Cybersecurity

Eine Modeerscheinung oder eine Notwendigkeit für KMU?

Im Interview sprechen wir mit den beiden Gründern über aktuelle Trends in der Cyberkriminalität, über die Bedrohungslage für Schweizer KMU, weshalb sich Geschäftsleiter und Verwaltungsräte strategisch mit Cybersecurity beschäftigen sollten, und über ihre Beweggründe, die Firma mitten in der Pandemie zu gründen.

Interview

Es tauchen immer mehr Fälle von kleinen Unternehmen in den Medien auf, die von einem Cyberangriff getroffen wurden. Wie ordnen Sie das ein? Ist Cybersecurity eine vorübergehende Modeerscheinung oder eine strategische Notwendigkeit für Schweizer KMU?
M.H.: Die digitale Transformation der Wirtschaft führt dazu, dass schon heute jedes Unternehmen von ihrer IT abhängig ist. Diese Abhängigkeit birgt Risiken in sich. So war bereits jedes dritte Schweizer KMU von einem Cyberangriff betroffen. Der durchschnittliche Schaden einer Cyberattacke kostet ein KMU ab CHF 80'000 aufwärts oder ist im schlimmsten Fall sogar existenzvernichtend. Weil Cyberangriffe in der Regel komplett zufällig und automatisiert stattfinden, trifft es kleine Firmen genauso wie grosse. Für ein KMU ist das Risiko, von einer Cyberattacke getroffen zu werden, sogar noch höher als für grosse Unternehmen. Das liegt zum einen am tiefen Risikobewusstsein der KMU und zum anderen an den limitierten Cybersecurity-Kompetenzen klassischer IT-Dienstleister, die sich um die IT der KMU kümmern. Das wollen wir ändern. Brevit hilft ihren Kunden, das Cyberrisiko als ein Geschäftsrisiko zu adressieren und, wie bei jedem anderen Geschäftsrisiko auch, geeignete Massnahmen umzusetzen. Cybersecurity ist kein notwendiges Übel und damit auch keine Modeerscheinung, sondern ein Wettbewerbsvorteil und muss zwingend langfristig in die Unternehmensstrategie einfliessen. Nur KMU, die sorgfältig mit Daten umgehen können, sind zukunftsfähig. Cybersecurity ist deshalb kein reines IT-Thema, sondern gehört zur Sorgfaltspflicht der Geschäftsleitung und des Verwaltungsrats.

«Für ein KMU ist das Risiko, von einer Cyberattacke getroffen zu werden, sogar noch höher als für grosse Unternehmen.» Marco Hiestand

Was genau ist eigentlich Cybersecurity?
R.H.: Cybersecurity umfasst alle technischen, organisatorischen und menschlichen Massnahmen eines Unternehmens, um die Vertraulichkeit, Integrität und Verfügbarkeit ihrer Daten, ihrer Hardware und ihrer Software zu gewährleisten. Der Hauptzweck der Cybersicherheit besteht darin, sich vor Cyberangriffen zu schützen bzw. sich darauf vorzubereiten. Jedes (kleine) Unternehmen, welches IT einsetzt, muss heute davon ausgehen, früher oder später von einer Cyberattacke getroffen zu werden.

Was sind derzeit die grössten Bedrohungen für die Cybersicherheit?
M.H.: Die Bedrohungslage ist vielfältig. Das Nationale Zentrum für Cybersicherheit NCSC verzeichnet in der Schweiz wöchentlich mehrere hundert Meldungen von Unternehmen bezüglich Cyberangriffen. Das ist nur die Spitze des Eisbergs – die Dunkelziffer ist um ein Vielfaches höher. Weit verbreitet ist das sogenannte Social Engineering, mit dem Ziel, bei Personen bestimmte Verhaltensweisen hervorzurufen. Dazu gehören z.B. Phishing-Mailings oder der Überweisungsbetrug. Auch direkte Angriffe auf die IT-Infrastruktur sind an der Tagesordnung. Hierbei dringen die Angreifer über Geräte wie Computer, Server etc., die mit dem Internet verbunden sind, direkt ins Netzwerk eines Unternehmens ein. Durch Sicherheitslücken veralteter Software gelingt ihnen das ohne grossen Aufwand. Deshalb ist das Patch-Management eine so wichtige präventive technische Massnahme gegen Cyberangriffe.

Hört ihr oft: Ich habe ja nur ein kleines Unternehmen, ich bin kein Ziel von Cyberattacken. Und wie reagiert ihr dann?
R.H.: Das ist eine der Standardantworten, die wir in Erstgesprächen oft hören. Oder ein anderer Klassiker: Bei uns kümmert sich unser IT-Dienstleister um die IT-Sicherheit, wir sind bestens aufgestellt. Die erste Aussage versuchen wir durch ein unverbindliches Beratungsgespräch aufzufangen. Wir vermitteln den Geschäftsführern mehr Wissen zum Thema Cybersecurity und zeigen auf, dass es sich bei Cyberangriffen in der Regel um automatisierte, zufällige Attacken handelt, bei denen jeder Computer und jedes Gerät, das mit dem Internet oder einem Netzwerk verbunden ist, ein potenzielles Einfallstor darstellt – unabhängig von Unternehmensgrösse und Branche. Bei der zweiten Aussage versuchen wir mehr über die bereits implementierten Cybersecurity-Massnahmen zu erfahren. Es stellt sich oft und schnell heraus, dass die Geschäftsleitung gar nicht genau weiss, welche Massnahmen sie zurzeit implementiert hat, und ihre Aussage auf reinem «Hörensagen» beruht.

Wie können sich KMU am besten vor Cyberangriffen schützen?
M.H.: Insgesamt stellen wir fest, dass nicht nur die Anzahl an Cyberattacken steigt, sondern auch die Qualität der Social-Engineering-Methoden immer besser wird. Phishing Mailings oder falsche Zahlungsaufforderungen sind zum Teil nur noch sehr schwierig als solche zu erkennen. Umso wichtiger ist es für Unternehmen, in Awareness-Programme der Mitarbeitenden zu investieren. Gleichzeitig ist es zentral, dass auch KMU ihre Hausaufgaben machen und in technische sowie organisatorische Cybersecurity-Massnahmen investieren. Das verschafft kleinen Unternehmen einen strategischen Wettbewerbsvorteil. Wenn ein Unternehmen besser geschützt ist als ein anderes Unternehmen, kann es von Cyberkriminellen nicht so einfach kompromittiert werden und wird dadurch automatisch zu einer weniger interessanten Zielscheibe.

Was sollte ein KMU als Erstes tun, wenn es sich mit dem Thema Cybersecurity beschäftigen möchte?
R.H. Wir raten KMU, eine unabhängige Expertenmeinung einzuholen. Es geht darum, dass die eigene IT-Infrastruktur quasi als Standortbestimmung umfassend auf den Prüfstand gestellt wird. Es gilt also die Frage zu beantworten, wie gut das eigene Unternehmen in Wirklichkeit vor Cyberangriffen geschützt und/oder darauf vorbereitet ist. Wichtig ist eine umfassende Beurteilung der gesamten Hardware, Software sowie der angewendeten Prozesse und Richtlinien aus einer Sicherheitsperspektive heraus. Wir empfehlen KMU hingegen nicht, als erste Handlung sogenannte Penetrationstests zu machen, weil sie erstens relativ teuer sind und zweitens immer nur einzelne Bereiche der Infrastruktur überprüfen. Ein umfassendes Sicherheits-Audit, auch Schwachstellenanalyse genannt, formuliert klare Handlungsempfehlungen für eine Verbesserung der eigenen Cyberresilienz. Diese Erkenntnisse dienen dann einem KMU als Ausgangspunkt für die Definition einer individuellen Cybersecurity-Strategie. Nur so können die notwendigen finanziellen Mittel kosteneffizient in die richtigen Massnahmen fliessen und die grösstmögliche Schutzwirkung erzielen.

Wieso haben Sie die Brevit AG gerade während der Pandemie gegründet?
M.H: Wie die Ausführungen oben zeigen, ist die Notwendigkeit von adäquaten Cybersecurity-Massnahmen durch die Zunahme der Angriffe hoch aktuell. Die Pandemie hat das Problem noch weiter akzentuiert, weil auf einmal viele Unternehmen ihren Mitarbeitenden den Zugang zum Unternehmensnetzwerk vom Homeoffice aus ermöglichen mussten. Das hat die Angriffsfläche für die Unternehmen nur noch vergrössert und hat es für sie schwieriger gemacht, die IT-Infrastruktur wirkungsvoll abzusichern. Dass wir die Brevit AG gerade in der Pandemie gegründet haben, war mehr ein Zufall, hat uns aber auch ein Stück weit in die Hände gespielt. Unsere Mission ist es ganz allgemein, KMU qualitativ auf dem Niveau von Grossunternehmen zu schützen, aber zu einem KMU-Preis. Diese Unterstützung brauchen Schweizer KMU mehr denn je.

Wir beraten Sie gerne!
www.brevit.ch      ■