"Kleinere Firmen denken oft, dass Sicherheitsrisiken sie nicht betreffen"
Reto Fankhauser ist Senior Security Architect bei Elca Zürich. Im Interview erklärt er, welche falschen Annahmen ihm hinsichtlich der Risikobewertung häufig begegnen.
Herr Fankhauser, hat sich das Sicherheitsbewusstsein Ihrer Kunden in den letzten Jahren verändert?
Ich würde sagen, dass das Bewusstsein rund um Datensicherheit die letzten Jahre zugenommen hat. Gerade in Branchen, die heikle Daten verarbeiten, hat das Thema in letzter Zeit merklich an Zugkraft gewonnen. Dass ein Wandel im Umgang mit der Thematik stattgefunden hat, bemerke ich auch daran, dass heute Sicherheitshinweise ernster genommen werden als noch vor einigen Jahren. Gleichzeitig besteht heute im Zusammenhang mit den ganzen Geheimdienstgeschichten auch ein grösserer Hang zur "Angstmacherei". Es ist nicht immer ganz einfach, zwischen berechtigten Zweifeln und Paranoia zu unterscheiden.
Welche Unterschiede in Bezug auf das Sicherheitsbewusstsein stellen Sie fest?
Es gibt zunächst branchenspezifische Unterschiede. Finanzdienstleister sind beispielsweise nur schon aufgrund ihrer Compliance-Anforderungen und des Risikos eines Reputationsverlusts bei einem Vorfall besonders sensibilisiert. In Branchen, die vielleicht etwas weniger heikle Daten verarbeiten, ist das Sicherheitsbewusstsein vergleichsweise weniger entwickelt. Das Sicherheitsbewusstsein einer Firma hängt nicht zuletzt von ihrer Grösse ab. Für gewöhnlich haben grössere Firmen mehr Sicherheitsbewusstsein als kleinere und mittlere Unternehmen. Das liegt oftmals ganz einfach am Budget. Kleinere Unternehmen haben nicht immer die Mittel, einen eigenen Security-Officer zu beschäftigen, der sich um solche Themen kümmert. Dann ist sicher auch entscheidend, wie eine Firma aufgestellt ist. Bei internationalen Playern, die verschiedene Niederlassungen haben, sind Vernetzung und Datentransfer zwischen verschiedenen Rechenzentren meistens schon länger ein Thema. Entsprechend ist bei solchen Unternehmen auch ein ausgeprägtes Sicherheitsbewusstsein vorhanden. Bei Firmen, die nur einen Sitz haben und nicht so viel nach aussen kommunizieren, stehen Sicherheitsüberlegungen weniger im Vordergrund.
Was sind die wichtigsten Sicherheitsbedenken Ihrer Kunden?
Zum einen sorgen sich Unternehmen um die Sicherheit von heiklen Daten. Dann geht es Firmen oft um die Sicherheit ihres geistigen Eigentums. Dabei stellt also ein bestimmtes Wissen für das Unternehmen ein wichtiger Trumpf dar. Die Sicherheit von geistigem Eigentum ist insbesondere bei Firmen im Forschungs- und Entwicklungsbereich ein grosses Thema. Für solche Unternehmen ist der Diebstahl von neuen Erkenntnissen vor ihrer Markteinführung katastrophal, denn sie verlieren dadurch ihren eigentlichen Wettbewerbsvorteil. Im Bereich der Cloud stellt nicht nur die Lagerung der Daten ein Sicherheitsrisiko dar, sondern auch das Prozessieren der Daten. Wenn Unternehmen die Cloud zum Rechnen gebrauchen, müssen sie sich bewusst machen, dass auch die von ihnen verwendeten Algorithmen in der Cloud sind. Wenn das gewöhnliche Algorithmen sind, spielt das natürlich keine Rolle. Aber es gibt immer wieder Kunden, die viel Wissen in eigene Algorithmen stecken. Wenn diese gestohlen und an die Konkurrenz verkauft werden, können Unternehmen dadurch zu Schaden kommen.
Auf welche falschen Annahmen treffen Sie regelmässig im Security-Bereich?
Die vielleicht häufigste falsche Annahme, die mir zu Ohren kommt, ist "das betrifft mich nicht". Gerade kleinere Unternehmen haben oft die Vorstellung, dass sich niemand für ihre Infrastruktur interessiere, da man dort "ja gar nichts Böses" anstellen könne. Unternehmen gehen von klassischen Vorfällen aus, wenn beispielweise jemand in das Netzwerk einbricht oder den Webservice abstellt. Auf diesen Ebenen haben die Unternehmen das Gefühl, dass es bei ihnen gar nichts zu holen gibt. Wenn ich ihnen dann zeige, welchen Risiken ihre Infrastruktur sonst noch ausgesetzt ist und welcher Wert in ihren Daten steckt, realisieren sie erst die eigentlichen Gefahren.
Was raten Sie Ihren Kunden ganz allgemein?
Unternehmen müssen sich zunächst bewusst machen, was sie für Daten besitzen. Dann müssen sie sich im Klaren darüber werden, welchen Wert diese Daten für das Unternehmen haben. Schliesslich müssen sie in einer nüchternen Risikoanalyse herausfinden, wie sie ihre unterschiedlichen Daten schützen können. Ich stelle immer wieder fest, dass Unternehmen nicht genau wissen, welche Bedeutung ihre Daten haben. Darum empfehle ich den Unternehmen, den unterschiedlichen Datentypen einen Wert zu vergeben. In einem solchen Prozess gelangen sie dann oft zur Einsicht, dass sie nicht unbedingt die teuerste Lösung für sämtliche Daten verwenden müssen.
Nomasis feiert 20-Jahre-Jubiläum
Cyberangriffe auf die Schweiz nehmen ab
Fortune-500-Unternehmen werden an Menschen im Kundendienst festhalten
So könnten Cyberkriminelle Sicherheitsabfragen von KI-Agenten manipulieren
Dies sind die Abenteuer des Patrick Starship Enterprise
Update: iWay sucht Nachfolger für CEO Markus Vetterli
Was OpenAI-Daten über ChatGPT-User verraten
2024 hat der Bund 1,63 Milliarden Franken in ICT investiert
Kontrollverlust durch KI ist kein Risiko mehr, sondern Realität
