InfoGuard AG (Hauptsitz)
Lindenstrasse 10
6340 Baar
Schweiz
InfoGuard AG
Stauffacherstrasse 141
3014 Bern
Schweiz
InfoGuard Deutschland GmbH
Landsberger Straße 302
80687 München
Deutschland
Kaum zu glauben, dass es schon Mitte Juni ist. Die Corona-Krise hat uns noch immer im Griff – und zwar in mehrfacher Hinsicht. Viele Unternehmen stellten gezwungenermassen auf Home Office um. Dadurch mussten Technologien eingesetzt werden, die bisher vielerorts nicht verwendet (oder gar gemieden) wurden – «Arbeiten 2.0», und das von heute auf morgen. Veränderungen bringen aber immer auch Herausforderungen und Risiken mit sich; in punkto IT- und Cyber Security ist das nicht anders. Welche Lehren können wir aus COVID-19 für die Sicherheit ziehen? Wie können abrupte Veränderungen oder Krisen in Zukunft besser gemeistert werden? In diesem Beitrag geben wir Ihnen ein paar Anregungen.
COVID-19 traf uns alle wie ein Schlag – nicht nur in der Schweiz, auch global. Über die Probleme und Herausforderungen haben sich viele nicht nur in den vergangenen Wochen (beinahe wortwörtlich) den Kopf zerbrochen. Der Sorgen- und Themenberg wird uns noch eine Weile begleiten. Es ist unnötig zu sagen, dass jedes Unternehmen vor anderen Herausforderungen steht. Dennoch gibt es Baustellen, an denen alle – früher oder später – arbeiten können, ja sogar müssen.
Eine der (grossen) Baustellen ist bei unzähligen Unternehmen die IT- und Cyber Security. Als wäre dies nicht schon vorher eine immerwährende Challenge gewesen, hat der abrupte Wandel – allen voran Home Office – nochmals einiges ins Rollen gebracht. Besonders gemein: Cyberkriminelle nehmen keine Rücksicht, sondern nutzen die neuen Angriffsflächen und die Sorgen rund um das Coronavirus schamlos aus (hier geht's zum passenden Artikel).
Vielen Unternehmen wurde klar, dass Cyber Security in diesem Jahr ganz oben auf der Agenda stehen muss. Spätestens wenn der Bundesrat die Massnahmen weiter lockert und sich die Arbeitsbedingungen gefühlt «normalisieren», wird es Zeit, die bisherigen Strategien und Massnahmen zu überprüfen und ggf. anzupassen. Aber wo soll man anfangen? Als Erstes sollten die elementarsten Fragen geklärt werden, zum Beispiel:
Gut möglich, dass einige Unternehmen bereits hier ins Stocken geraten. Hand aufs Herz, Sie auch? Lesen Sie ruhig weiter, aber denken Sie daran: Wer hohe Türme bauen will, muss lange beim Fundament verweilen.
Gut Ding will Weile haben – oder anders gesagt, nehmen Sie eins nach dem anderen in Angriff. Denn auch hier gilt: Qualität vor Quantität! Folgenden Aufgaben sollten Sie sich nun widmen.
Nach ganz oben auf die Agenda sollte das Thema Cyber Security nicht nur bei der IT-Abteilung, sondern auch in der Führungsebene. Zum einen, da Cyberattacken das gesamte Unternehmen betreffen und gar zum Stillstand bringen können. Zum anderen, weil dort die Ressourcen und Hauptverantwortlichkeiten geregelt werden. Gerade genügend Ressourcen, insbesonders personelle, sind das A und O für effektive Cyber Security. Auch Datenschutz ist wichtiger denn je, und zwar nicht nur von Gesetzeswegen (Stichwort GDPR/DSGVO, DSG etc.). Vergessen Sie zudem nicht, den Verwaltungsrat auf dem Laufenden zu halten und diesem regelmässig Reportings zuzustellen.
Das Eingangstor für Cyberkriminelle sind oftmals bekannte Schwachstellen, die natürlich gar nicht existieren dürften. Die zunehmende Komplexität in der IT (Security) trägt das ihre dazu bei. Deshalb sind regelmässige Überprüfungen umso wichtiger. Dazu gehören vor allem Vulnerability Scans, Penetration Tests oder Breach Detection Audits – und zwar regelmässig. Nur so lassen sich potentielle Schlupflöcher finden und beseitigen.
Systeme ad-hoc aufgesetzt, ohne die Sicherheit zu verifizieren, Dokumentationen sausen gelassen, Routine-Tasks wie das Einspielen von Patches vernachlässigt usw. Kommt Ihnen das bekannt vor? Kein Wunder in solch hektischen Zeiten. Vergessen Sie aber nicht, das Chaos aufzuräumen! Verifizieren Sie die eingeführten Systeme, dokumentieren Sie die neuen Systemkomponenten und überführen Sie sie in den ordentlichen Betrieb oder entfernen Sie diese wieder. Mit Sicherheit fallen Ihnen noch weitere Punkte ein, die es nachzuarbeiten gilt.
Ihre Strategien können noch so gut sein – ohne stabiles Fundament ist ein Einsturz jederzeit möglich. Daher sollten nicht nur Ihre IT-Infrastruktur und Technik allgemein immer tipptopp sein, sondern auch die Sicherheitsarchitektur. Wie Sie ein sicheres Fundament für Ihre IT-Sicherheit bauen, erfahren Sie in einem früheren Beitrag.
Dazu gehört natürlich auch, sich technisch auf die «neuen» Gegebenheiten und Technologien vorzubereiten und diese einzusetzen – Stichwort Digitalisierung (mobiles Arbeiten, Home Office, Cloud Computing, IoT/IIoT usw.).
Übrigens: In unserer Checkliste finden Sie die wichtigsten Punkte und Tipps, um «sicheres» Home Office im Unternehmen umsetzen zu können – nicht nur technisch, sondern auch auf Ebene Management und der Mitarbeitenden. Hier geht’s zum kostenlosen Download:
Cyber Defence ist mindestens genauso wichtig wie die geschilderten Cyber Security-Massnahmen. Denn heutzutage muss jedes Unternehmen davon ausgehen, dass die eigenen Systeme infiltriert sind – oder bald sein werden. Daher gilt es, Cyber Defence ernst zu nehmen und fix in Ihre Cyber Security-Strategie zu implementieren.
Sie und Ihr Team müssen in der Lage sein, Cyberattacken rasch zu identifizieren und noch schneller darauf zu reagieren (Detect & Response) – und zwar 24x7. Dass der Aufwand dafür riesig ist, ist uns bewusst. Neben dem kostenintensiven Aufbau eines eigenen Cyber Defence Centers mit dedizierten Analysten, gibt es aber auch die Möglichkeit des Outsourcings. Die wichtigsten Punkte, die es bei der Entscheidung zu beachten gilt, haben wir Ihnen in einem früheren Blogartikel sowie in einem «Make or Buy»-Leitfaden zusammengefasst:
Cyber Security besteht aus weit mehr als nur technischen Komponenten. Was sich viele nicht bewusst sind: Cyber Security beginnt beim Menschen. Die wenigsten Ihrer Mitarbeitenden resp. KollegInnen im Unternehmen sind sich vermutlich den täglich lauernden Cyberrisiken bewusst. Ganz zu schweigen vom Wissen, wie der «sichere» Umgang mit PC, E-Mail, Internet und Co. auszusehen hat. Denn leider reicht schon ein falscher Klick, um womöglich das gesamte Netzwerk zu infiltrieren. Umso wichtiger ist eine gezielte Mitarbeitersensibilisierung (Security Awareness) – besonders, wenn auch unterwegs und im Home Office gearbeitet wird. Was das genau bedeutet und wie Sie dazu am besten vorgehen, haben wir ausführlich auf unserer Website beschrieben:
Um Unternehmensprozesse in Krisenzeiten (oder auch einfach bei Betriebsunterbruch) sicherstellen zu können und/oder schnellstmöglich wieder verfügbar zu machen, ist Business Continuity Management (BCM) unerlässlich. Dabei geht es primär um die Erarbeitung von entsprechenden Krisenszenarien und der Ableitung von Notfall-Plänen, um Vorfälle leichter managen zu können. Mit einer Table Top-Simulation spüren Sie allfällige Stolpersteine lange bevor es brodelt auf. Mehr über BCM erfahren Sie in Kürze in einem separaten Blogartikel.
Niemand von uns ist eine «eierlegende Wollmilchsau». Cyber Security ist inzwischen ein riesiges, hochkomplexes Themenfeld, wo Experten weltweit händeringend gesucht werden (Stichwort Fachkräftemangel). Sie wissen, was wir meinen, oder? Arbeiten Sie daher mit externen Experten zusammen in Bereichen, wo sie nicht die notwendigen Ressourcen und/oder das Know-how haben. Suchen Sie sich in ruhigen Zeiten einen verlässlichen Partner mit Erfahrung und breiter Expertise – und sei es nur, um im Notfall die richtige Nummer parat zu haben.
COVID-19 hat alle kräftig durchgeschüttelt und bestimmt auch bei Ihnen einige Baustellen ans Licht gebracht – gehen Sie diese nun Step-by-Step an. Involvieren Sie Ihr Team, nutzen Sie das Talent und die Kompetenzen Ihrer Mitarbeitenden, arbeiten Sie mit Cyber Security-Experten zusammen, seien Sie Motivator (und natürlich Baumeister!). Sehen Sie die Baustellen als Chance, etwas Neues, «Besseres» zu bauen. Denn wie auch schon Winston Churchill gesagt haben soll: «Never let a good crisis go to waste».
Sie haben noch keinen Cyber Security-Partner? Dann schauen Sie sich doch auf unserer Website um – oder melden Sie sich gleich bei uns! Unsere über 150 Mitarbeitenden sind Experten auf den Gebieten Audit, Beratung, Penetration Testing, Architektur und Integration führender Netzwerk- und Security-Lösungen. Daneben erbringen wir umfassende Cyber Defence Services aus unserem ISO 27001 zertifizierten Cyber Defence Center (CDC). Interessiert? Wir freuen uns, gemeinsam mit Ihnen an Ihrer Cybersicherheit zu arbeiten!