Samuel Wyss ist beim Zuger KMU Stadler Form zuständig für die IT und damit auch für die IT-Sicherheit. Im Interview erläutert er, wie er die Mitarbeitenden für einen sicheren Umgang sensibilisiert. Und selbst auf dem aktuellen Stand bleibt.
Stadler Form ist ein typisches Schweizer KMU. Das Zuger Unternehmen entwickelt, produziert und vertreibt gestylte Luftbefeuchter und andere Geräte, die das Raumklima verbessern. Genauso typisch ist die Struktur der Firma. Samuel Wyss ist eigentlich für die digitale Transformation zuständig. Doch wie so häufig in KMU, trägt er verschiedene Hüte. Zusätzlich ist er zusammen mit einem IT-Dienstleister für die Informatik des Unternehmens zuständig. «Reingerutscht», wie er selbst sagt.
Als Gewinner des Swisscom Wettbewerbs «Win a Hacker» hat Stadler Form ein umfangreiches Security Assessment erhalten. Dabei haben IT-Sicherheitsspezialisten die Infrastruktur des Unternehmens gezielt auf Sicherheitslücken untersucht. Dabei hat sich gezeigt, worauf Sicherheitsexperten immer wieder hinweisen: Viele Sicherheitslücken sind nicht technischer Art, sondern entstehen aus Bequemlichkeit oder Unwissenheit der Mitarbeitenden. Ein klassisches Beispiel dafür sind Benutzer, die mit Administrator-Rechten am Computer arbeiten und dazu noch ein unsicheres, leicht zu erratendes Passwort verwenden. Und damit einem Angreifer die Arbeit erleichtern. Wir haben Samuel Wyss gefragt, wie er in seinem Unternehmen die Benutzer für die IT-Sicherheitsproblematik sensibilisiert.
Samuel Wyss, was ist Ihre grösste Angst als IT-Verantwortlicher?
Das ist ganz klar, dass ein Mitarbeiter ein Phishing-Mail erhält und auf den Link klickt oder das Attachment öffnet. Dass jemand dadurch verseuchte Software installiert und damit einem Angreifer Tür und Tor öffnet. Meine grösste Angst ist, dass auf diesem Weg Ransomware in unser Unternehmen gelangt und unsere Daten verschlüsselt.
Wie sensibilisieren Sie die Mitarbeitenden, damit sie eben nicht auf Phishing-Mails hereinfallen?
Ich führe regelmässige Schulungen durch. Und wir haben zweiwöchentlich ein Meeting, in dem wir uns auch zu Sicherheitsthemen austauschen und ich über aktuelle Entwicklungen informiere. Die Kunst dabei ist, den richtigen Ton zu finden. Ich nutze deshalb oft Vergleiche aus der analogen Welt, zum Beispiel: «Wenn du aus dem Haus gehst, schliesst du doch die Tür auch ab?» Oder ich diskutiere mit den Mitarbeitenden Situationen wie diejenige, dass jemand das Passwort auf ein Post-It schreibt und an den Bildschirm klebt. Allerdings sind nicht alle Mitarbeitenden gleich empfänglich dafür oder nehmen die Situation gleich ernst.
Und wie gehen Sie mit dieser unterschiedlichen Wahrnehmung um?
Zum einen unterstütze ich Mitarbeitende persönlich, die sich unsicher fühlen. Wir richten beispielsweise gemeinsam ein neues Passwort ein. Dabei will ich aber das Passwort nicht wissen. Die Verantwortung dafür liegt beim Mitarbeiter.
Zum anderen haben die Mitarbeitenden das Versprechen, dass sie sich bei einem Sicherheitsvorfall melden können, ohne dass das Konsequenzen für sie hat. Das erhöht die Chance, dass ich überhaupt rechtzeitig erfahre, wenn etwas passiert.
In einem Test bei uns haben einige Mitarbeitende den Phishing-Link angeklickt.
Samuel Wyss, Stadler Form
Die Bedrohungen und damit die Sicherheitslage ändern sich laufend. Wie halten Sie sich in Sachen IT-Sicherheit auf dem Laufenden?
Ich tausche mich an Konferenzen mit anderen aus und nutze natürlich verschiedene digitale Informationsquellen wie Podcasts, Whitepaper oder Newsletter. Und ich habe Twitter dafür entdeckt, das ist extrem nützlich für Security-News. Generell versuche ich, den relevanten Spezialisten zu folgen. Und ich habe den Vorteil, dass diese Informationsbeschaffung in meinem Stellenbeschrieb festgehalten ist und damit offiziell zu meinen Aufgaben gehört.
Geben Sie Cyberkriminellen keine Chance
Ein falscher Klick, ein unachtsamer Moment genügt: Einem Grossteil aller erfolgreichen Cyberattacken geht menschliches Fehlverhalten voraus. Mitarbeitende, die auf Cyberrisiken sensibilisiert sind, erhöhen die IT-Sicherheit im KMU. Erfahren Sie im E-Learning in 15 Minuten wichtige Verhaltensregeln.
Was machen Sie, wenn Sie selbst nicht weiterkommen?
Dann kann ich zum Glück auf die Spezialisten unseres IT-Dienstleisters zurückgreifen. Wir haben da einen sehr direkten Draht. Und natürlich hat mir das Security Assessment weitergeholfen. Das war wirklich phänomenal, welches Know-how die Experten mitbrachten. Ich würde das sofort wieder machen. So ein Audit ist zwar teuer. Aber wenn ein Angreifer die Firma lahmlegt, ist das noch viel teurer.
Nochmals zurück zur Eingangsfrage: Und wie gross schätzen Sie das Risiko ein, dass jemand wirklich ein Phishing-Mail öffnet?
Wir haben einen Test gemacht mit einem unechten Phishing-Mail. Einige Mitarbeitende haben tatsächlich auf den Link geklickt. Und haben es dann auch gemerkt, dass da etwas nicht stimmt. Die Sensibilisierung der Mitarbeitenden ist eine Daueraufgabe.
Samuel Wyss
Der Betriebsökonom Samuel Wyss arbeitet seit 2008 bei Stadler Form. Heute ist er verantwortlich für die digitale Transformation des Unternehmens. Dazu gehört, dass er Prozesse digitalisiert und Papier und Medienbrüche aus dem Büroalltag verbannt. Mit Informatik beschäftigt sich Samuel Wyss seit den 80er-Jahren und dem Commodore 64.