Security Die Angriffsformen auf die IT von Unternehmen – auch kleinen – werden immer raffinierter und perfider. Wichtig ist nicht die Höhe der Kosten für den Schutz, es sind die richtigen, integrierten Massnahmen.
Egal, welche IT-Studie man zur Hand nimmt: Der Anteil jener Schweizer KMU, die bereits einmal angegriffen wurden, ist zweistellig. Das kann kein Unternehmen kalt lassen. Und in dieser Zahl sind all die Unternehmen noch nicht eingerechnet, die zwar bereits Opfer eines Angriffs wurden, es aber – bisher – nicht bemerkt haben. Dabei helfen auch im Tresor verstaute Backups nicht immer weiter, denn viele Viren schlafen lange und schlagen dann zu. Viele KMU halten sich zu Unrecht für zu wenig interessant.
Oft reicht es, unbedacht einen plausibel erscheinenden Anhang eines gut gefälschten Mails zu öffnen, um in Schwierigkeiten zu geraten. Bemerkt wird das oft erst später. Bei Spear-Phishing-Attacken machen sich die Angreifer sogar die Mühe, extra auf eine einzelne Person abgestimmte Inhalte zu generieren. Betroffen sind hier vor allem die Angestellten in der Finanzabteilung, da sie die interessantesten Daten und Passwörter besitzen.
Es ist wichtig, IT-Security nicht als isoliertes IT-Problem zu betrachten und dorthin zu delegieren. Wer bewusst oder unbewusst Passwörter weitergibt, Programme nicht auf dem neuesten Stand hält und kein Auge auf selbst mitgebrachte Geräte («Bring your own device») hat, macht sich auf jeder Hierarchiestufe mitschuldig. Die Schulung der Mitarbeitenden ist ebenso wichtig wie eine von der Führung vorgelebte Sicherheitskultur. Ausserdem dürfen die IT-Prozesse und Alarmsysteme nicht isoliert funktionieren, sie müssen unternehmensweit und darüber hinaus in ihrem Zusammenspiel beobachtet werden.
Beliebt war bei den KMU lange die Diskussion pro und contra Cloud. Natürlich tut man gut daran, keinen Wolken-Anbieter zu wählen, der auf irgendeine Weise zu eng mit anderen Staaten verknüpft ist (Stichwort US Cloud Act mit dem Zwang zur Herausgabe auch von in der Schweiz gelagerten Daten); aber daraus den Schluss zu ziehen, lieber gleich ganz auf Cloud-Lösungen zu verzichten, wäre falsch. Denn die Inhouse-Datenhaltung ist mindestens so gefährlich, zumal man dabei in der Regel auf die Schnelligkeit und Professionalität externer Fachleute verzichtet. Das Mittel der Wahl dürfte die Mischform der hybriden Cloud sein.
Statt der Ritterrüstung, die irgendwann doch geknackt wird, empfiehlt sich eher die Strategie eines Chamäleons: Man verschlüssle die Daten bei jedem Neustart neu. So verändert man die «Farbe» und wird weniger gut erkannt.
Es hilft zumindest auch ein Stück weit, besser geschützt zu sein als der Nachbar. So wie man nicht schneller sein muss als der Löwe, sondern nur schneller als der ebenfalls flüchtende Kollege.