anbieter, welche für den Schutz des Unternehmens bereits einen nicht unwesentlichen Teil abdecken. Unternehmen haben bei der Vielzahl der Angebote die Qual der Wahl. Worauf gilt es speziell zu achten? «Am wichtigsten ist, dass der Hersteller regelmässige Sicherheitsupdates veröffentlicht und diese zeitnah eingespielt werden», gibt Max Klaus Auskunft. Viele Hersteller böten zur Erleichterung dieser Tätigkeit auch automatische Updates an.
Weiterführende Informationen ncsc.ch
Text Lars Gabriel Meier
Schreibe einen Kommentar