digital-liechtenstein.li: Neue Statistiken zeigen, dass 3 von 4 KMUs bereits von Hackerangriffen betroffen sind. Wenn Sie jetzt drei Punkte nennen, die aus ihrer Sicht unerlässlich sind, um als KMU hier heute bestehen zu können, welche wären dies?
Bettina Zimmermann: Das Management jedes Unternehmens sollte sich mit dem Thema IT-Sicherheit auseinandersetzen und auch in diesem Bereich mögliche Risiken definieren. Die IT-Sicherheit muss auf einem aktuellen Stand gehalten werden. Und die Awareness ist entscheidend: Mitarbeitende müssen für das Thema IT-Sicherheit zwingend sensibilisiert werden.
Was sind aus Ihrer Sicht denn die wichtigsten Schritte, um als KMU im Bereich Cyber Security vernünftig aufgestellt zu sein – gemessen an den aktuellsten Herausforderungen? Braucht es dazu externe Hilfe?
Zu den wichtigsten Vorkehrungen gehören unter anderem regelmässige Software-Updates, ein entsprechender Virenschutz und die regelmässige Sensibilisierung der Mitarbeitenden aller Stufen im Umgang mit IT-Geräten und Smartphones. Weiter ist eine automatisierte Datensicherung nötig, um im Notfall auf aktuelle Backups zurückgreifen zu können. Sofern man firmenintern nicht über die notwendigen IT-Fachkenntnisse verfügt, empfiehlt es sich auf jeden Fall dazu eine externe Beratung in Anspruch zu nehmen.
Gibt es aus Ihrer Praxis Fehler, sowohl organisatorisch als auch technisch, die Ihnen häufig begegnen?
Ja, die gibt es. Mehrfach müssen wir nach Hackerangriffen feststellen, dass das betroffene KMU eine alte Software oder einen ungenügenden Virenschutz verwendet hat. Oder, es sind keine aktuellen Backups vorhanden. Oft werden potentiellen Hackern auch Tür und Tor geöffnet durch einen legeren Umgang mit dem Thema IT-Sicherheit. Hackerangriffe werden häufig durch die Verletzung der einfachsten Regeln oder Schutzmassnahmen begünstig.
Haben es Grossunternehmen leichter als KMUs?
In Grossunternehmen ist es insofern einfacher, da diese in der Regel über eigene IT-Spezialisten mit entsprechenden Fachkenntnissen verfügen, die bei einem Zwischenfall umgehend reagieren können.
In Ihrem Vortrag im Technopark wurde die Diskussion eröffnet, in wie weit es Sinn macht, Erpressungsgelder zu zahlen. Offiziell heisst es oft von Beratungsstellen, dass nicht gezahlt werden soll – die Abwägung zwischen Kosten und Nutzen lässt aber in der Praxis dann doch Unternehmen zweifeln. Ein Teufelskreis für die Wirtschaftsstandorte als solches? Und was empfehlen Sie einzelnen Unternehmen?
Ja, es ist in der Tat ein Teufelskreis. Eine allgemein gültige Antwort, wie mit einer Erpressung umzugehen ist, gibt es nicht. Wir sind auch der Auffassung, dass man Lösegeldzahlungen vermeiden sollte. Diese Entscheidung muss allerdings jedes Unternehmen für sich selbst beantworten. Das sind sehr anspruchsvolle Entscheidungen, die auch betriebswirtschaftliche Abwägungen beinhalten – was kommt das Unternehmen günstiger zu stehen – das Erpressungsgeld zu zahlen oder die Kosten einer Betriebsunterbrechung (die unter anderem auch durch polizeiliche Untersuchungen entsteht).
