IT-Sicherheit ist allgegenwärtig. Kaum ein Tag vergeht, an dem Medien nicht über eine Cyberattacke oder ein Datenschutzproblem berichten. Daher sollte eigentlich klar sein, wie elementar wichtig das Thema ist. Doch weit gefehlt. Viele Unternehmen sind in Sachen IT-Sicherheit immer noch schlecht aufgestellt.
Warum tun sich Unternehmen nur so schwer mit dem Thema ITSicherheit? Es macht den Eindruck, dass das Thema viele Unternehmen, genauer gesagt deren Geschäftsführer und Vorstände, schlicht und einfach nervt. Cyber Security ist und bleibt in erster Linie immer noch ein Kostentreiber. Anstatt das Thema IT-Sicherheit ernst zu nehmen, setzen viele auf das Prinzip Hoffnung: «Mir wird schon nichts passieren.» Die Hoffnung ist aber nicht
nur trügerisch, sondern falsch! Ein Cyberangriff ist keinesfalls die Frage ob, sondern vielmehr wann. Immer noch gehen Unternehmen sorglos mit dem Schutz kritischer Daten und dem Netzwerk um. Ungesicherte Webcams oder Datenbanken mit Kundeninformationen sind eine leichte Beute für Cyberkriminelle, die mit professionellen
Methoden nach unzureichend gesicherten Geräten oder Netzwerken suchen. Sehr viele Unternehmen sind ein leichtes Opfer für Angreifer, weil die Verantwortlichen nicht einmal
die einfachsten Cyber Security Basics berücksichtigen.
Die Sichtweise «IT-Sicherheit generiert keinen Profit» ist weit verbreitet, aber grundsätzlich falsch. Richtig ist: Funktionierende ITSicherheitsmassnahmen verhindern Verluste. Diese sind nicht nur schmerzhaft, sondern gefährden im schlimmsten Fall die wirtschaftliche Existenz von Firmen. Offensichtlich widmen sich viele Unternehmer aber nicht einer konsequenten und umfassenden Absicherung. Es gilt das Prinzip «Lernen durch Schmerz». Wer einmal einer Cyberattacke zum Opfer gefallen ist, fragt bei der Investition in Schutzmassnahmen nicht mehr nach dem Return-on-Invest.
Wie sieht also die perfekte Strategie gegen Cyberattacken aus? Mit der Installation einer Endpoint Protection oder der Definition einer Passwort-Regelung lassen sich Netzwerke und Daten nicht ausreichend schützen. Es braucht vielmehr einen ganzheitlichen Ansatz, und dieser basiert auf zwei Säulen: zeitgemässe Technologien in Kombination mit geschulten Mitarbeitern.
Aufmerksame Mitarbeiter sind ein entscheidender Faktor bei der Abwehr von Cyberattacken. Sie müssen sich sowohl der Risiken bewusst sein, als auch in die Lage versetzt werden, Angriffsmuster frühzeitig zu erkennen und entsprechend zu handeln. Dafür bedarf es eines umfassenden Schulungsangebotes für die Angestellten.
Wer wissen möchte, wie es um den Schulungsbedarf bestellt ist, kann das Sicherheitsniveau der Belegschaft mit einer Phishing-Simulation testen. Dabei erhalten die Mitarbeiter über einen festgelegten Zeitraum Phishing-Mails in unterschiedlichen
Schwierigkeitsstufen. Mithilfe eines Reports erfahren die Verantwortlichen, ob und wie viele Mitarbeiter eine gefährliche Mail geöffnet und unter Umständen den enthaltenen Link angeklickt haben. Sie wissen auf einen Blick, wie gross und dringend der Handlungsbedarf ist.
Im Kampf gegen Cyberkriminelle braucht es einen langen Atem. Wer frühzeitig eine umfassende Strategie entwickelt und seine Mitarbeiter einbindet, kann ein hohes Sicherheitsniveau etablieren. IT-Sicherheit kostet zwar Geld – aber deutlich weniger, als die Folgen eines erfolgreichen Angriffs zu beseitigen.
