Der Mensch: grösster Risikofaktor für die ICT und bestes Schutzschild zugleich

Um auf Cyberangriffe zu reagieren haben grössere Unternehmen in der Regel ihre «internen Schilde grösstmöglich aktiviert». Sie sind mit den entsprechenden Ressourcen ausgestattet, damit die ICT-Infrastruktur möglichst unantastbar bleibt und weitreichend geschützt ist. Was jedoch bei den neuzeitlichen Cyberattacken ins Augenmerk fällt: Die Cyberangriffe zielen nicht mehr nur auf grössere Unternehmen ab. Heute kann es jedes Unternehmen treffen, durchaus also auch KMU. 

Vielfach schätzen gerade KMU ihre Sicherheitsvorkehrungen besser ein, als sie tatsächlich sind. Und oft fehlt es an einer richtigen Sicherheitsstrategie für ihre ICT-Infrastruktur. In der Regel müssen KMU auch mit weniger Know-how, Expertise, Budget und Ressourcen auskommen, um ihre ICT zu sichern. Gerade auch die mangelnden Fachkräfte resp. fehlende Expertise für die Sicherung der ICT raubt den Verantwortlichen KMU oft den Schlaf. 

Gemäss unserer beiden neuen Studien zur ICT-Sicherheit (mehr auf www.msmag.ch) gibt es in über der Hälfte der Befragten (Unternehmen bis 100 Mitarbeiter) keinen dedizierten ICT- oder Security-Verantwortlichen, häufig wird die ICT zudem «nebenbei» von einem qualifizierten User oder sogar vom Geschäftsführer (43 %) mitbetreut. 

Die Digitalisierung und die daraus steigende Komplexität der ICT verlangt jedoch heute nach einer professionell aufgestellten Mannschaft. Schliesslich lässt man an einer Fussball-WM auch nur Fussballer und nicht noch den Platzwart mitspielen…

Wie können also Unternehmen «den Ball flach halten» und mit welchen Mitteln kann die Verfügbarkeit und Sicherheit der ICT-Infrastruktur gewährleistet werden? Ein adäquater Technologie-Einsatz als «Torwart» für den Schutz der ICT reicht allein noch nicht aus. Zur Vorbeugung von Cyberbedrohungen gehören weiter auch organisatorische Massnahmen wie z. B. die Erstellung von Anwenderrichtlinien bezüglich ICT-Sicherheit (z. B. Passwortrichtlinien oder Umgang mit Daten und ICT-Infrastruktur). 

Die Gestaltung solcher Massnahmen ist oftmals ein zeitraubender Kraftakt (gerade für KMU) – hier kann auf eine Vielzahl von Dienstleistern zurückgegriffen werden, welche die Unternehmen unterstützen können. 

46 % der grösseren Unternehmen (ab 100 MA) und 43 % der KMU (bis 100 MA) nehmen denn auch gerne externe Services in Anspruch und fahren dabei ein Hybrid-Modell: interne Sicherstellung der ICT, mit Unterstützung eines externen Anbieters.

Die (meisten) KMU haben in der Zwischenzeit erkannt, dass ein Cyberangriff auch sie treffen kann und schätzen in unserer Studie mit 63 % das Risiko, Opfer einer Cyberattacke zu werden, als hoch ein. Eine der grössten Gefahrenquellen ist dabei (sowohl für KMU als auch grössere Unternehmen) der Umgang der Mitarbeitenden mit E-Mail und dem Internet allgemein.

So birgt für die Befragten das bewusste oder auch unbewusste Öffnen unsicherer, unbekannter Links oder auch das Anklicken infizierter Attachments aus «Phishing Mails» das grösste Risiko für die ICT. Es ist denn auch für über die Hälfte aller Unternehmen die fehlende Awareness der Mitarbeitenden, welches als grösste Hürde zur Umsetzung und Einhaltung der IT-Sicherheit genannt wird. Kein Wunder haben fast alle befragten Unternehmen zum Ziel, sich in diesem Jahr der Awareness-Schulung von Mitarbeitenden zu widmen. 

Die Sensibilisierung der Mitarbeitenden und Schaffung einer hohen Awareness für die Gefahren vermindert das Risiko, Opfer einer Cyberattacke zu werden. Analog zum Fussball: nebst dem guten «Torwart» als Schutzschild, der alle Attacken abwehrt, braucht es Training, Training, Training.  

Corinne Jost, Head of Marketing, MSM Research AG