"Cyberkriminelle haben KMU verstärkt im Visier"

KMU stellen für Cyberangriffe ein leichtes Ziel dar, da sie dem Thema Daten- und Informationssicherheit oft nicht genug Aufmerksamkeit widmen. Oliver Hirschi, Dozent am Institut für Wirtschaftsinformatik an der Hochschule Luzern, spricht im Interview über digitale Sicherheitsmassnahmen.  

Der Umgang mit digitalen Daten und deren Schutz vor Zugriffen Dritter sollte für jedes KMU ein zentrales Element in der Unternehmensführung darstellen. Trotz fortschreitender Digitalisierung aller Geschäftsfelder werden die Aspekte Daten- und Informationssicherheit von vielen Unternehmen jedoch unterschätzt, glaubt Oliver Hirschi, Dozent am Institut für Wirtschaftsinformatik an der Hochschule Luzern. Um zu analysieren, wie sich Schweizer KMU mit dem Thema auseinandersetzen, führt das Institut deshalb eine nationale Studie durch (siehe Link am Ende des Artikels).

Worauf müssen KMU im Umgang mit digitalen Daten und IT-Systemen achten?

Oliver Hirschi: Der Geschäftsbetrieb ist sehr oft von digitalen Daten und Informationen, die mithilfe von IT-Systemen verarbeitet werden, abhängig. Diese sollten so geschützt werden, dass ihre Vertraulichkeit, ihre Vollständigkeit und ihre Verfügbarkeit gewährleistet werden. Des Weiteren gilt es, regulatorische Vorschriften, wie beispielsweise das Datenschutzgesetz einzuhalten. Dies alles sind Aufgaben der Informationssicherheit. Eine Sache ist ganz wichtig: sich dem Thema annehmen und dementsprechende Massnahmen umsetzen.

Welche Fehler werden auf Seiten der KMU begangen und welche Risiken ergeben sich daraus?

Hirschi: Sehr oft fehlt das Bewusstsein für die Gefahren, welche in IT-Systemen schlummern – das gilt sowohl auf Management-Ebene als auch bei den Mitarbeitenden. Oft gehörte Statements lauten: "Was bringt uns Informationssicherheit, ausser Kosten?" oder "Bei uns ist noch nie etwas passiert!" Die Folge ist, dass elementare Sicherheitsmassnahmen nicht umgesetzt werden. Dass dies drastische Auswirkungen haben kann, haben beispielsweise die sich seit kurzem häufenden Ransomware- Angriffe gezeigt. Bei diesen Angriffen werden die Daten von Privatpersonen oder Unternehmen durch Verschlüsselung dem Zugriff der Datenbesitzer entzogen und erst nach Bezahlung eines Lösegelds wieder zugänglich gemacht.

Was sollte für Unternehmen zur Grundausstattung im Hinblick auf die Sicherung der digitalen Informationen gehören?

Hirschi:
Dazu gehören vor allem regelmässige Backups, also die Speicherung der Daten auf mobilen Datenträgern. Daneben gilt es, ständig aktualisierte Virenschutzprogramme, sowie eine Firewall – eine Art Zugangskontrolle für den internen Internetzugang – zu aktivieren. Ausserdem sollten möglichst sichere Passwörter verwendet werden, die ebenfalls regelmässig aktualisiert werden müssen.

Wie sieht eine sinnvolle langfristige Strategie für KMU auf dem Gebiet aus?

Hirschi: Informationssicherheit sollte generell nicht als kurzfristige Angelegenheit betrachtet werden. Sie ist vielmehr ein Prozess, der zu einer kontinuierlichen Verbesserung führen sollte. Die Bedrohungslage, das Umfeld und die Rahmenbedingungen sind einem ständigen Wandel unterworfen. Folgende Fragen können helfen zu verstehen, ob genug für die Sicherheit getan wird: Welche Daten bearbeite ich in meinem Unternehmen und welches ist deren Schutzbedarf? Welche IT-Systeme werden für meine Geschäftsprozesse benötigt und wie abhängig bin ich von ihnen? Habe ich alle Sicherheitsmassnahmen umgesetzt? Wie gut sind meine Mitarbeitenden in Hinblick auf einen sicheren Umgang mit Daten und IT-Systemen sensibilisiert? 

Gibt es Unternehmen in der Schweiz, die in dem Bereich eine Vorbildrolle einnehmen?

Hirschi: Ja, die gibt es – allerdings befinden sich diese Unternehmen hinsichtlich der Bedrohungslage und der regulatorischen Anforderungen in einer besonderen Situation. Gemeint ist hier zum Beispiel die Finanzbranche, welche im Bereich der Informationssicherheit schon seit langem grosse Anstrengungen unternimmt. Aber auch Technologieunternehmen oder Unternehmen in der Pharma- oder Chemiebranche haben einen sehr grossen Sicherheitsbedarf. Dass allen Anstrengungen zum Trotz auch in diesen Firmen Cyberangriffe erfolgreich sein können, hat vor kurzem der Fall des Rüstungsbetriebs Ruag gezeigt, wo sich Hacker Zugriff zu internen Daten verschafft haben.

Und wie sieht es speziell im Bereich KMU aus?

Hirschi: Unter den KMU ohne besonders hohen Schutzbedarf oder besonders hohe regulatorische Anforderungen sind Unternehmen mit Vorbildrolle eher selten anzutreffen. Nichtsdestotrotz ist auch dort eine Auseinandersetzung mit dem Thema Informationssicherheit zwingend notwendig. Es ist zu beobachten, dass Cyberkriminelle in den letzten Jahren auch KMU verstärkt im Visier haben, da diese oftmals nur unzureichende Schutzmechanismen besitzen.

Von welchen Ländern können sich Schweizer KMU Inspirationen holen?

Hirschi: In diesem Kontext ist das Bundesamt für Sicherheit in der Informationstechnik (BSI) in Deutschland interessant. Diese Organisation mit über 600 Mitarbeitenden setzt sich intensiv mit dem Thema Informationssicherheit auseinander und erarbeitet insbesondere für Unternehmen Grundlagen für den sicheren Betrieb von IT-Infrastrukturen. In der Schweiz kommt dieser Rolle in deutlich geringerem Ausmass die Melde- und Analysestelle Informationssicherung (MELANI) nach.

Wie sinnvoll ist es, Hilfe von aussen hinzuzuziehen?

Hirschi: Falls das Know-how nicht vorhanden ist, macht es auf jeden Fall Sinn, sich von spezialisierten Unternehmen beraten zu lassen, oder aber beispielsweise auch ganze Dienstleistungen (zum Beispiel der Betrieb einer Firewall) von einem externen Dienstleister in Anspruch zu nehmen. Das schafft einerseits ein höheres Sicherheitslevel durch Spezialisierung und kann andererseits vor allem in kleineren Betrieben personelle Ressourcen für das Kerngeschäft freisetzen. 


Informationen

Zur Person/Firma

Oliver Hirschi, Dozent am Institut für Wirtschaftsinformatik an der Hochschule Luzern

Oliver Hirschi ist seit 2008 an der Hochschule Luzern im Bereich Informationssicherheit tätig, wo er zudem die digitale Plattform «eBanking – aber sicher!» leitet. Zuvor hat er an derselben Hochschule unter anderem Informatik und Business Information Technology studiert und im Anschluss mehrere Jahre im Bereich Software-Engineering für Unternehmen in der Deutschschweiz gearbeitet. Ausserdem ist er Mitautor der 8. Auflage des "Informationssicherheitshandbuch für die Praxis". Die Studie zum Thema Informationssicherheit und KMU führt er gemeinsam mit seinem Kollegen Armand Portmann durch.

Letzte Änderung 15.06.2016

Zum Seitenanfang

https://www.kmu.admin.ch/content/kmu/de/home/aktuell/interviews/2016/-cyberkriminelle-haben-kmu-verstaerkt-im-visier-.html