Die Regel ist an sich einfach und einleuchtend: In Räumen, in denen sich viele Menschen aufhalten und bewegen, wächst auch die Kriminalität. Das gilt für öffentliche Plätze, im Verkehr, am Weihnachtsmarkt, im Stadion – und im Internet. Die Online-Kriminalität steigt mit der Zahl der Internet-User. Das Problem dabei ist, dass sich viele kleinere und mittlere Unternehmen dieser Gefahr nicht genügend bewusst sind. Selbst etablierte Systeme sind vor Hackern nicht sicher und bedürfen einer ausgeprägten Wachsamkeit aller Mitarbeitenden.
Hackversuche nehmen zu – mit teuren Folgen für KMU
2014 ergab eine repräsentative Umfrage des «Ponemon Institute» bei deutschen Unternehmen eine durchschnittliche Schadenhöhe von 6.1 Mio. Euro (mit einer Spannbreite von 425’000 bis 20.2 Mio. Euro) jährlich. Auch die Zahlen des deutschen Bundeskriminalamts (BKA) sprechen dieselbe Sprache: 2012 wurden in Deutschland 229’408 Straftaten festgestellt, auf die das Merkmal «Tatmittel Internet» zutraf. In der Schweiz stapeln sich momentan bei der Bundesanwaltschaft 240 Fälle von Cybercrime. Auch meldet die Polizei ständig neue Formen von trügerischen Emails, E-Banking-Missbrauch und Schadsoftware. Die Melde- und Analysestelle Informationssicherung (MELANI) des Bundes weist KMU explizit darauf hin, ihre Sicherheitsanstrengungen auf zwei Ebenen zu unternehmen: auf organisatorischer und technischer Ebene.
Security beginnt mit den Mitarbeitenden
Im Merkblatt des Bundes heisst es, «dass technische Massnahmen alleine nicht genügen, um die IT-Sicherheit in einem Unternehmensnetzwerk zu gewährleisten. Zusätzlich sind immer auch organisatorische Massnahmen notwendig.» Kleinere und mittlere Betriebe sind gleichermassen von Sicherheitsdefiziten im organisatorischen Bereich betroffen. Dabei sind nicht alleine die mangelnden Sicherheitseinstellungen das Problem: Security beginnt in den Köpfen der Mitarbeiterinnen und Mitarbeiter. Im Umgang mit der ICT sollten diese über die aktuellen Regeln Bescheid wissen. Der erste und wichtigste Schritt, die Basis für alle weiteren Massnahmen, muss es sein, sämtliche Angestellten umfassend über die Regeln zu informieren.
Dies sollte regelmässig passieren, denn die Gefahren im Netz wandeln sich stetig; die Massnahmen müssen entsprechend laufend aktualisiert werden. Nur so kann, in Kombination mit zuverlässiger Technik und Software, die eigene Security erhöht und die Wahrscheinlichkeit einer teuren Sicherheitslücke gesenkt werden.
Mehr zum Thema IT-Sicherheit findet sich zum Beispiel in der NZZ.ch – IT-Sicherheit, Drucker spucken rassistische Flyer aus