Die grossen technologischen Fortschritte in Sachen Vernetzung von Organisationen, Mitarbeitenden und Prozessen bieten Unternehmen grosse Chancen, bergen aber auch Gefahren. Leider werden diese von vielen Schweizer Unternehmen nach wie vor unterschätzt. Laut dem Digital-Swiss-Index, bei dem die Dachverbände ICT Switzerland und Economiesuisse den Stand von 15 Digitalisierungsthemen erheben, belegt die IT-Sicherheit mit 27 von 100 Punkten den Schlussrang (s. Grafik). Der Index errechnet sich dabei aus verschiedenen Kriterien, etwa zur Frage, ob die Unternehmen eine Informationsschutzstrategie haben. Dies ist immerhin bei rund der Hälfte der Befragten der Fall. Das bedeutet aber im Gegenzug, dass bei der anderen Hälfte der Unternehmen eine solche fehlt. Ebenfalls besorgniserregend: IT-Sicherheit ist nur bei einem Drittel ein Thema des Top-Managements. Selbstverständlich muss sich die Geschäftsleitung nicht mit jedem technischen Detail befassen. Sie muss aber, so die Autoren der Studie, «ein klares Verständnis davon entwickeln, was zum Beispiel der Schutz von geistigem Eigentum bedeutet».
Cyber-Strategie allein genügt nicht
Eine Strategie zu entwickeln, reicht allerdings nicht aus, um den Bedrohungen Herr zu werden. So haben nicht einmal die Hälfte der Unternehmen auch Massnahmen zur Beurteilung der Bedrohungslage durchgeführt oder risikosensible Assets identifiziert. Und nur gerade 16 Prozent testen ihre eigenen Abwehrfähigkeiten auch. Die überwiegende Mehrheit der Unternehmen ist sich also nicht im Klaren, ob man auch im Stande ist, Cyber-Angriffe adäquat zu meistern. Denn die dazu nötigen Abläufe sind, sofern überhaupt vorhanden, kaum eingeübt. Die Herausgeber der Studie warnen: Es bestehe akuter Handlungsbedarf, wenn nicht mindestens bei der Hälfte der Firmen die Geschäftsleitung an der Entwicklung teilnehme und nicht mindestens die Hälfte der Firmen fortgeschrittene Sicherheitsmassnahmen platziert und Schritte unternommen habe, um Schwachstellen und Gefahren zu identifizieren. Erst ab drei Viertel «Partizipation» könne nur noch von Optimierungsbedarf gesprochen werden.
E-Mail-Kommunikation am gefährlichsten
Der Stiftung Switch zufolge hat sich die Cybersecurity in der Schweiz zwar in gewissen Bereichen verbessert. Etwa sei die Zahl der verseuchten Websites seit 2012 von mehreren Tausend pro Jahr auf nur noch ein paar wenige im letzten Jahr zurückgegangen. Auch die Webserver sind heute besser geschützt. Gemäss einer Untersuchung von Switch und dem Sicherheitsspezialisten Hardenize könne knapp ein Viertel der Schweizer Webserver dank Implementierung von HTTPS (Hypertext Transfer Protocol Secure) und anderen Schutzmechanismen als gut konfiguriert eingestuft werden. Auch wenn international der Wert mit 28 Prozent nur wenig höher liegt, heisst das doch, dass drei Viertel der Server ungenügend konfiguriert sind. Besonders bedrohlich sind heutzutage aber immer noch die Cyberangriffe per E-Mail: Ganze 80 Prozent der Hacker machen sich dieses Kommunikationsmittel zunutze. Bedenklich ist dabei, dass nur 18 Prozent der E-Mail-Kommunikation in der Schweiz aktuellen Sicherheitsstandards genügt und nur gerade 3 Prozent der untersuchten Firmen die Kommunikation mit dem Domain Name System (DNS) adäquat schützen. Im aktuellen Switch-Cert Report warnt die Organisation ausserdem, dass Unternehmensnetzwerke aktuell in akuter Gefahr wegen Malspam-Wellen des Multifunktions-Trojaners «Emotet» sind. Switch empfiehlt deshalb unter anderem, den Empfang von E-Mails mit Office-Dokumenten, die Makros enthalten, zu unterbinden.
Vertrauliche Informationen Profis anvertrauen
Gerade letzteres sollte IT-Verantwortlichen und Geschäftsleitung vor Augen führen, dass vertrauliche Daten, etwa Informationen zu geistigem Eigentum, Geschäftsstrategien oder Forschung und Entwicklung keinesfalls per E-Mail versandt werden dürfen. Um solche geschäftskritischen Dokumente zu teilen, zu bearbeiten oder versioniert zu archivieren, gibt es einfach zu bedienende, hochsichere Collaboration-Lösungen wie die Cloud-Dienste von Brainloop. Die Services sind stets auf dem neuesten Stand der Technik in Sachen Informations- und Datensicherheit und erfüllen sogar die Anforderungen des streng regulierten Schweizer Finanzmarkts. Erst kürzlich wurden die Services von Brainloop in der Schweiz wieder erfolgreich von unabhängiger Stelle auf Herz und Nieren auf die neuesten Richtlinien der Schweizer Finanzmarktaufsicht Finma getestet. Unternehmen sollten deshalb das Problem der Cybersicherheit, insbesondere im Umgang mit sensiblen Informationen, besser in die Hände von Profis geben. So können sie guten Gewissens ihren Anwendern adäquate Tools zur Verfügung stellen, die zeitgemäss auch mit Smartphones und Tablets genutzt werden können. Sie müssen bei den Nutzern aber auch das Bewusstsein für die Risiken von E-Mail und anderen unsicheren Tools wie Whatsapp oder Dropbox schärfen.
Geschrieben von Gabriel Gabriel
Collaboration, Informationssicherheit