Schwerpunkt Sicherheit

KMU Security 2013

Uhr | Updated

Cyberkriminalität gegenüber KMUs passiert, wird gefürchtet, aber dennoch zu wenig ernst genommen. Das liegt auch an den Unternehmen selbst, weil diese sich der Gefahren zu wenig bewusst sind. Daraus ergibt sich für den Fachhandel die Gelegenheit, Gutes zu tun und erst noch dauerhaft Geld zu verdienen.

Gemäss dem jüngsten Sicherheitsbericht des Security-Spezialisten Symantec sind die Cyberangriffe gegen KMUs sprunghaft gestiegen. Im vergangenen Jahr war mit 31 Prozent praktisch jedes dritte KMU weltweit Ziel einer Attacke. 2011 dagegen war nicht mal jedes fünfte Unternehmen dieser Grösse betroffen. Eine wichtige Nachricht für eine Wirtschaftsnation wie die Schweiz, deren Unternehmerlandschaft laut Bundesamt für Statistik zu über 99 Prozent aus KMUs besteht. Für den Sicherheitsanbieter liegt das auch daran, dass kleine Firmen eine einfachere Sicherheitsstrategie im Vergleich zu Grossunternehmen hätten. Das macht KMUs für Kriminelle attraktiv, etwa um geistiges Eigentum abzuzapfen.

Raffinierte Angriffe

Oft sind Gefahrenpotenziale auch hausgemacht, erklärt Marc Rennhard, Professor für Informationssicherheit an der ZHAW und Vorstandsmitglied der Information Security Society Switzerland (ISSS): E-Mails werden unverschlüsselt versendet. Daten werden ungenügend geschützt im Firmennetzwerk oder gar auf Cloud-Speichern bei Gratisanbietern abgelegt. Mobiltelefone oder Notebooks mit heiklen Daten werden nicht ausreichend verschlüsselt und gehen manchmal verloren oder werden gestohlen.

Von einer anderen Qualität sind die momentan in Sicherheitskreisen viel diskutierten "Advanced Persistent Threats", bei denen Angreifer systematisch nach Schwachstellen im IT-System eines Opfers suchen. Je niedriger dabei der Sicherheitsstandard einer Firma, desto einfacher und kostengünstiger wird es für Angreifer. "Ein Unternehmen muss seine Hürden so weit erhöhen, dass es als Angriffsziel unattraktiv wird", empfiehlt deshalb Rennhard. Eine Möglichkeit wäre der Einsatz aktueller Sicherheitstechnik. Hier sei der Handel gefragt, denn die Technik müsse an die jeweilige IT-Infrastruktur angepasst werden. Dadurch liesse sich der Schutz vor dem Datenklau zumindest erhöhen, jedoch nie ganz ausschliessen, relativiert der Sicherheitsspezialist die Möglichkeiten: "Keine Technologie kann 100-prozentige Sicherheit bieten. Wenn einer mich wirklich angreifen will und viel Zeit und Wissen investiert, dann wird es schwierig für mich." Besonders wenn Unternehmen klein und mit dem Thema Sicherheit wenig vertraut sind. Rennhard empfiehlt KMUs daher, Sicherheits-Know-how einzukaufen. Für KMUs wäre etwa die Zusammenarbeit mit einem Security-Dienstleister eine ökonomische Lösung.

Die Kronjuwelen schützen

Das Hauptproblem bei KMUs, darin sind sich Branchenbeobachter einig, liege in der mangelnden Aufmerksamkeit, der sogenannten Awareness, gegenüber Sicherheitsproblemen. Das liege auch daran, dass IT-Security für ein KMU nur ein Nebenschauplatz des Alltagsgeschäfts ist. Cybercrime sei für viele zudem ein abstrakter Begriff. "KMUs wollen Beweise dafür sehen, dass etwas passiert", sagt Andreas Dorta, Security Sales Specialist bei HP. Wie hoch der Schaden für KMUs in der Schweiz tatsächlich ausfällt, kann nicht beziffert werden. Eine Meldepflicht für Schäden gibt es nicht, Unternehmen wissen zudem oft gar nicht, dass sie aus¬spioniert wurden. Um vorzubeugen, rät Dorta deshalb Security-Dienstleistern, bei ihren Kunden konstant das Bewusstsein zu erhöhen. Etwa indem man Kunden dabei hilft, herauszufinden, welche Daten wichtig sind. Aber: "Man kann nicht alle Daten schützen", findet Dorta. Ein KMU sollte sich auf seine Kronjuwelen konzentrieren. Intellectual Property gilt für ihn als eine der schützenswertesten Informationen. Nach einer Evaluation könnten Projekte gestartet werden, um zielgerichtet Informationen zu schützen. Das können Schutzsysteme gegen Angriffe von aussen sein oder Data Loss Prevention, um Daten auch vor Missbrauch von innen zu schützen.

Sicherheit in die Köpfe bringen

Neben dem Einsatz von Technik sei es auch wichtig, die Menschen zu sensibilisieren, ergänzt Dortas Kollege Marcus Beyer, Senior Security Consultant bei HP. Security-Beauftragte müssten sich die Frage beantworten: "Wie bringe ich das Thema Sicherheit in die Köpfe der Leute?" Häufig verteilten Unternehmen an ihre Mitarbeiter Policy-Unterlagen und Schluss. Besser seien etwa Veranstaltungen wie die sogenannten Lunch-and-Learn-Events. Die Kombination aus Vortrag mit anschliessendem Apéro verleitet häufig auch zur Diskussion über das zuvor Gehörte. Auf diese Weise kann auch bei ein Bewusstsein für IT-Security entstehen. Auch bei KMUs.

Webcode
127