Weshalb in puncto Cybersecurity weniger manchmal mehr ist
Cyberbedrohungen nehmen weltweit stetig zu, genauso wie die Zahl der Cybersecurity-Anbieter und -Lösungen. Weshalb weniger manchmal mehr ist, und wie Unternehmen das IT-Security-Bewusstsein bei den Mitarbeitenden schärfen können, erklärt Tobias Franz, CTO bei Somnitec.
Cyberangriffe nehmen weltweit kontinuierlich zu. Gleichzeitig drängen immer mehr Cybersecurity-Anbieter auf den Markt. Was raten Sie kleinen und mittleren Unternehmen, die sich mit dieser Situation überfordert fühlen?
Tobias Franz: Für KMUs ist es entscheidend, dass sie sich proaktiv mit dieser Thematik auseinandersetzen. Dabei dürfen sie sich nicht von der Grösse und der Komplexität der Herausforderungen abschrecken lassen. Auch bei KMUs sollte die Cybersecurity fest in der Organisation verankert sein. Unternehmen benötigen klare interne Verantwortlichkeiten für Sicherheitsangelegenheiten, damit Massnahmen schnell koordiniert und effektiv umgesetzt werden können. Unternehmen, die eine Vielzahl an Tools implementiert haben, sind jedoch nicht automatisch besser geschützt – im Gegenteil. Es ist ratsam, die Tools zu verschlanken, dafür aber umso mehr auf die gewonnenen Informationen und Alarme zu reagieren. Weniger ist in puncto Cybersecurity manchmal mehr.
Welchen Einfluss hat der IT-Fachkräftemangel auf die Cybersecurity in KMUs?
Gerade im Bereich Cybersecurity ist der Fachkräftemangel noch stärker ausgeprägt als in anderen IT-Bereichen. Für KMUs wird es zunehmend schwierig, erfahrene Fachkräfte zu gewinnen und sie zu halten. Ebenso laufen KMUs Gefahr, in ungesunde Abhängigkeiten von Einzelpersonen zu geraten. Die Unternehmen müssen deshalb lernen, ihre vorhandenen Ressourcen klug einzusetzen und passende Partner zu finden, um den bestmöglichen Schutz zu erreichen.
Wie können KMUs mit begrenzten Ressourcen Cyberbedrohungen begegnen?
Firmen können verschiedene Massnahmen ergreifen. Die Unternehmensleitung sollte zwingend Cybersecurity in der Strategie sowie in der Organisation verankern und bei den eigenen Mitarbeitenden das IT-Sicherheitsbewusstsein fördern und einfordern. Zudem können KMUs Self Assessments durchführen. Wer es vereinfacht mag, kann mit Tools von Versicherungen einsteigen oder sich alternativ am IKT-Minimalstandard messen. Dies verschafft ein klares Bild zum eigenen Sicherheitsniveau, identifiziert entsprechende Schwachstellen und bietet eine solide Basis, um Massnahmen einleiten zu können. Fehlen die internen Ressourcen, ist es ratsam, Partnerschaften mit erfahrenen Cybersecurity-Anbietern einzugehen. Der Bezug von Managed Services im Bereich Security Operations oder Awareness-Trainings können diese Bedürfnisse abdecken, ohne die eigene Belegschaft überzustrapazieren.
Cybersecurity-Massnahmen sind mit Investitionen verbunden. Worin liegt die Gefahr, wenn Unternehmen ihre IT-Sicherheit nur als Kostenpunkt verstehen?
Leider sind Parolen wie «IT und Security kosten nur» in Unternehmen immer noch verbreitet. Diese Auffassung ist problematisch, denn Investitionen in die Sicherheit dienen nicht nur der Abwehr, sondern auch der Prävention und frühzeitigen Erkennung von potenziellen Cyberangriffen. Nur weil in der Vergangenheit nichts passiert ist, bedeutet dies nicht, dass die Absicherung in Form von Cybersecurity vernachlässigt werden darf. Ohne angemessene Sicherheitsmassnahmen steigt das Risiko von erfolgreichen Angriffen erheblich. Tritt ein Schadensfall ein, können die verursachten Kosten ein Vielfaches betragen oder für das Unternehmen sogar existenzbedrohend werden.
Was raten Sie Unternehmen, die Cybersecurity nicht prioritär behandeln?
Das Thema ist zu schwerwiegend, um es nicht auf der Agenda einer jeden Unternehmensführung zu verankern. Unternehmen sollten mindestens eine Risikobewertung durchführen, um ein potenzielles Schadensausmass sichtbar zu machen. Damit erlangen sie Klarheit darüber, was Ausfälle von Systemen oder Prozessen für das eigene Unternehmen bedeuten würden. Für Firmen ist es unerlässlich, ihr Bewusstsein für IT-Risiken und deren Konsequenzen zu schärfen. Letztlich geht es um weitaus mehr als nur um Technik. Im schlimmsten Fall laufen Unternehmen Gefahr, den eigenen Geschäftsbetrieb zu riskieren oder signifikante Reputationsschäden zu erfahren.
Wie können Unternehmen bei den eigenen Mitarbeitenden das IT-Sicherheitsbewusstsein schärfen?
Beispiele aus dem Alltag helfen Menschen besser zu verstehen, wo und wann Achtsamkeit in Sachen IT-Sicherheit besonders gefragt ist und welche Tragweite unvorsichtiges Handeln haben kann. Unternehmen können dabei etwa auf die eigene Risikobewertung verweisen, um das potenzielle Ausmass eines Vorfalls für das eigene Unternehmen aufzuzeigen. Wenn Mitarbeitende begreifen, wieso Cybersecurity so wichtig ist und welche konkrete Verantwortung sie tragen, stossen Schulungen und Trainings auf fruchtbaren Boden.
Welchen Vorteil haben Awareness-Trainings und Schulungen in Unternehmen?
Ihr grosser Vorteil ist, dass sie eine der grössten Schwachstellen bei Cybersecurity-Angriffen direkt adressieren: den Menschen. Unternehmen brauchen Schulungen und Trainings nicht selbst zu organisieren, dafür gibt es kompetente Partner. Diese Programme schärfen das Bewusstsein zu Cyberrisiken und vergrössern das Skill-Set der Mitarbeitenden. So können sich Mitarbeitende über mögliche Vorfälle austauschen und diese direkt melden. Trainings und Schulungen helfen dabei, denn Mitarbeitende sollen nicht aus falschem Schamgefühl wichtige Informationen zurückhalten. Nicht sofort gemeldete Vorfälle rauben den Unternehmen wertvolle Reaktionszeit. Daher ist es ungemein wichtig, regelmässig Awareness-Trainings durchzuführen, um die Cybersecurity-Kompetenz der Mitarbeitenden zu fördern. Übung macht den Meister.
Wie werden Awareness-Trainings ein Erfolg?
Die Trainings dürfen kein einmaliger Kraftakt sein. Ihre Wirksamkeit ist abhängig von ihrer Kontinuität und Integration im Arbeitsalltag. Die Angriffsstrategien entwickeln sich stetig weiter. Es ist deshalb wichtig, die Trainings regelmässig zu wiederholen, um das Wissen zu sichern und aktuell zu halten. Das richtige Mass ist entscheidend. Sind die Intervalle zwischen den Trainings zu gross, zeigen die diese nicht den gewünschten Lerneffekt. Zu kurze Abstände können für Mitarbeitende ermüdend wirken und die Schulungen scheinen wirkungslos. Gewonnene Informationen aus den Trainings müssen von der Unternehmensführung aktiv genutzt werden, indem sie diese in Gespräche mit den Mitarbeitenden einfliessen lässt. Dabei soll auf Misserfolge und Erfolge verwiesen werden, damit Aha-Erlebnisse entstehen und richtiges Verhalten gefestigt wird. Mit dieser Praxis fördern die Firmen den internen Lernprozess und stellen den Erfolg der Trainings sicher.
Wie viel Gamification können Awareness-Trainings vertragen?
Nach meinem Geschmack können sie viel vertragen. Gamification dient als extrinsische Motivation, um den Lernprozess anzuregen und Fortschritte spielerisch zu visualisieren. Besonders in einem oft als trocken empfundenen Thema wie IT-Sicherheit können zusätzliche Anreize helfen, die Beteiligung und das Interesse bei den Mitarbeitenden hoch zu halten. Der spielerische Aspekt gestaltet den Lernprozess unterhaltsamer und kann so die Effektivität der Trainings steigern.
Zur Person
Tobias Franz, seit über einem Jahrzehnt bei Somnitec, leitete die Microsoft 365 & Azure Services Integration und formte das Unternehmen zu einem führenden Hybrid Cloud Service Provider. Verantwortlich für Architekturen, treibt er Innovationen voran und entwickelt seit 2022 den Security-Bereich mit fortschrittlichen Lösungen.
Ergon wächst zweistellig
Die Stimmen zu den Best of Swiss Web Awards 2024
Wieso man nicht ziellos herumirren sollte beim Telefonieren
Wie KI die Palliativmedizin unterstützen kann
Red Hat stellt neue Lösungen für Entwickler vor
HPE und Bosch bringen Lösungen zusammen für Digital Twins
visiONstage – wo Business auf Zukunft trifft
KI entwirft neue Medikamente anhand von Proteinstrukturen
SAP würdigt seine Schweizer Lieblingskunden
