Peter Hacker – weltweit einer der führenden Experten zu Cybercrime, Cybersecurity und Kryptotechnologie sagt: «Es ist schwierig bis praktisch unmöglich, einen Cyberangriff zu verhindern. Deshalb sollte der Fokus auf Risikominimierung, integriertem Risikomanagement und individuellen Lösungsansätzen liegen.» 

Cybersicherheit sollte heute...

...eine absolut fundamentale Bedeutung für Unternehmen haben. Die Herausforderung und die Verantwortung sind eindeutig auf Geschäftsleitungsebene anzusiedeln, und zwar nicht nur wegen potenzieller Vorstands- und Vertragshaftungen.

«Wenn man sich den Wert eines Unternehmens anschaut, besteht der oft zwischen 80 und 95 Prozent aus immateriellen Gütern wie zum Beispiel Patenten, Daten, Reputation eines Unternehmens, Brand, Kunden- und Lieferantenbeziehungen oder R&D-Wissen von Mitarbeitern in Bezug auf Werteketten», sagt Peter Hacker. Hauptziel und Fokus eines Cyberkriminellen sind nun genau diese immateriellen Werte. Deshalb muss ihnen Priorität und hoher Schutz gelten.

Schätzungen zufolge wurde in der Schweiz schon eines von drei KMU gehackt oder Ziel eines Cyberangriffs. Dazu Peter Hacker: «Cyberkriminelle wissen sehr gut, dass KMU weder über genügende Verteidigungsmittel verfügen, noch individualisierte Strategien haben und oft nur unkoordiniert über den Eigentümer angegangen werden. Dadurch mangelt es häufig an einem guten Risikomanagement, oder es liegt gar nicht vor.»

Es drohen massive Bussen

Das Thema IT-Sicherheit wird in zu vielen KMU denn noch immer als eine nicht unbedingt notwendige Budgetposition beziehungsweise reiner Kostenblock angesehen. Mit der neuen EU-Datenschutz-Grundverordnung, der DSGVO, die am 25. Mai 2018 in Kraft trat, wird sich das nun schlagartig ändern.

«Bei einem fahrlässigen Umgang mit Personendaten drohen massive Bussen, und zwar bis zu vier Prozent des weltweiten Umsatzes oder 20 Millionen Euro, je nachdem, welcher Betrag höher ist und nach der Art Verfehlung. Schweizer KMU werden jetzt zum Umdenken gezwungen», ist der Experte überzeugt. Die DSGVO ist zwar eine EU-Verordnung, ihre Reichweite ist jedoch global. Zudem befindet sich die schweizerische Datengesetzgebung (DSG) in Revision, wobei Kompatibilität zwischen DSG und DSGVO angestrebt wird.

Individualisierte Lösungen sind zentral!

Fundamental ist, dass sich das Unternehmen eine Lösung schafft, die individualisiert ist. «Jedes Unternehmen hat differenzierte Werte, die für Cyberkriminelle interessant sind. Diese Werte muss man kennen, um sie schützen zu können», so Peter Hacker.

Die Risiken müssen also identifiziert, quantifiziert und kontrolliert werden, um dann in Lösungsstrukturen hineingepackt zu werden.

«Es reicht nicht, irgendein Sicherheitskonzept zu kopieren, sondern man muss eine individuelle Strategie, IT-Sicherheit und ein individuelles Risiko-Management mit möglichem Risikotransfer (zum Beispiel in der Form von Cyber-Versicherung) erarbeiten und testen.» Schwachpunkte und Sicherheitslücken lassen sich besser mit dem regelmässigen Simulieren (Redteaming) eines konkreten Cyberangriffs identifizieren.

«Früher oder später trifft es jeden»

Dass ein Angriff früher oder später fast jedes KMU treffen wird, ist, laut Hacker, sehr wahrscheinlich. Die Frage sei vielmehr, wann dies passieren wird und wie das Unternehmen darauf vorbereitet ist. Wichtig ist, dass ein Angriff immer ernst genommen wird und dass man sich der Konsequenzen, die ein solcher zur Folge haben kann, bewusst ist.

«Häufig wird der Fehler gemacht, dass das Thema zu lange verschwiegen beziehungsweise vertuscht wird. Der Prozess, wann, und vor allem auch was informiert wird, muss weiter individualisiert sein. Die DSGVO bietet hier einen sehr soliden Anfang. In einem nächsten Schritt müssen auch die internationalen Strafbehörden näher zusammenwachsen. Allzu oft endet die Verfolgung heute noch an der Grenze eines Landes.»

Fazit

Die Gefahr von einem Hackangriff darf nicht unterschätzt werden! Gleichzeitig muss man sich bewusst sein, dass Prävention alleine nicht genügt. Ein Angriff wird über kurz oder lang passieren. Deshalb gelten folgend Fragestellungen für ein Unternehmen:

  • Wie können wir einen möglichen Angriff in den Griff bekommen? 
  • Wie lassen sich in Zukunft Hackingangriffe vorbeugen?

Gleichzeitig sollte das Verantwortungsbewusstsein der Mitarbeitenden geschult werden und dem Thema Risikomanagement mehr Bedeutung beigemessen werden. Es muss ein grundlegendes Thema jeder Geschäftsführung sein.