Die Analyse der bestehenden IT-Sicherheit steht am Anfang, wenn ein Unternehmen seine Sicherheit verbessern will. Doch wie findet ein KMU überhaupt heraus, wie gut es geschützt ist? Erste Schritte zu mehr Sicherheit.
Manchmal entscheidet ein Klick. Vielleicht hat der Mitarbeitende den Anhang geöffnet und damit die Ransomware ins Haus geholt. Hoffentlich aber nicht, und das Unternehmen blieb verschont. Das wäre dann IT-Sicherheit nach dem Prinzip Hoffnung, ein definitiv unbefriedigender Ansatz für ein KMU. Eindeutig sicherer sind Massnahmen, in denen die Firewall die Malware noch vor dem Posteingang abfängt und Mitarbeitende nicht auf Phishing-Mails hereinfallen.
Wirkungsvolle IT-Sicherheit basiert auf Kontrolle dank gezielter Schutzmassnahmen, kombiniert mit sensibilisierten Mitarbeitenden. Doch wie findet ein Unternehmen heraus, wie gut geschützt seine Informatik aktuell ist und welchen Schutz es zusätzlich benötigt? Und das, ohne dass der Verantwortliche selbst zum Sicherheitsexperten werden muss? Und vor allem: Wo anfangen? Mit diesen Schritten begeben Sie sich auf den Weg zu einem gut geschützten Unternehmen.
Der erste Schritt: Security-Checkliste durchgehen
Checklisten sind ein einfacher Einstieg, um die eigene IT-Infrastruktur auf Sicherheit zu überprüfen. Sie zeigen auf, welche Massnahmen getroffen werden sollten, und was der effektive Stand ist. Das Ergebnis ist eine Liste mit organisatorischen und technischen Vorkehrungen, mit denen ein KMU den Schutz verbessern kann. Hierzu sind weder vertiefte IT-Kenntnisse nötig noch ein Eingriff in die Infrastruktur.
Checklisten und Online-Tests lassen sich mit geringem Zeitaufwand absolvieren und eignen sich deshalb gut als ersten Schritt, um den Stand der IT-Sicherheit zu analysieren.
Diese zwei Security-Checks für Schweizer KMU bieten sich als Einstieg an:
- KMU-Schnellcheck von digitalswitzerland in Form eines umfangreichen Online-Fragebogens.
- Security-Check von Swisscom, der mittels Multiple-Choice-Fragen eine Einschätzung der Sicherheitsmassnahmen ermöglicht.
Zusatzschritt für mittlere Unternehmen: Gap-Analyse
Dieser Schritt richtet sich an Unternehmen mit eigener IT-Abteilung. Die ISO-Norm 27001 definiert Sicherheitsrichtlinien bis hin zum Betrieb eines Managementsystems für IT-Sicherheit. Die Überprüfung, wie weit ein Unternehmen diese Sicherheitsrichtlinien einhält, liefert Aufschluss über den Stand der Schutzmassnahmen. Ein Online-Tool für eine solche Gap-Analyse liefert beispielsweise die 27001Academy.
Der zweite Schritt: Mitarbeitende sensibilisieren
IT-Sicherheitsmassnahmen sind nur so gut wie ihre Einhaltung in der Praxis. Aufmerksame Mitarbeitende, die für die Gefahren sensibilisiert sind, tragen einen wesentlichen Teil zum Schutz bei. Die Schulung der Mitarbeitenden ist also zentral für ein funktionierendes Sicherheitskonzept.
Hier finden Sie Verhaltenstipps für Mitarbeitende zum Umgang mit Passwörtern, verdächtigen Mails und dergleichen:
- Verhaltensregeln der Melde- und Analysestelle Informationssicherung (MELANI) des Bundes.
- «Geben Sie Hackern keine Chance»: Kurzes E-Learning von Swisscom zur Sensibilisierung von Mitarbeitenden.
Der dritte Schritt: mittels Security Audit die eigene Infrastruktur überprüfen
Checklisten und Richtlinien geben zwar einen Hinweis auf umgesetzte Massnahmen und Versäumnisse. Sie sagen aber nichts aus über den effektiven Schutz und die aktuelle Bedrohungslage. Um die individuelle Situation zu klären und Sicherheitsmassnahmen zu definieren, ist ein Security Audit nötig. Im Rahmen einer solchen Sicherheitsprüfung nehmen Spezialisten die Unternehmensinformatik unter die Lupe, analysieren die getroffenen Massnahmen und suchen gezielt nach Schwachstellen und Lücken.
Je umfassender ein solches Audit ausfällt, desto zeit- und kostenintensiver wird es. Wobei die Kosten, die ein Malware-Befall verursachen kann, um ein Vielfaches höher liegen können.
Es gibt verschiedene Abstufungen solcher Security Audits, die sich in der Tiefe und damit im Aufwand unterscheiden:
- Bei einem «Quick Check» untersuchen Sicherheitsspezialisten nur die zuvor festgelegten Elemente der Unternehmensinformatik. Sinnvollerweise handelt es sich dabei um diejenigen Systeme und Anwendungen, die zentral für den Betrieb des Unternehmens sind, wie ERP und CRM.
- Ein Vulnerability Assessment untersucht Systeme automatisiert auf Sicherheitslücken. Dieser Ansatz findet vor allem bekannte Schwachstellen, etwa, weil ein wichtiges Sicherheits-Update fehlt.
- Bei einem Penetration Testing schlüpfen die Sicherheitsspezialisten in die Haut eines Hackers und greifen die Infrastruktur des Unternehmens an – natürlich in Absprache und auf Basis einer schriftlichen Vereinbarung. Dieses aufwändige, manuelle Vorgehen kombiniert verschiedene Angriffsmethoden und findet dadurch auch Sicherheitslücken, die bei automatisierten Tests verborgen bleiben.
Der IT-Dienstleister oder ein IT-Anbieter sind auch die Ansprechstellen für Security Audits. Sie helfen bei der Wahl eines geeigneten IT-Sicherheitsunternehmens und der Definition der Massnahmen, also der zu untersuchenden Bereiche.
Check zur IT-Sicherheit
Digitalisierung bedeutet Vernetzung in hoher Intensität. Menschen, Maschinen, Technologie und Wirtschaft sind verbunden. Prozesse werden digitalisiert. Viele Systeme sind von überall her über das Internet erreichbar. Hierfür ist Cybersicherheit unerlässlich. Denn die Bedrohungslage ändert sich ständig.
Mit unserem Security-Check finden Sie heraus, in welchem Bereich Sie Ihren Schutz noch verbessern können.
Schritt für Schritt zu mehr Sicherheit
Mit IT-Sicherheit ist es wie mit dem Pareto-Prinzip, der 80-20-Regel. Mit einem ersten Selbsttest lassen sich Versäumnisse aufdecken bei der Umsetzung gängiger Sicherheitsmassnahmen. Das beansprucht weniger Zeit und Ressourcen als ein umfassendes Audit. Ein solches lohnt sich, um gezielt nach Lücken in der eigenen Infrastruktur zu suchen und den Schutz weiter auszubauen.
Keine Option ist es dagegen, nichts zu unternehmen. Denn die Bedrohungslage ändert sich ständig. Entsprechend müssen die Sicherheitsmassnahmen laufend angepasst werden – sicher ist sicher.