«Machen Sie IT-Sicherheit zur Chefsache»

Herr Weihrich, was sagen Sie zu den Resultaten der aktuellen Cybersecurity-Studie?
Hierzu müsste ich die Bewertungskriterien dieses Berichtes im Detail prüfen und analysieren. Interessant ist ja, dass im entsprechenden Bericht zu lesen ist, die Schweiz hätte offenbar keine Rückmeldung auf den ihr zugestellten Fragebogen gegeben. Hier wurden die Daten wohl vom CGI Team zusammengestellt – was eine Einschätzung umso schwieriger macht. Aber interessant ist in diesem Zusammenhang ja eigentlich etwas anderes.

Und das wäre?
Laut der von Cisco regelmässig veröffentlichen Studie «Readiness Index» unterscheidet sich die Anzahl von IT-Vorfällen betroffener Unternehmungen in der Schweiz gegenüber der weltweiten Betrachtung nicht. Hingegen sind die dadurch verursachten Schäden in der Schweiz pro Vorfall fast doppelt so hoch wie im Ausland. Unsere Einblicke in IT-Infrastrukturen anderer Länder lassen zudem den Schluss zu, dass vorwiegend in höher entwickelten Ländern Angriffe und Vorfälle überhaupt erkannt und gemeldet werden. Dies lässt die Schlussfolgerung zu, dass die Schweiz besser aufgestellt ist, als allgemein berichtet wird.

Dennoch erreichen laut dem Index nur gerade 9% der Unternehmen hierzulande den höchsten Reifegrad beim Schutz gegen moderne Sicherheitsrisiken, wie beispielsweise Malware, Phishing und DDoS-Attacken. Gibt es aktuell weitere Risiken, die Unternehmen beachten sollten?
Mit der Weiterentwicklung der Informationstechnologien steigt auch die Varianz an Risiken. Wichtig ist aus meiner Sicht deshalb, die Resilienz eines IT-Systems bzw. einer Unternehmung im Fokus zu haben – also die Fähigkeit, im Falle eines Angriffs durch geeignete Vorkehrungen widerstandsfähig zu sein. Damit ist die Unternehmung im Falle eines Falles vorbereitet und kann den Schaden minim halten. Ich vergleiche das gerne mit unserer heutigen Mobilität.

Inwiefern?
Sie fahren angegurtet, nutzen zahlreiche Assistenten zur Erhöhung der Sicherheit, und haben Versicherungskarte, Unfallprotokoll und die wichtigsten Kontakte im Handschuhfach griffbereit. Leider verfügen heute in der Schweiz noch zu wenige insbesondere kleinere Unternehmungen über einen Desaster Recovery Plan als einen Notfallplan für IT-Vorfälle – das unternehmerische Handschuhfach ist leer.

Abgesehen von diesem Plan. Welche Sicherheitsvorkehrungen sind notwendig, um den höchsten Reifegrad beim Schutz gegen Sicherheitsrisiken zu erreichen?
Es ist für viele Unternehmungen sicherlich erstrebenswert, den höchsten Reifegrad zu verbuchen. Andererseits müssen alle Massnahmen auch bezahlbar und auf die individuellen Sicherheits-Bedürfnisse abgestimmt sein. Gemeinsam mit einem IT-Dienstleister stehen die Chancen gut, einen in diesem Spagat sinnvollen Massnahmenplan mit vernünftigem Preis-Leistungsverhältnis zu erarbeiten. Gerade auch für kleinere Unternehmen. Von den staatlichen Stellen und Branchenorganisationen gibt es heute gute Richt- und Leitlinien für einen Grundschutz, auf dem der unternehmensspezifische Schutz aufgebaut werden kann. Werden diese Vorgaben konsequent angewendet, bin ich davon überzeugt, dass die Bewertungen und damit die Resilienz rasch ansteigen werden.

Auffällig ist, dass Schwellenländer wie Indonesien (39%), die Philippinen, Thailand (je 27%) oder Brasilien (26%) in der Studie deutlich besser abschneiden als Deutschland und England (je 17%), die USA (13%), Japan (5%) oder eben die Schweiz. Wie kann es sein, dass die «reiche» und hoch entwickelte Schweiz hier so hinterherhinkt?
Bei den durch uns selbst durchgeführten Analysen stellen wir immer wieder fest, dass eine genaue Zuordnung der Betriebskosten zur IT-Sicherheit unterschiedlich gehandhabt wird. Oft werden z.B. die Aufwendungen für das Monitoring, für die regelmässigen Aktualisierungen und Erneuerungen im Bereich der Schutzeinrichtungen den allgemeinen Betriebs- oder Wartungskosten zugeordnet. Nur ausserordentliche Investitionen werden dem «Konto» Sicherheit zugeordnet. Grundsätzlich sehe ich aber viel mehr das «wie wird investiert» und nicht das «wieviel wird investiert» im Vordergrund.

Mit Ihrem Team bieten sie Awareness Trainings für Mitarbeiter an und entwickeln innovative Lösungen in der Systemtechnik – zuletzt einen hochspezifischen Security Scan für KMU. Wie funktioniert dieses Tool?
Nach dem durch uns bereitgestellten Schwachstellen-Scan erhält der Kunde einen entsprechenden Scan-Report. Im Rahmen des Sicherheitspaketes, basierend auf dem Scan-Report, durchleuchten wir das gesamte Netzwerk samt aller beteiligten Geräte auf Schwachstellen. Ebenso sind organisatorische Abläufe, welche die IT-Sicherheit des Unternehmens unterstützen, Teil der Betrachtung. Anhand des im Anschluss erstellten Berichts, bestehend aus den Erkenntnissen der Analyse sowie unseren Empfehlungen zur Optimierung des IST-Zustands, besprechen wir gemeinsam mit dem Kunden bedarfsgerechte Massnahmen und setzen diese, wenn gewünscht, um, oder geben die Informationen an den bestehenden IT-Dienstleister weiter.

Wird dabei nach dem Pareto-Prinzip gehandelt, kann die Sicherheit praktisch immer bereits mit minimalem Aufwand erhöht werden. Gerade bei bereits ISO-zertifizierten Betrieben ist es zudem mit wenig Aufwand möglich, die bestehenden Risiken einzuschätzen und geeignete, auch organisatorische, Massnahmen einzuleiten.

Wo sehen Sie mit Ihrer Erfahrung das grösste Verbesserungspotential in KMU?
Im Bereich Awareness auf allen Stufen und in der konsequenten Umsetzung und Einhaltung der empfohlenen Massnahmen. Auf Stufe der Geschäftsführung geht es darum, sich dem Thema IT Security aktiv anzunehmen, Chancen und Risiken zu ermitteln und geeignete Massnahmen zu budgetieren. Damit ist nicht eine generelle Budgeterhöhung gemeint, sondern eine aktive, zielgerichtete Führung im Bereich IT Sicherheit. Im operativen Bereich geht es darum, die festgelegten Massnahmen immer und konsequent anzuwenden – die Sicherheitsgurte anlegen, wenn ich in das Fahrzeug einsteige.

Und welchen abschliessenden Experten-Rat haben Sie für Unternehmer?
Machen Sie IT-Sicherheit zur Chefsache, investieren Sie in Massnahmen, die die Resilienz Ihrer Unternehmung im Falle eines Sicherheitsvorfalls stärkt.

Interview: Patrick Stämpfli
Bild: Thomas Hary