Startseite Navigation Inhalt Kontakt Sitemap Suche

Tipps für KMU

Unter­neh­mens­netz­werke sind in der Regel schwie­riger vor cyber­kri­mi­nellen Angriffen zu schützen als pri­vate. Grund dafür sind die höhere Kom­ple­xität und die gra­vie­ren­deren wirt­schaft­li­chen Folgen von Stö­rungen oder Aus­fällen. Grif­fige Mass­nahmen zur Risi­ko­min­de­rung sind daher unumgänglich.

Wich­tigste Merkpunkte:

  • Stützen Sie sich für die Abwä­gung der Risiken und der Umset­zung von Mass­nahmen auf Leit­fäden und Merk­blätter eta­blierter Insti­tu­tionen ab.
  • Iden­ti­fi­zieren Sie, welche Pro­zesse, Sys­teme und Daten für Ihr Unter­nehmen am wert­vollsten sind und gehen Sie diese zuerst an.
  • Fassen Sie zur Erhö­hung der Infor­ma­ti­ons­si­cher­heit im Unter­neh­mens­netz­werk geeig­nete sowohl tech­ni­sche wie auch orga­ni­sa­to­ri­sche Mass­nahmen ins Auge.
  • Defi­nieren Sie Ver­ant­wort­lich­keiten, Zustän­dig­keiten und Ansprech­stellen für sicher­heits­tech­ni­sche Belange.

Unter­neh­mens­netz­werke sind in der Regel kom­plexe, oft über län­gere Zeit gewach­sene Struk­turen mit zahl­rei­chen Schnitt­stellen und Daten­flüssen zu Kunden und Geschäfts­part­nern. Bereits kurz­zei­tige Stö­rungen oder gar Aus­fälle dieser Infra­struktur zei­tigen oft gra­vie­rende wirt­schaft­liche Aus­wir­kungen für das Unter­nehmen. Damit sind KMU im All­ge­meinen grös­seren Risiken durch Cyber­kri­mi­na­lität aus­ge­setzt als Private.

Um die Wider­stands­kraft von KMU vor sol­chen Gefahren – die soge­nannte IKT-Resi­lienz – zu erhöhen und die damit ver­bun­denen Risiken zu mini­mieren, sind geeig­nete Schutz­mass­nahmen vor­zu­sehen. Infolge der Kom­ple­xität und des Umfangs sind solche jedoch meist kosten- und res­sour­cen­in­tensiv. Eine sorg­fäl­tige Abwä­gung ist hier des­halb emi­nent wichtig.

Leit­fäden und Merk­blätter nutzen

Wie soll ein KMU diese grosse Auf­gabe anpa­cken? Und wie stellt es sicher, dass nichts über­sehen wird?

Viele eta­blierte Insti­tu­tionen haben sich dieser Fragen ange­nommen und sich ein­ge­hend mit der Umset­zung von IKT-Schutz­mass­nahmen spe­ziell für KMU befasst. Im Laufe der Zeit sind so zahl­reiche Leit­fäden und Merk­blätter ent­standen, die ein gleich­zeitig effi­zi­entes wie effek­tives Vor­gehen ermög­li­chen. Die Anleh­nung an solche Hilfs­mittel ist des­halb sehr zu empfehlen.

Als Ein­stieg in die The­matik wäre einmal das «Merk­blatt Infor­ma­ti­ons­si­cher­heit für KMUs» vom NCSC zu erwähnen. Das sehr kom­pakte Merk­blatt richtet sich explizit an Schweizer KMU und soll diesen dabei helfen, die Infor­ma­ti­ons­si­cher­heit in ihrer Sys­tem­land­schaft und im Unter­neh­mens­netz­werk zu erhöhen.

Pro­zesse, Sys­teme und Daten identifizieren

Wo und womit soll man beginnen? Welche Pro­zesse, Sys­teme oder Daten soll ein KMU zuerst angehen?

Die Basis zur Beant­wor­tung dieser Frage bildet eine (ver­ein­fachte) Risi­ko­ana­lyse. Dazu sind die, für die Wert­schöp­fungs­kette des Unter­neh­mens beson­ders wich­tigen Pro­zesse, Sys­teme und Daten zu iden­ti­fi­zieren und deren Anfäl­lig­keit hin­sicht­lich IKT-Gefahren zu beurteilen.

Tech­ni­sche Mass­nahmen ergreifen

Tech­ni­sche Schutz­mass­nahmen bilden die erste Abwehr­kette, wenn es darum geht cyber­kri­mi­nellen Gefahren zu begegnen. Der Katalog mög­li­cher Mass­nahmen ist lang. Doch welche Mass­nahmen sind die richtigen?

Diese Frage hängt stark von der spe­zi­fi­schen Bedro­hungs­lage des KMU ab. Einige tech­ni­sche Mass­nahmen können aber als all­ge­mein­gültig ange­sehen werden und gehören damit zum Grund­schutz jedes KMU. Zu diesen Mass­nahmen gehören sicherlich:

Orga­ni­sa­to­ri­sche Mass­nahmen ergreifen

Tech­ni­sche Mass­nahmen alleine können keinen umfas­senden Schutz gewähr­leisten. Es sind des­halb immer auch ergän­zende orga­ni­sa­to­ri­sche Mass­nahmen vorzusehen.

Die Liste ist auch bei den orga­ni­sa­to­ri­schen Mass­nahmen umfang­reich. Spe­ziell her­vor­ge­hoben sollen hier fol­gende Punkte werden:

  • Regel­mäs­sige Sen­si­bi­li­sie­rung und Schu­lung der Mitarbeitenden
  • Eta­blie­rung einer strengen Pass­wort-Policy
  • Sichere Abläufe bei kri­ti­schen Anwen­dungen (z.B. Mehr-Augen-Prinzip bei E-Banking-Applikationen)

Ver­ant­wort­lich­keiten, Zustän­dig­keiten und Ansprech­stellen definieren

Wer ver­ant­wortet die Daten­si­che­rung? Wer ist zuständig für das Ein­spielen von Sicher­heits­up­dates? An wen wenden sich Mit­ar­bei­tende, die bei­spiels­weise einen Mal­ware-Befall ver­muten?

Für einen rei­bungs­losen Betrieb müssen inner­halb des KMU Ver­ant­wort­lich­keiten, Zustän­dig­keiten und Ansprech­stellen mit Bezug zu IKT-Sicher­heit nicht nur defi­niert, son­dern den Mit­ar­bei­tenden auch bekannt sein.

Mit­tels einer geeig­neten Infor­ma­ti­ons­platt­form kann ein nie­der­schwel­liger Zugang zu den rich­tigen Stellen geför­dert werden. Damit lassen sich die Ant­wort­zeiten auf Vor­fälle redu­zieren und die Mel­de­quote erhöhen.

Schweizer KMU sind ver­mehrt Ziel von cyber­kri­mi­nellen Angriffen mit teils gra­vie­renden Folgen für das betrof­fene Unter­nehmen. Des­halb sind Mass­nahmen zur Risi­ko­min­de­rung unumgänglich.

Was möchten Sie weiter zum Thema Sicherheit beim E-Banking wissen?

Jetzt für einen Kurs
anmelden und mehr lernen:

Grund­kurs

Lernen Sie die aktu­ellen Bedro­hungen im Internet kennen und wie Sie sich mit ein­fa­chen Mass­nahmen davor schützen und E-Ban­king sicher anwenden.

wei­tere Informationen

Online-Kurs Mobile Ban­king / Payment

Lernen Sie Mobile Ban­king und Mobile Pay­ment kennen und wie Sie solche Apps sicher nutzen.

wei­tere Informationen

Online-Kurs für unter 30-jährige

Lerne dein Smart­phone sicher zu ver­wenden. Neben Basics zeigen wir dir, was bzgl. Social Media, Clouds, Mobile Ban­king und Mobile Pay­ment wichtig ist.

wei­tere Informationen

Kurs für KMU

Ist Ihr Unter­nehmen genü­gend sicher? Lernen Sie, mit wel­chen Mass­nahmen Sie die Infor­ma­ti­ons­si­cher­heit in Ihrem Unter­nehmen deut­lich erhöhen.

wei­tere Informationen