Informatik-Sicherheit wird zwar medial thematisiert, etwa bei Cyber-Vorfällen. Viele KMU denken aber offenbar, das gehe sie nicht so direkt etwas an.

Produkt “löst alle Sicherheits-Probleme”

Viele KMU bemühen sich natürlich, unerwünschten Ereignissen vorzubeugen. Kürzlich wurde in einer Diskussionsrunde über technische Möglichkeiten gesprochen. Auch eine teure Lösung wurde erwähnt, nach deren Anschaffung alle IT-Sicherheitsprobleme gelöst sein sollen.

Vielleicht ist jedoch die vermeintlich beste technische Lösung vor allem teuer.

Organisatorische und technische Massnahmen

Normalerweise gehören organisatorische und technische Massnahmen dazu, wenn ICT-Sicherheit diskutiert wird oder verbessert werden soll. Dazu gibt es zahlreiche Fachartikel (und auch viele weniger sinnvolle Beiträge). Gemeint ist das Vorbeugen ebenso wie das Vorgehen im Krisenfall, etwa nach einem Cybervorfall. Menschliches Verhalten, Prozesse und Technologie gehören zu den Ansätzen.

Die erwähnte Diskussion ist wohl immer noch typisch. Organisatorische wurden in der Forschung schon vor Jahren als wichtig(st)e Massnahmen bezeichnet1. Fehlanreize seien für die Sicherheit mindestens so bedeutend wie Technologie. Beispielsweise scheint Sicherheit keinen direkten Nutzen zu haben. Investitionen in Sicherheit haben keinen unternehmerisch greifbaren Wert. Sie werden eher wie Versicherungen angesehen.

In der Praxis wird die Wichtigkeit offenbar eher umgekehrt eingestuft. Entweder wird angenommen, “meine Firma will bestimmt niemand angreifen”, also muss wenig unternommen werden. Oder aber man konzentriert sich fast nur auf technische Lösungen, womöglich sogar “je teurer desto besser”. Der häufig verwendete Begriff Cyberangriff suggeriert einenen dramatischen Vorfall, der eben als unwahrscheinlich eingeschätzt wird.

Praxisfremde organisatorische Massnahmen

Organisatorische Massnahmen klingen tatsächlich etwas zu theoretisch und schwer fassbar. Organisatorische Massnahmen können nicht einfach so gekauft oder installiert werden. Schulungen oder Sicherheitskonzepte sind zwar als Begriffe bekannt. Diese glaubt sich jedoch die eine oder andere Geschäftsführung sparen zu können. Ausserdem: Wer mag sich gerne damit auseinandersetzen, ob die Firma ein paar Stunden oder gar einen Tag ohne IT auskommen könnte? oder welches Sicherheits-Verhalten in der Unternehmung erwartet werden darf?

Ein Konzept oder eine Notfallplanung, wie der Betrieb bei einem IT-Ausfall das Geschäft weiterführen kann, dürfte kleineren KMU etwas hochgestochen vorkommen.

Ausfall wegen Cyberangriffen?

In der Schweiz arbeitet fast die Hälfte aller Arbeitnehmenden in Mikrounternehmen (1 bis 9 Beschäftigte) und kleinen Unternehmen (10 bis 49 Beschäftigte).2 In diesen Betrieben wird durchaus teilweise seit Jahren automatisiert und computerisiert gearbeitet, und zwar gerade auch im Primär- (Stichwort automatisierte Landwirtschaft3) und Sekundärsektor (beispielsweise CAD/CAx, Robotik u. v. a. m.).

Dass eine kleinere ERP-Software oder ein Rechnungswesen-Programm auf einem einsamen, eventuell schlecht gewarteten Computer laufen kann, ist nur ein scheinbarer Widerspruch.

Allenfalls sind die verschiedenen Produktions- und Administrations-Systeme vernetzt.

Das Szenario “Total-Ausfall eines administrativen Programms auf einem Einzelrechner” mag für die KMU-Leitung nicht als gravierend erscheinen. Ein Wasserschaden oder Feuer könnte die ganze Produktion lahmlegen, was vermutlich als problematischer angesehen würde.

Diese Einschätzung muss nicht falsch sein. Elementarschäden sollen sicherlich nicht gegen Verschlüsselungstrojaner & Co. ausgespielt werden.

Wahrnehmung mit fehlenden Puzzleteilen

In der Praxis können aber fehlende Puzzleteile beobachtet werden. Zu einer ungeordneten Aufzählung können gehören:

  • Backups sind nicht vorhanden oder sie können nicht wiederhergestellt werden.
  • “Aber wir haben doch ein Antivirus-Programm.” Möglicherweise sogar eine externe Firewall.
  • Das schwächste Einzelsystem ist vielleicht doch “irgendwie” mit der Produktion vernetzt. Diese könnte ebenfalls ganz “heruntergerissen” werden.
  • Irgendwelcher Fernzugriff der teilzeitlich für den “administrativen Kram” zuständigen Person hat nun auch ihr System kompromittiert – oder umgekehrt.
  • Geschäftsführung und Mitarbeitende sind nicht auf IT-Sicherheitsrisiken sensibilisiert oder das Wissen fehlt.
  • Fachliche und technische Abhängigkeiten von IT-Lieferanten oder spezifischen -Produkten. Wiederherstellung geht nicht ganz so einfach ohne Unterstützung. Und ein Wechsel “bei dieser Gelegenheit” wird schwierig - frühere Entscheide können heutige Handlungsoptionen einschränken.
  • Dranbleiben, wie es Sicherheitsexperten fordern, wirkt anstrengend und lästig, mit der Zeit mindestens ermüdend: “Das kenne ich doch schon”.
  • Und viele andere mehr.

Analogien wie diese vom kleinen Zündholz, das irrtümlich einen Vollbrand verursachen kann, ist in der ICT-Sicherheit noch nicht immer präsent. Demnach fehlt oft das Gefühl für informationstechnische oder Cyber-Risiken.

Auf die Firma zugeschnittene Massnahmen

Grössere Organisationen haben bestimmt eher eine spezielle Abteilung mit genügend Ressourcen, um die nötigen Konzepte zu erarbeiten und sich um die Umsetzung zu kümmern.

Diese personellen Mittel und die angesprochenen Puzzleteile dürften tendenziell bei derjenigen Hälfte aller Unternehmen fehlen, die zu den kleineren gehören.

Bei beiden kann beobachtet werden, dass technische nicht unbedingt eng mit organisatorischen Massnahmen verknüpft sind. Beispielsweise fehlen in der betrieblichen Realität oft Hinweise, die über Tipps wie “Mail-Anhänge nicht unbedacht öffnen” hinausgehen: Welche Verhaltensweisen werden als potenziell gefährlich eingestuft? Vor oder gegen was schützt die Technik (nicht)? Was müssen Mitarbeitende unbedingt wissen, was ist bloss wissenswert, nice to know?

Einfache, praktikable erste Schritte

Wir Sicherheitsinteressierte, -Berater/innen oder Sicherheitsökonomen sollten sich sich an die eigene Nase fassen:

  • Für (kleinere) KMU fehlt häufig immer noch eine praktisch umsetzbare Übersicht von Massnahmen. Melani/NCSC4 versucht es immerhin.
  • Für grössere Organisationen liegen Konzepte vor, aber praktisch anwendbare Verhaltensweisen sind wenig bekannt oder fehlen.

Anfangen könnten wir bei

  • der Wahl und bei den Einstellungen der Programme, die auf jedem Computer-Arbeitsplatz verwendet werden: Mail-Programm, Browser, Kommunikations-, Büro-Software usw.
  • konkreten Risiken, beispielsweise ausgedrückt in der Frage, “(wie) kann eine Phishingmail entdeckt werden?”
  • der Frage, wer für welche Software-Aktualisierungen zuständig ist (was bei grösseren Firmen meistens besser geregelt ist).
  • der Frage nach eventuellen Einschränkungen, die in Kauf genommen werden müssen, wenn überhaupt.
  • der Analyse, wie mit mässigem Aufwand ein grosser Sicherheitsgewinn zu erwarten ist (80-zu-20-Regel).
  • und so weiter.

Eine der Fragen, diejenige nach eventuellen Einschränkungen zugunsten der Sicherheit, wird des Öfteren verdrängt. Die Firma oder die Mitarbeitenden sollen nicht denken, man sei borniert, rückständig oder wolle die Arbeit behindern. Sind die Gründe für (technische) Beschränkungen nicht transparent und einleuchtend, kann das seltsame Blüten treiben, die womöglich kontraproduktiv sind. Solche Fragestellungen müssten unbedingt Teil der Mitarbeitenden-Schulungen sein.

Genauso wichtig müsste die Frage sein, ob “Einschränkungen” wirklich Einschränkungen sind oder nur nicht der Ansicht “das macht man doch heute so” entsprechen. Damit begeben wir uns auf ein etwas heikles Terrain: Gut denkbar, dass Gewohnheiten, was “man” angeblich “heutzutage” so macht, kein geeigneter Massstab sind – und dass durchaus gute (bessere) Arbeitsweisen, Prozesse oder Werkzeuge existieren. Diese müssten natürlich diskutiert oder zur Verfügung gestellt werden.

Damit wären wir fast bei der Innovation angelangt. Und beim Bestreben, ausserhalb des Gewohnten denken zu wollen, zumindest ein bisschen.

ICT-Sicherheit heute wie gestern: es gibt noch einiges tun.

  1. Wie von Ross Anderson, University of Cambridge, um nur ein Beispiel zu nennen: Incentives seien bezüglich IT-Sicherheit mindestens so bedeutend wie Technologie. Diese Thematik wird oft unter Information Security Economics (ähnlich: Sicherheitsökonomik) behandelt, siehe auch <https://www.cl.cam.ac.uk/~rja14/econsec.html> 

  2. “Marktwirtschaftliche Unternehmen und Beschäftigte nach Grössenklassen im 2018.” BFS, Neuchâtel, <https://www.bfs.admin.ch/bfs/de/home/statistiken/industrie-dienstleistungen/unternehmen-beschaeftigte/wirtschaftsstruktur-unternehmen/kmu.html> 

  3. Oder “Digitalisierung der Landwirtschaft” oder “Landwirtschaft 4.0”, wie es beispielsweise der Schweizer Bauernverband umschreibt. <https://www.sbv-usp.ch/de/schlagworte/digitalisierung/>, u. a. mit “SBV Bericht Digitalisierung” vom 12.04.2017. 

  4. Melani ist heute unter dem Namen “Nationales Zentrum für Cybersicherheit NCSC” bekannt.