Die Schweiz wird allenthalben als «KMU-Land» bezeichnet. Gemeint ist damit die Tatsache, dass die kleinen und mittelständischen Unternehmen – so das Bundesamt für Statistik – über 99 Prozent der Unternehmen und zwei Drittel der Arbeitsplätze in der Schweiz stellen. Wegen ihrer grossen wirtschaftlichen Bedeutung sind KMU auch regelmässig im Fokus unterschiedlichster Erhebungen und Umfragen von Marktforschern, Behörden, Verbänden, Politik und anderen Interessengruppen. Dabei stösst man im Zusammenhang mit Themen der Informations- und Kommunikationstechnologie denn auch regelmässig auf Umfrageresultate, welche für den Schweizer Wirtschaftsstandort besorgniserregend sind. Denn daraus gehen vor allem die häufig unterschätzten Risiken der Cyberkriminalität und der damit verbundene ungenügende Schutz hervor. Um das Bewusstsein bei KMU für die Gefahren des Internets zu schärfen, hat deshalb kürzlich eine breit abgestützte Fachgruppe unter der Leitung der Schweizerischen Akademie der Technischen Wissenschaften einen Cybersecurity-Schnelltest für KMU lanciert.
In Überreinstimmung mit nationaler Cybersecurity-Strategie
Die Tragweite der Thematik wird allein schon dadurch deutlich, dass die Initiative von Vertretern des Bundesamtes für wirtschaftliche Landesversorgung, der Expertenkommission Bund zur Datenbearbeitung und Datensicherheit, des Informatiksteuerungsorgans des Bundes mit seiner Melde- und Analysestelle Informationssicherung (Melani) sowie weiteren namhaften Verbänden und unabhängigen Organisationen unterstützt wird. Sie steht damit auch im Einklang mit der Nationalen Strategie zum Schutz der Schweiz vor Cyber-Risiken. Da es bei vielen kleinen und mittelständischen Unternehmen keine spezialisierten IT-Sicherheitsexperten gibt, ist dieser Test ein probates Instrument zur schnellen Selbstbeurteilung. Mit dem Fragebogen können sich auch Personen ohne ausgeprägtes IT-Wissen in Kürze ein Bild darüber machen, ob ihr Unternehmen ausreichend gegen Cyberrisiken geschützt ist. Die Beantwortung der Fragen zu technischen, organisatorischen und mitarbeiterbezogenen Massnahmen dauert nur wenige Minuten. Das ist gut so, dürfte doch die Einfachheit des Tests die Einstiegshürde für die Auseinandersetzung mit dem Thema niedrig halten. Die genannten Initianten empfehlen, «sich dringend mit diesem wichtigen Thema gebührend auseinanderzusetzen», wenn eine oder mehrere Fragen mit «nein» oder «weiss nicht» beantwortet werden.
Einfach aufbereitete, nützliche Zusatzinformationen
Dabei dürften viele KMU bereits beim ersten Fragenblock zum Thema Aufgaben, Kompetenzen und Verantwortlichkeiten betroffen sein. Denn die allererste Frage lautet, ob überhaupt definiert ist, wer im Unternehmen für Cybersecurity verantwortlich ist. Weitere Themenbereiche befassen sich mit der Sensibilisierung von Mitarbeitenden und anderen Stakeholdern, dem Datenschutz inklusive Verschlüsselung und dem physischem Zugang. Aber auch Vorschriften bezüglich Speicherung und Verarbeitung der Daten, Passwort-Richtlinien und Benutzeradministration, Schutz vor Schad-Softwaresowie Schutz und Verschlüsselung von drahtlosen und virtuellen privaten Netzwerken, Notfallbewältigung, Service Level Agreements sind Themen des Fragebogens. Besonders hilfreich ist darüber hinaus ein Zusatzdokument, das Interessierte mit weiterführenden Hinweisen und Links zu hilfreichen Zusatzinformationen wie Merkblättern, Pflichtenheften, Richtlinien, Vorgaben, Tests und anderen Empfehlungen zu den jeweiligen Themenbereichen versorgt. Die Autoren stützen sich dabei hauptsächlich auf eine Publikation zum Thema Informationssicherheit bei KMU der Information Security Society Switzerland ISSS und auf ein Merkblatt der Melani. Insgesamt erstaunt allerdings, dass angesichts der langen Zeitdauer seit dem Durchbruch des Internets vor mehr als zwei Jahrzehnten und der häufigen Thematisierung in den Medien die Problematik und die meisten damit verbundenen Empfehlungen nach wie vor zu wenig Aufmerksamkeit geniessen.
Outsourcing befreit
Vielleicht liegt aber gerade in der Gewöhnung der Menschen an die Technologie der Grund für den sorglosen Umgang der KMU mit den Gefahren begründet: Wie letztes Jahr eine Studie des Dachverbands ICT Switzerland ergab, fühlt sich nämlich über die Hälfte der befragten Geschäftsführerinnen und Geschäftsführer (56 %) gut bis sehr gut vor Cyberangriffen geschützt. Und dies, obwohl häufig zu wenig dagegen unternommen wird. So oder so ist es ratsam, sich dem Thema anzunehmen, denke man nur an mögliche Schäden wie Bussen bei Nichteinhaltung der Datenschutzgesetze, Lieferprobleme bei Störungen des Geschäftsbetriebs, Imageschäden oder gar der Verlust geschäftskritischer Informationen inklusive geistigen Eigentums. Angesichts der Tatsache, dass die meisten KMU nicht über ausreichend personelle Ressourcen zur Aufrechterhaltung des nötigen Wissens verfügen, ist es sicher angebracht, die Problematik in die Hände vertrauensvoller Lieferanten zu legen – notabene solche, welche dank Zertifizierungen unabhängiger Prüfstellen die Einhaltung höchster Sicherheitsstandards garantieren.
Geschrieben von Gabriel Gabriel
Informationssicherheit, Schweiz