Ge­fah­ren für KMU: di­gi­ta­le Ef­fi­zi­enz­stei­ge­rung im Cy­ber­raum

Wer beim Be­griff «Di­gi­ta­li­sie­rung der Wirt­schaft» nur an tech­no­lo­gie­ge­trie­be­ne Gross­un­ter­neh­men oder dy­na­mi­sche Start-ups aus dem Cryp­to Val­ley denkt, über­sieht, dass heute alle Un­ter­neh­men in der einen oder an­de­ren Art den di­gi­ta­len Fort­schritt für ihre Zwe­cke nut­zen. Zahl­rei­che Er­leich­te­run­gen, wel­che die neuen Tech­no­lo­gi­en bie­ten, sind ge­ra­de auch aus dem All­tag der hie­si­gen KMU – sei es die Schrei­ne­rei, die Ve­lo­werk­statt oder das Treu­hand­bü­ro – nicht mehr weg­zu­den­ken.

Dies be­trifft nicht nur den PC für die Buch­hal­tung oder die Text­ver­ar­bei­tung. Bau­plä­ne wer­den elek­tro­nisch er­stellt und ver­sandt, der Aus­sen­dienst­mit­ar­bei­ten­de er­fasst die Be­stel­lung gleich vor Ort auf sei­nem Ta­blet, der Ein­kauf der Roh­stof­fe er­folgt über eine Platt­form und das Ana­ly­se­ge­rät im Labor lädt die Up­dates di­rekt aus dem In­ter­net. An­de­re Un­ter­neh­mer set­zen voll auf di­gi­ta­le Werk­zeu­ge. No­ma­di­sches Ar­bei­ten oder ad­di­ti­ve Fer­ti­gung sind hier die Stich­wor­te.

Schaut man ei­ni­ge der jün­ge­ren Um­fra­gen an, kommt der Ein­druck auf, dass viele Un­ter­neh­men in un­se­rem Land davon aus­ge­hen, dass sie mit der Di­gi­ta­li­sie­rung nichts am Hut haben. Dar­auf an­ge­spro­chen, sagen diese Un­ter­neh­men, dass die tech­no­lo­gi­sche Ent­wick­lung sie nicht di­rekt be­trifft. Wie er­klärt sich die­ser an­schei­nen­de Wi­der­spruch? Viele Nut­zun­gen der mo­der­nen Tech­nik haben sich lang­sam in den All­tag un­se­rer KMU ge­schli­chen und waren dabei nicht Teil einer ge­ziel­ten Di­gi­ta­li­sie­rungs­stra­te­gie.

Somit waren bei Wei­tem nicht alle Ent­wick­lun­gen die Folge eines be­wuss­ten Ent­schei­des und ge­scha­hen oft­mals ne­ben­bei: zum Bei­spiel der Wech­sel auf ein neues Te­le­fon oder auf eine di­gi­ta­le Do­ku­men­ten­ver­wal­tung, oder die re­gel­mäs­si­ge Nut­zung des In­ter­nets. Ver­netz­te elek­tro­ni­sche Hilfs­mit­tel ge­hö­ren ge­ra­de auch bei un­se­ren KMU heute der­art zum All­tag, dass sie oft gar nicht mehr als sol­che wahr­ge­nom­men wer­den. Und genau hier liegt aus Sicht der Cy­ber­si­cher­heit die gröss­te Ge­fahr.

Neue tech­no­lo­gi­sche Mög­lich­kei­ten, neue For­men der Kri­mi­na­li­tät

Die Di­gi­ta­li­sie­rung und die damit ver­bun­de­ne Ver­net­zung der Sys­te­me (viele Werk­zeu­ge, Über­wa­chungs­ka­me­ras oder Kü­chen­ge­rä­te sind be­reits heute mit dem In­ter­net ver­bun­den) füh­ren dazu, dass wir auf einer ganz neuen Ebene ver­wund­bar wer­den. Denn ge­ra­de auch im di­gi­ta­len Raum tum­meln sich Leute oder Or­ga­ni­sa­tio­nen mit kri­mi­nel­len Ma­chen­schaf­ten. An­grif­fe kön­nen von über­all auf der Welt aus an­onym und mit wenig Auf­wand di­rekt bei un­se­ren Un­ter­neh­men durch­ge­führt wer­den. Cy­ber­kri­mi­nel­le küm­mern sich nicht um Lan­des­gren­zen.

Sie zieht es dort­hin, wo sich leich­te Beute ma­chen lässt, also mit ver­hält­nis­mäs­sig ge­rin­gem Auf­wand viel zu holen ist. So neh­men spe­zia­li­sier­te Kri­mi­nel­le ge­ra­de auch Schwei­zer KMU ins Vi­sier. Dabei ste­hen die­je­ni­gen im Fokus, wel­che sich nicht mit Fra­gen rund um die Si­cher­heit aus­ein­an­der­set­zen und keine ge­eig­ne­ten Ab­wehr­mass­nah­men er­grei­fen.

Die Di­gi­ta­li­sie­rung hat somit eine Kehr­sei­te: neue For­men der Kri­mi­na­li­tät. So kön­nen über das In­ter­net Daten ge­stoh­len oder ab­ge­än­dert, Sys­te­me be­schä­digt und Un­ter­neh­men er­presst wer­den. Damit tun sich neue Ge­fah­ren auf, wel­che in der ana­lo­gen Welt noch nicht exis­tier­ten. Eine Viel­zahl der kri­mi­nel­len An­grif­fe lässt sich aber ver­hin­dern. Ein Un­ter­neh­men muss sich dazu, wie auch in der phy­si­schen Welt, Ge­dan­ken ma­chen, wie es sich vor der kri­mi­nel­len En­er­gie Drit­ter schüt­zen kann. Wenn die Si­cher­heit ver­nach­läs­sigt wird, wer­den tech­ni­sche Er­leich­te­run­gen schnell zum exis­tenz­be­dro­hen­den Ri­si­ko für ein KMU. Viele An­wen­der, Un­ter­neh­men wie auch Pri­va­te, igno­rie­ren heute mög­li­che Ge­fah­ren beim Ein­satz neuer Tech­no­lo­gi­en.

Dies be­stä­tigt auch eine Un­ter­su­chung, wel­che die Hoch­schu­le Lu­zern hier­zu zu­sam­men mit dem KMU-Ver­band, dem Staats­se­kre­ta­ri­at für Wirt­schaft (Seco), der Schwei­zer Kader-Or­ga­ni­sa­ti­on (SKO) und eco­no­mie­su­is­se durch­ge­führt hat: Die hie­si­gen Un­ter­neh­men sind auf Be­dro­hun­gen im Cy­ber­raum nicht aus­rei­chend vor­be­rei­tet. 40 Pro­zent der be­frag­ten Fir­men gaben an, sie seien kürz­lich von di­gi­ta­len At­ta­cken wie Mal­wa­re oder Phis­hing-Mails heim­ge­sucht wor­den. Trotz der kon­kre­ten Ge­fahr kön­nen die Fir­men nicht an­ge­mes­sen auf die An­grif­fe re­agie­ren. Unter an­de­rem, da es in vie­len KMU an Wis­sen zum Um­gang mit dem Thema In­for­ma­ti­ons­si­cher­heit fehlt.

Be­wusst­sein für Ge­fah­ren wächst, aber …

Die Stu­die kommt zum Er­geb­nis, dass die Sen­si­bi­li­tät für Cy­ber­si­cher­heit grund­sätz­lich ge­stie­gen ist. «Di­gi­ta­li­sie­rung, Ro­bo­tik und Au­to­ma­ti­sie­rung» ist für die Füh­rungs­crews der Un­ter­neh­men das zweit­wich­tigs­te Thema – di­rekt nach der Ef­fi­zi­enz­stei­ge­rung. Rund 78 Pro­zent der be­frag­ten KMU füh­ren auch aus, dass Cy­ber­si­cher­heit in den letz­ten drei Jah­ren wich­ti­ger ge­wor­den ist. Ob­wohl mitt­ler­wei­le auch die KMU Fra­gen der Cy­ber­si­cher­heit breit dis­ku­tie­ren, be­steht Hand­lungs­be­darf. Die Stu­die hält näm­lich auch fest, dass we­ni­ger als 50 Pro­zent der be­frag­ten Un­ter­neh­men ihre Si­cher­heits­mass­nah­men in re­gel­mäs­si­gen Ab­stän­den prü­fen. Auch Leit­fä­den, wie mit Be­dro­hun­gen im Cy­ber­raum um­zu­ge­hen ist, kom­men nur sel­ten zum Ein­satz. Das Glei­che gilt für Wei­ter­bil­dun­gen. Es braucht somit Stra­te­gi­en, wie auf die zu­neh­men­den Ge­fah­ren aus dem In­ter­net zu re­agie­ren ist.

Oft braucht es nur wenig, um die Si­cher­heit in einem Un­ter­neh­men mar­kant zu ver­bes­sern. Durch den Fokus auf die Cy­ber­si­cher­heit in den be­trof­fe­nen Un­ter­neh­men, aber auch bei den Ge­schäfts­part­nern, Lie­fe­ran­ten und Kun­den, lies­sen sich Miss­brauchs­fäl­le mas­siv ein­schrän­ken. Ein Si­cher­heits­ri­si­ko kann näm­lich zum ei­gent­li­chen Ge­schäfts­ver­hin­de­rer wer­den und das Un­ter­neh­men sogar als Gan­zes, zu­sam­men mit den Ge­schäfts­part­nern, in Ge­fahr brin­gen. Es gilt daher, dass Si­cher­heit und die damit ver­bun­de­nen Kos­ten von An­fang an in den Busi­ness-Case ein­kal­ku­liert wer­den müs­sen. Das Ziel muss es sein, dass jedes Un­ter­neh­men – ob gross oder klein – ein an­ge­mes­se­nes Si­cher­heits­kon­zept ent­wi­ckeln kann, wel­ches aus­rei­chend Si­cher­heit bie­tet und gleich­zei­tig die ope­ra­ti­ve Hand­lungs­fä­hig­keit des Un­ter­neh­mens auf­recht­er­hält.

Die Ver­ant­wor­tung be­ginnt beim Ein­zel­nen

Ge­nau­so wie wir selbst ver­ant­wort­lich sind, unser Haus gegen Ein­brü­che zu si­chern, ist auch pri­mär jedes Un­ter­neh­men selbst ver­ant­wort­lich, sich gegen die Be­dro­hun­gen im Cy­ber­raum zu wapp­nen. Die Ant­wort auf diese Be­dro­hun­gen sind somit nicht staat­lich vor­ge­ge­be­ne Ver­hal­tens­pflich­ten. Im Ge­gen­teil. De­zen­tra­le und he­te­ro­ge­ne Sys­te­me sind im Be­reich der Cy­ber­si­cher­heit be­last­ba­rer als zen­tral aus­ge­leg­te Sys­te­me. Ins­be­son­de­re, wenn es darum geht, un­er­war­te­ten Her­aus­for­de­run­gen und Kri­sen zu be­geg­nen. Wo bran­chen­spe­zi­fi­sche Lö­sun­gen an­ge­zeigt sind, ist die Wirt­schaft selbst ge­for­dert. Sie kann durch Mi­ni­mal­stan­dards im Sinne von Emp­feh­lun­gen die Cy­ber­si­cher­heit er­heb­lich stei­gern.

Ver­ständ­lich for­mu­lier­te Leit­li­ni­en kön­nen dabei als Hil­fe­stel­lung die­nen. Sol­che Mi­ni­mal­stan­dards wür­den es auch er­mög­li­chen, dass KMU vom Know-how der gros­sen Un­ter­neh­men pro­fi­tie­ren und Asym­me­tri­en im Cy­ber­be­reich zwi­schen den Bran­chen ver­mie­den wer­den kön­nen. Der Staat leis­tet sei­nen Bei­trag, indem er eben­falls sol­che Si­cher­heits­stan­dards för­dert und für eine aus­ge­gli­che­ne Hand­ha­bung in Bezug auf die in­ter­na­tio­na­le Ge­setz­ge­bung sorgt. Im Kri­sen­fall, das heisst, wenn es zu einem breit an­ge­leg­ten An­griff kom­men soll­te, ist eine klare Zu­ord­nung der Auf­ga­ben zwi­schen Pri­vat­wirt­schaft und Staat un­ab­ding­bar.

Der Staat soll daher mit ge­eig­ne­ten, an­reiz­ba­sier­ten Mit­teln dafür sor­gen, dass Cy­ber­vor­fäl­le ge­mel­det wer­den. Dies er­höht die Trans­pa­renz, min­dert die Be­dro­hungs­la­ge und hilft, die Aus­wir­kun­gen sol­cher An­grif­fe auf Drit­te zu re­du­zie­ren. Be­völ­ke­rung, Un­ter­neh­men, Ver­wal­tung und Po­li­tik müs­sen an­ge­mes­sen sen­si­bi­li­siert wer­den, um das Ver­ständ­nis für Cy­ber­ri­si­ken zu ver­bes­sern. Bei der Si­cher­heit im Cy­ber­raum han­delt es sich um eine klas­si­sche Ver­bunds­auf­ga­be. Alles ist ver­netzt und die Sys­te­me be­ein­flus­sen sich ge­gen­sei­tig. Dies heisst auch, dass jeder sei­nen Teil dazu bei­tra­gen muss, die Si­cher­heit zu er­hö­hen. Der Ruf nach Staat hilft ge­nau­so wenig, wie die ei­ge­ne tech­no­lo­gi­sche Ver­wund­bar­keit zu igno­rie­ren.

Die­ser Ar­ti­kel ist ur­sprüng­lich im IT busi­ness er­schie­nen.