Die Digitalisierung eröffnet KMU viele Chancen – stellt sie aber auch vor neue Sicherheitsfragen. Besonders bei der Auslagerung der IT an externe Dienstleister gilt es, die richtigen Fragen zu stellen. Denn auch ohne technisches Fachwissen können IT-Verantwortliche oder Geschäftsführende dafür sorgen, dass ihr Unternehmen gut geschützt ist. Dieser Beitrag zeigt, wie mit gezielten Gesprächen die IT-Sicherheit des Betriebs gestärkt und so die Basis für eine sichere digitale Zukunft geschaffen wird.
Die Digitalisierung eröffnet kleinen und mittleren Unternehmen (KMU) zahlreiche Chancen, bringt aber auch neue Risiken mit sich. Ein besonders wichtiger Aspekt ist dabei die Sicherheit der IT-Systeme. Viele KMU in der Schweiz betreiben ihre IT nicht selbst, sondern verlassen sich auf externe Dienstleister. Doch wie sicher sind deren Daten und Systeme wirklich? Und wie können Geschäftsführerinnen oder Geschäftsführer sicherstellen, dass sie und das Unternehmen gut geschützt sind – auch wenn sie selbst keine Technikprofis sind? Die folgenden fünf Fragen helfen, das Gespräch mit dem IT-Dienstleister zu führen und die richtigen Weichen für die Sicherheit des Unternehmens zu stellen:
Wer ist für die technische IT-Sicherheit verantwortlich – und für welche Bereiche?
Es ist wichtig zu klären, wer sich genau um welche Teile der IT-Sicherheit kümmert. Viele Dienstleister übernehmen die Grundinfrastruktur, also zum Beispiel Netzwerke, Server und Computerbetriebssysteme. Anwendungen, die sie selbst installiert haben, z. B. die Buchhaltungssoftware oder Eigenentwicklungen, sowie die darin gespeicherten Daten bleiben aber oft in ihrer Verantwortung. Daher sollte man gezielt nachfragen, welche Bereiche der externe Dienstleister abdeckt und welche nicht. Auch muss geklärt werden, ob alle notwendigen Sicherheitsdienste, wie z. B. Backups oder Zugriffsmanagement, im Grundangebot enthalten sind oder ob zusätzliche Leistungen beauftragt und bezahlt werden müssen. Es sollte geprüft werden, ob der aktuelle Schutz für das Unternehmen ausreicht oder ob zusätzliche Schutzmassnahmen empfohlen werden.
Beispiel: Firewalls an der UnternehmensgrenzeFirewalls schützen das Unternehmensnetzwerk, indem sie unerlaubte Zugriffe abwehren und Angriffe blockieren. Dennoch werden immer wieder Schwachstellen in Firewall-Software entdeckt, die von angreifenden Personen ausgenutzt werden können. Schnelles Handeln ist gefragt: Nach Bekanntwerden muss der Hersteller die Lücke schliessen – und der IT-Dienstleister das Update rasch installieren. Firewalls protokollieren auch Angriffsversuche und können Alarme auslösen. Doch wer überwacht diese Protokolle und reagiert auf Warnungen? Wie schnell erfolgt die Reaktion? Es sollte geklärt werden, ob diese Aufgaben vom IT-Dienstleister übernommen werden oder ob dafür andere Lösungen vorgesehen sind. |
Wie sicher sind die Backups?
Backups sind wie eine Lebensversicherung für Daten. Sie sollten regelmässig und zuverlässig erstellt werden – und zwar nicht nur auf einzelnen Computern, sondern für alle wichtigen Geräte und Datenbereiche. Es sollte geklärt sein, in welchen Abständen Backups erfolgen, ob alle relevanten Geräte abgedeckt sind und wie schnell im Notfall eine Wiederherstellung möglich ist. Zudem ist zu klären, wie die Backups selbst geschützt werden, damit sie nicht bei einem Angriff ebenfalls gelöscht oder verschlüsselt werden können. Besonders sicher sind Backups, die ausserhalb des Firmennetzwerks gespeichert werden oder sogar komplett vom Netz getrennt sind.
Wie sind die Kundennetzwerke voneinander und vom Anbieter getrennt?
Ein häufiger Fehler liegt in der mangelnden Trennung von Kundennetzwerken. Wenn der Dienstleister mehrere Kunden betreut, sollten diese Umgebungen voneinander abgeschirmt sein. So wird verhindert, dass sich ein Angriff auf einen Kunden auch auf andere Unternehmen ausweitet. Auch das Netzwerk des Dienstleisters selbst sollte strikt von den Netzwerken seiner Kunden getrennt sein. Es sollte konkret geprüft werden, wie die Trennung zwischen den Systemen umgesetzt ist. Nur so lässt sich sicherstellen, dass ein Angriff auf den Dienstleister nicht automatisch auch Auswirkungen auf das eigene Unternehmen hat.
Wie wird der Fernzugriff auf die Systeme abgesichert?
Fernzugriffe auf das Firmennetzwerk oder deren Daten sind praktisch, z. B. aus dem Homeoffice, aber auch ein beliebtes Ziel für angreifende Personen. Ein besonders wirksamer Schutz ist die Mehrfaktor-Authentifizierung. Das bedeutet, dass niemand allein mit einem Passwort aus dem Internet auf die Systeme zugreifen kann. Ein zusätzlicher Schritt – zum Beispiel ein Code auf dem Handy oder eine spezielle App – sollte immer nötig sein. Es sollte geprüft werden, ob und in welcher Form diese zusätzliche Absicherung sowohl beim eigenen Unternehmen als auch beim IT-Dienstleister umgesetzt ist. Zudem ist zu klären, ob alle Mitarbeitenden, die aus der Ferne auf das Netzwerk zugreifen, diesen Schutz verpflichtend nutzen müssen.
Wie erkennt und reagiert der Dienstleister auf Angriffe?
Auch mit den besten Vorsichtsmassnahmen kann es passieren, dass ein Angriff gelingt. Dann ist es entscheidend, wie schnell dieser erkannt und darauf reagiert wird. Es sollte beim Dienstleister abgeklärt werden, ob die Systeme kontinuierlich überwacht werden, um verdächtige Aktivitäten frühzeitig zu erkennen. Ebenso ist zu klären, ob ein internes Team für schnelle Reaktionen im Ernstfall zur Verfügung steht – idealerweise rund um die Uhr. Auch das Vorhandensein eines Notfallplans sowie dessen praktische Erprobung sollten überprüft werden. Darüber hinaus ist festzustellen, ob der IT-Dienstleister im Falle eines Angriffs selbstständig bei der Wiederherstellung der Systeme unterstützen kann oder ob dafür externe Partner erforderlich sind.
Dies sind die fünf wichtigsten Fragen, um das Unternehmen gut abzusichern. Darüber hinaus gibt es jedoch viele weitere Sicherheitsaspekte, die hier nicht im Detail behandelt wurden. Diese sind in anerkannten Standards umfassend dokumentiert – beispielsweise im Schweizer IKT-Minimalstandard des Bundesamts für Cybersicherheit oder im IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik (BSI) aus Deutschland. Grundsätzlich ist es ratsam, wenn der IT-Dienstleister regelmässig extern geprüft wird und über eine anerkannte Sicherheitszertifizierung verfügt. So lässt sich sicherstellen, dass die grundlegenden Schutzmassnahmen tatsächlich umgesetzt werden. Beispiele für solche Cyber-Zertifizierungen sind das Schweizer Cyberseal sowie internationale Standards wie ISO 27001 oder das Sicherheitsrahmenwerk SOC 2.
|
Der Schutz vor Cyberrisiken gewinnt zunehmend an Bedeutung. Die genannten Fragen sind ein wichtiger Schritt, um das eigene Sicherheitsniveau zu beurteilen und aktiv zu verbessern. Doch jedes Unternehmen ist einzigartig – und die passenden Lösungen sollten individuell auf deren Bedürfnisse zugeschnitten sein. Zurich bietet massgeschneiderte Cyberlösungen und gewährleistet Unternehmen eine umfassende Absicherung – damit der Fokus auf dem operativen Kerngeschäft bleiben kann. |
Fazit
Auch wenn IT-Sicherheit auf den ersten Blick komplex erscheint – mit den richtigen Fragen kommt man der Sache näher. Es ist nicht nötig, ein Technikprofi zu sein, um das Unternehmen wirkungsvoll zu schützen. Ein offener Austausch mit dem IT-Dienstleister sowie verständliche Erklärungen und klare Vereinbarungen bilden die Grundlage für eine sichere und erfolgreiche Zukunft des Unternehmens. Dieser Artikel entstand in Zusammenarbeit mit unserem Partner Compass Security. www.compass-security.com ■
Cyrill Brunschwiler, Compass Security: «Transparenz, Zusammenarbeit und der Wille zur Verbesserung sind die Grundlage für eine wirksame Cyberscherheit – da unterstützen wir gern.»
Zürich Versicherungs-Gesellschaft AG
|
 |