Jul 13, 2023 von Peter Monien
Sie lesen von immer mehr Cyber-Vorfällen in der Schweiz, die das Geschäft eines Unternehmens lahmgelegt und in vielen Fällen erhebliche Kosten verursacht haben? Sie fragen sich, ob es auch Ihr Unternehmen treffen könnte? KMUs sind besonders gefährdet, da sie meist leichte Ziele sind. Selbst wenn Ihr KMU unbekannt ist, kann es im Schleppnetz von Cyber-Kriminellen landen. Als Verwaltungsratsmitglied sind Sie (mit)verantwortlich für die Cyber Security Ihres Unternehmens. Wir geben Ihnen einen Überblick, inwieweit Sie sich im Thema Cyber Security involvieren sollten und Empfehlungen, was Sie konkret unternehmen können.
Bin ich als Verwaltungsratsmitglied eines KMUs für Cyber Security verantwortlich?
Ist mein KMU überhaupt gefährdet, Opfer von Cyber-Kriminellen zu werden?
Aber mein KMU ist gar nicht so bekannt!
Nicht Klassenbester, sondern kein einfaches Opfer
Zusammenwirken von Organisation, Technik, Mensch und Vorschriften
Oft unterschätzte Aspekte: Externe Dienstleister und Mitarbeitende
Wie gut steht es um Ihr Unternehmen im Bereich Cyber Security?
Ja. Die Verantwortung für das Risikomanagement liegt bei Ihnen. Sie können diese nicht an andere delegieren. Sie sollten das Thema Cyber Security im Risikomanagement als eines der Unternehmensrisiken behandeln. Dabei ist es wichtig, dass Sie den Überblick behalten, ob die damit verbundenen Risiken adäquat angegangen werden, um das Gesamtrisiko auf einem vertretbaren Niveau zu halten.
Ja, gerade KMUs sind immer öfter das Ziel von Cyber-Kriminellen. Im Vergleich zu grösseren Unternehmen erwarten sie bei KMUs weniger professionelle Abwehr und eine niedrigere Widerstandskraft – womit sie leider oft richtig liegen.
Neben erheblichen wirtschaftlichen Schäden kann Ihr KMU auch Reputationsschäden erleiden. Dies zeigt unter anderem eine Studie über Digitalisierung, Homeoffice und Cyber-Sicherheit in KMU. Diese wurde mitunter von der Mobiliar Versicherung, der Hochschule für Wirtschaft FHNW und der Allianz Digitale Sicherheit Schweiz durchgeführt.
Viele Verwaltungsräte von KMUs denken, dass es unwahrscheinlich ist, dass sie jemand angreift, da ihr Unternehmen nicht sehr bekannt ist. Leider können Sie auch Opfer von Cyber-Kriminellen werden, ohne dass diese auch nur den Namen Ihres Unternehmens kennen.
Beispiel 1: Bei einem Geschäftspartner anstecken
Die Systeme eines Ihrer Geschäftspartner wurden infiziert. Die dabei ermittelten Informationen über Sie oder allfällige Zugänge auf Ihre Systeme werden für Attacken auf Ihre Organisation missbraucht.
Beispiel 2: Gefangen im automatisierten Schleppnetz
Aufgrund ihrer hohen Komplexität haben Softwares oft unerkannte Schwachstellen, die von Angreifern ausgenutzt werden können. Diese werden nach deren Entdeckung veröffentlicht und der Hersteller wird einen sogenannten Security-Patch bereitstellen, der die Schwachstelle behebt. In der Zeit zwischen der Veröffentlichung der Schwachstelle und dem Installieren des Patches auf Ihrem System sind Sie angreifbar. Dass eines Ihrer Systeme noch die veraltete Softwareversion betreibt, ist nämlich mit einer öffentlich zugängigen Websuche einsehbar.
Sie müssen nicht unantastbar sein, um Ihr Risiko entscheidend zu reduzieren. Sie sollten es den Cyber-Kriminellen bloss nicht einfach machen, in Ihre Systeme einzudringen.
Angreifende denken wie Sie unternehmerisch. Auch sie setzen ihre Ressourcen so ein, dass sie einen möglichst hohen Ertrag erzielen. Wenn es für die Cyber-Kriminellen nicht so aussieht, als ob sie mit Ihnen schnelles Geld machen können, suchen sie sich meist ein anderes, schwächeres Ziel. Deswegen ist ein pragmatischer Ansatz gefragt, um mit vertretbarem Aufwand ein gutes Sicherheitsniveau zu erreichen.
Ein nicht zu unterschätzender Aspekt ist die Zusammenarbeit mit Dienstleistern. Bei der Abstimmung mit diesen können Fehler entstehen, die in unnötigen Sicherheitslücken resultieren. Annahmen, wie dass z. B. ein tägliches Backup «selbstverständlich zu einem professionellen Service dazu gehört» sind unausgesprochene Erwartungen und (z. B. Backup als Teilleistung) können sich als nicht erfüllt herausstellen.
Daneben ist der Mensch, sprich Ihre Mitarbeitenden, der wohl am häufigsten unterschätzte Faktor in der Cyber-Sicherheit. Mittels Social Engineering (z. B. Phishing) werden menschliche Eigenschaften wie Hilfsbereitschaft, Vertrauen, Angst oder Respekt vor Autorität ausgenutzt, um Personen geschickt zu manipulieren. Deswegen ist es unerlässlich die Awareness Ihrer Mitarbeitenden zu trainieren.
Eine strukturierte Einschätzung ist der beste Weg, um festzustellen, wie resilient Ihr Unternehmen gegenüber Cyber-Angriffen ist. Diese können Sie selbst vornehmen oder von externen Fachpersonen einholen.
Die aus dieser Standortbestimmung resultierenden Erkenntnisse können Sie dann nutzen, um gezielt und priorisiert die identifizierten Schwachstellen anzugehen.
1. Selbsttest – ein erster (realistischer?) Eindruck
Es gibt viele Selbsttests, mit denen Sie Ihr Unternehmen selbst einschätzen können. Ein themenübergreifendes Dokument mit einer ganzheitlichen Checkliste ist z. B. der englischsprachige Cybersecurity Guide for SMEs von digitalswitzerland oder dem deutschsprachigen Merkblatt Informationssicherheit für KMU des Nationalen Zentrum für Cybersicherheit (NCSC). Dieser referenziert auch weitere hilfreiche Dokumente.
Eine gute Lösung bieten Selbsttests allerdings nur, wenn Sie als Verwaltungsrat die Antworten Ihrer Verantwortlichen auch plausibilisieren können. Zudem müssen in Ihrer Organisation entsprechende Kapazitäten zur Durchführung des Selbsttests vorhanden sein.
2. Externer Check durch einen spezialisierten Dienstleister
Eine Alternative ist die Beauftragung eines auf Cyber Security spezialisierten Dienstleisters mit einem Assessment. Dieser kann aufgrund seiner strukturierten Vorgehensweise und durch seine Erfahrung den Gesamtaufwand der Durchführung einer Standortbestimmung reduzieren und eine neutrale, aussagekräftige Einschätzung abgeben.
In unserer Success Story lesen Sie, wie wir ein ganzheitliches Security Assessment bei unserem Kunden Uster Technologies durchführten und identifizierte Schwachstellen nach Risikopotential sowie Aufwand priorisierten, damit diese behoben werden konnten.
3. Priorisierung der Massnahmen aus Schritt 1 oder 2
Aus der Analyse ergeben sich Massnahmen zur Verbesserung Ihrer Cyber-Maturität. Diese werden so priorisiert, dass Sie mit den Ihnen zur Verfügung stehenden Mitteln möglichst zügig eine möglichst hohe Sicherheit erreichen können.
4. Umsetzung der Massnahmen in Projekten und im Daily Business
Grössere Massnahmen (A-Massnahmen) werden als Projekte aufgesetzt. Kleinere Massnahmen können bereits nach kurzer Zeit in die Arbeitsabläufe integriert werden.
5. Reporting der Umsetzung der A-Massnahmen an den Verwaltungsrat
Um Sie und die anderen Mitglieder des Verwaltungsrats über die Fortschritte Ihrer Cyber Security auf dem Laufenden zu halten, berichten die Umsetzungsverantwortlichen monatlich an Sie.
Gerne stehen wir Ihnen für ein unverbindliches Gespräch zur Verfügung. Melden Sie sich ungeniert bei uns.