Diese Security-Fehler bringen Unternehmen ins Schwitzen

Cyberangriffe können für Firmen verheerende Folgen haben. Welche Fehler machen Unternehmen am häufigsten und wie kann man diese vermeiden? bild: ffhs/ki-generiert

Diese Security-Fehler bringen Unternehmen ins Schwitzen

Ein Angriff kann für Firmen verheerende Folgen haben. Dabei wären häufige Stolperfallen oft einfach und ohne grosse Zusatzkosten in den Griff zu bekommen. Cyber-Security-Experte Peter Berlich von der FFHS erklärt, worauf es ankommt.

Führung ohne Cyber-Verantwortung

Die Cyber Security des Unternehmens ist keine blosse technische Aufgabe, sondern liegt in der Führungsverantwortung der Unternehmensleitung. Organisationen jeder Grösse, vom KMU bis zum Grosskonzern, müssen sich dieser Verantwortung stellen.

Das Gefühl, zu klein oder zu unbedeutend zu sein, ist immer trügerisch. Auch kleine Organisationen sind Teil grösserer Wertschöpfungsketten und können darum ein attraktives Angriffsziel sein. Cyberangriffe sind eine globale Industrie. Angreifer agieren mit standardisierten Abläufen, automatisierten Angriffswerkzeugen und können ihre Angriffe ohne Zusatzaufwand skalieren.

Daher ist die Beschäftigung mit Risiken aller Art regelmässig Aufgabe von Vorstand und Verwaltungsrat.

Schlechtes Datenmanagement

Daten sind heute das Herzblut des Unternehmens. Das heisst aber nicht, dass alle Informationen die gleiche Bedeutung für den Unternehmenserfolg haben. Wichtige Informationen, insbesondere solche, für die eine Aufbewahrungspflicht besteht, sollten gepflegt, kontrolliert abgelegt und geschützt werden. Unwichtige Informationen wie temporäre Arbeitsdateien oder Notizen sind nach Ablauf ihrer Nützlichkeit zu löschen.

Zur Unternehmens- und Cybersicherheit gehört daher Data Governance: Die im Unternehmen zirkulierenden Daten müssen über ihren Lebenszyklus kontrolliert und geschützt werden. Speziell bei persönlichen Daten greift darüber hinaus die Datenschutzgesetzgebung, die eine ausschliesslich zweckgebundene Verwendung der gesammelten Informationen vorschreibt.

Ein Beispiel für eine kritische Informationssammlung sind E-Mail-Archive im Unternehmen. E-Mail (oder Chats) sind der Leim, der ein Unternehmen zusammen und auch schlecht gepflegte Prozesse am Laufen hält. Entsprechend sammeln sich hier Informationen, die eine detaillierte Nachverfolgung von Abläufen ermöglichen und entsprechend wertvoll sind diese Archive für das Unternehmen, aber auch für Angreifer. Eine sichere Speicherung, verbunden mit starker Authentifizierung, sind hier Pflicht.

Veraltete Technik im Einsatz, neue Technik nicht im Griff

Im Englischen gibt es den prägnanten Ausdruck der «Technical Debt» – technische «Schulden» oder auch technischer Rückstand. Dieser Begriff bezeichnet ungepflegte IT-Landschaften, die beispielsweise mit veralteten Anwendungen oder ungepatchten Betriebssystemen arbeiten.

Ein Beispiel ist die Ablösung des verbreiteten Betriebssystems Windows 10 durch seine Nachfolgeversion, Windows 11. Wie schon bei ähnlichen Generationswechseln in den vergangenen zwei Jahrzehnten wird die Migration gerne bis zum letzten Moment aufgeschoben. Durch diese Unterlassung entstehen Sicherheitslücken für das Unternehmen, weil technische Schwachstellen zwar weiter neu bekannt werden, aber nicht mehr behoben werden. Als teure Alternative bleibt für eine begrenzte Zeit ein Vertrag über verlängerten Support mit dem Hersteller. Neben der Ausmusterung alter Technik gilt es, sich auch mit neuer Technik zu beschäftigen. Die Informationstechnologie sorgt seit Jahrzehnten für eine steile Innovationskurve und Unternehmen müssen sich mit diesen Innovationen auseinandersetzen, ob sie wollen oder nicht.

Was man bei Internet und Cloud erlebt hat, wiederholt sich derzeit mit KI: Mitarbeitende, die die neuen Möglichkeiten für ihre Arbeit nutzen wollen, werden Wege finden, dies zu tun, auch wenn das Unternehmen noch nicht so weit ist. Ob KI-generierte Inhalte überhaupt schützbar sind, ist Gegenstand der Diskussion und der laufenden Gesetzgebung. Dass Daten dabei grenzüberschreitend verarbeitet werden, sorgt für zusätzliche rechtliche Unsicherheit.

Unternehmen sollten neue Technologien strategisch einsetzen. Das heisst auch, sie als Chance zu begreifen. Eine Verweigerungshaltung gegenüber ihrem Einsatz schafft nicht nur strategische Nachteile, sondern birgt das Risiko eines unkontrollierten Einsatzes durch wohlmeinende Mitarbeitende auf allen Ebenen.

Strategisch handeln, Talente entwickeln und einsetzen

Wie können Unternehmen heutzutage in der Cyber Security noch mithalten? Sicherheit ist eine notwendige Investition, um inhärenten Risiken zu begegnen. Eine funktionierende Cybersicherheit ermöglicht erst eine nachhaltige IT und einen nachhaltigen Betrieb des Unternehmens.

Klar ist: Wirksame und umfassende Cybersicherheit lässt sich nicht allein mit Technologie erreichen – sie erfordert gezielte Investitionen in die Menschen im Unternehmen. Drei Punkte sind dabei zentral:

1. Die Führungsebene muss sich auf das Thema einlassen und ihre Verantwortung wahrnehmen.

Sie muss sich, falls notwendig, durch eigene Weiterbildung kundig machen, und ihre Vorbildrolle wahrnehmen.

2. Das Unternehmen muss in die eigenen IT- und Cybersicherheitsexperten investieren.

Auch angesichts einer Knappheit an Fachkräften, kann die Lösung nicht darin liegen, auf diese zu verzichten. Vielmehr können Unternehmen in die Entwicklung der eigenen Mitarbeitenden investieren. Umgekehrt tun Mitarbeitende und Stellensuchende gut daran, ihr eigenes Profil im Bereich Cybersicherheit zu schärfen.

3. Sensibilisierung der Mitarbeitenden ist ein Grundpfeiler der Firmensicherheit.

Mitarbeitende auf allen Ebenen und in allen Bereichen müssen sich über ihre Verantwortung im Klaren sein und wissen, was von ihnen erwartet wird. Eine positive Fehlerkultur hilft, Unsicherheiten zu beseitigen und eine offene Auseinandersetzung mit bestehenden Problemen zu fördern.

Wie sollten Unternehmen mit dem Thema Cyber Security umgehen? Schreibt es in die Kommentare!