Reto Reber, hat das Thema Cyber-Sicherheit mit dem Ausbruch der Pandemie an Brisanz gewonnen?
Covid-19 hat sicher als Katalysator gewirkt. Zu Beginn des Lockdowns mussten viele Unternehmen ihren Mitarbeitenden auf rudimentäre Art und Weise das Arbeiten vom Homeoffice aus ermöglichen. Da stellten sich schnell Fragen nach der Sicherheit von Daten und Verbindungen. In einem grösseren Kontext hat Cyber-Sicherheit aber mit veränderten Bedürfnissen und Lebensgewohnheiten zu tun. Jeder trägt heute ein Smartphone auf sich, empfängt unterwegs Mails, arbeitet im Zug auf dem Laptop, besucht Kunden mit dem Tablet. Die mobile Nutzung von Daten, die Verbreitung von Cloud-Anwendungen und das Internet of Things (IoT) liessen die Zahl der Cyber-Angriffe in den vergangenen Jahren in die Höhe schnellen. Sie sind zu einem Businessmodell geworden, und Firmen jeder Grösse sind Risiken aus dem Cyberspace ausgesetzt.
Viele Arbeitnehmer kehrten diese Woche wieder ins Homeoffice zurück. Welche Herausforderungen birgt die Arbeit von zuhause aus?
Zwei zentrale Themen sind Produktivität und Sicherheit. Trotz ungewohnter Umgebung müssen Mitarbeitende produktiv arbeiten können. Dazu müssen ihnen die Unternehmen Kollaborationsplattformen zur Verfügung stellen. Das allein reicht aber nicht, virtuelle Zusammenarbeit bedingt gute Unternehmensführung und Kommunikation, sonst droht Produktivitätsverlust. Zweitens müssen Unternehmen sicherstellen, dass sie die Hoheit über ihre Daten bewahren, um sich vor kriminellen Zugriffen schützen zu können.
Was können Mitarbeiter und Unternehmer tun, um die IT-Sicherheit auch in Zeiten von Homeoffice zu gewährleisten?
IT-Sicherheit hat viel mit Disziplin zu tun. Der Mensch ist bequem und sucht sich ebensolche Lösungen. Wenn ein Unternehmen keine verschlüsselten Datenverbindungen oder Plattformen für die Zusammenarbeit zur Verfügung stellt, speichern die Mitarbeitenden ihre Daten einfach lokal. Dann droht eine sogenannte Schatten-IT und das Unternehmen verliert die Hoheit über seine Daten. Deshalb ist es zentral, dass Firmen für verschlüsselte Verbindungen sorgen, für Software und Geräte, die auf dem neusten Stand sind und für Tools, um sicher und produktiv im Team arbeiten zu können.
Der Mensch ist das grösste Sicherheitsrisiko, hiess es früher. Gilt das auch heute noch?
Ja, die grösste Schwachstelle ist der Mensch. Klickt niemand einen gefährlichen Link an, kann wenig passieren. Ein grosses Risiko ist auch, dass sich viele ihrer Abhängigkeit von IT-Lösungen nicht bewusst sind. Habe ich nur einen Verkaufskanal, zum Beispiel meine Website, ist das ein Sicherheitsrisiko. Ebenso, wenn ich nicht weiss, wo das Back-up meiner Daten gespeichert ist, wer darauf Zugriff hat und wie lange es geht, bis die Daten wiederhergestellt sind. Das können Kriminelle ausnutzen. Daneben gibt es in Programmen und Netzwerkinfrastrukturen auch noch eine ganze Reihe von technischen Sicherheitslücken.
Wie haben sich die Risiken, die der Cyberspace birgt, in den vergangenen Jahren verändert?
Noch vor zehn Jahren sahen Cyber-Angriffe dilettantischer aus: Phishingmails mit dubiosen Mailadressen und geschrieben in schlechtem Deutsch. Heute sind Angriffe perfider und schwerer erkennbar. Das geht hin zu Kriminellen, die sich in aktive Mailkonversationen einklinken und vorgaukeln, der Gesprächspartner zu sein. Aber auch die Zahl der Angriffe hat stark zugenommen.
Reto Reber (36) ist seit Mitte 2019 CEO der Base-Net IT Services AG. (Foto zVg)
Weshalb?
Immer mehr Dienste werden als Software-as-a-Service ins Internet verlagert. Die Exponiertheit ist dort grösser als bei einem Server, der in einem Keller steht. Die Mobilität der Menschen stellt zudem eine Herausforderung dar: Wer seinen schlecht gesicherten Laptop im Zug liegen lässt, hat ein Problem. Auch das Internet of Things birgt Gefahren. Ein Kühlschrank oder eine Heizung mit einem alten Betriebssystem, gekoppelt ans eigene Netzwerk, stellen potenzielle Einfallstore für Kriminelle dar.
Auf welche Daten haben es diese besonders abgesehen?
Grosse Techfirmen, die mit Personen- und Profildaten arbeiten, sind immer wieder Ziel von Cyber-Angriffen. Oft geht es Kriminellen aber weniger um die Art der Daten als um die Frage, ob ihr Verlust für ein Unternehmen produktionsgefährdend ist. Dann nämlich ist die Firma erpressbar, egal ob es Ticketinformationen eines Veranstalters sind oder die Kundendaten einer Schreinerei.
Wie stark sind KMU sensibilisiert für diese Gefahren?
Pauschal lässt sich das nicht sagen. Es gibt Unternehmen, deren Systeme State-of-the-Art sind. Bei anderen wiederum ist die IT eine One-Man-Show – auch das übrigens ein Risiko. Was machen, wenn die Person ausfällt? Grundsätzlich ist es die kontinuierliche Aufgabe der Unternehmen, ihre Mitarbeitenden bezüglich Daten- und IT-Sicherheit zu sensibilisieren und zu schulen. Gleichzeitig müssen sie sich überlegen, was passiert, wenn Kernressourcen im Bereich der IT ausfallen sollten. Hier haben KMU oft Nachholbedarf.
Wie sollen Unternehmen reagieren, wenn sie merken, dass sie Opfer einer Cyber-Attacke geworden sind?
Im Idealfall macht man sich diese Gedanken, bevor man angegriffen wird (schmunzelt). Um ein gutes Krisenmanagement kommen die Unternehmen nicht herum: Wie informiere ich meine Kunden, dass ihre Daten gestohlen wurden? Kann ich alternative Verkaufskanäle hochfahren? Ist Zahlen bei Erpressung eine Option für mich? Habe ich ein Back-up meiner Daten? Leider vergehen oft Tage oder Wochen, bis Firmen einen Angriff überhaupt entdecken. In dieser Zeit kann der Angreifer weitere Malware installieren oder Firmendaten verschlüsseln.
Das tönt nach viel Aufwand im Vorfeld und hohen Kosten. Können sich KMU teure IT-Schutzmassnahmen überhaupt leisten?
Die Komplexität moderner IT ist tatsächlich erschlagend und kann von vielen Kleinunternehmen oft nicht allein bewältigt werden. Ausgaben für IT-Sicherheit sind zudem kein schöner Budgetposten, man investiert lieber in IT-Innovation. Umso wichtiger ist es, sich früh und unabhängig von der Grösse seines Unternehmens Gedanken über IT-Sicherheit zu machen. Hilfeleistungen wie Beratung oder IT-Checks können sich lohnen. Nur so kann man seine Bedürfnisse an Partner adressieren, von denen man Software und Geräte bezieht.
Reto Reber (36) ist seit Mitte 2019 CEO der Base-Net IT Services AG. Reber hat Betriebswirtschaft studiert, Weiterbildungen im Bereich des IT-Managements absolviert und wohnt in Sursee. Die Base-Net IT Services AG gehört zusammen mit der Base-Net Education AG, der Base-Net Informatik AG, der Peax AG sowie der Zeit AG zur Base-Net-Gruppe von Stefan Hermann. Das Unternehmen ist spezialisiert auf Dienstleistungen rund um den modernen Arbeitsplatz, das Hosting von Daten und Applikationen sowie auf IT-Security.
Am Mittwoch, 28. Oktober, 17.30 Uhr, führt Base-Net ein Webinar zum Thema «Cybersecurity bei KMU» durch. Infos und Anmeldung: bnits.ch/event.
