Eine hohe Cybersicherheit ist für Unternehmen jeder Grössenordnung von zentraler Bedeutung, denn ein unerwarteter Cyberangriff kann sich schnell zu einem erfolgskritischen Ereignis entwickeln. Vor diesem Hintergrund ist es wichtig, der IT-Sicherheit eine hohe Priorität einzuräumen – auch im Verwaltungsrat.
Unternehmen sehen sich während ihrer Geschäftstätigkeit mit verschiedenen Risikofaktoren konfrontiert. Kaum einer hat jedoch die Macht, den Geschäftsablauf in so kurzer Zeit so nachhaltig zu beeinträchtigen, wie dies Cyberrisiken tun. Regelmässig finden sich in Medien Berichte über erfolgreiche Cyberattacken auf Schweizer KMU und deren schwerwiegende Folgen – sie beweisen damit, dass Cyberangriffe aus unerwarteter Richtung und mit grossem Schadenpotenzial beinahe jedes Unternehmen treffen können.
Die Gefahr, die von Cyberattacken und Sicherheitslücken in der IT-Infrastruktur ausgeht, ist real und für das KMU potenziell existenzbedrohend: Unerwartete Zusatzausgaben, kostspielige Sicherheitsupdates und ein nachhaltiger Reputationsschaden bei Kundinnen, Kunden und Partnern sind ernstzunehmende Folgen. Als das strategische Führungsgremium des Unternehmens, muss auch der Verwaltungsrat über IT-Sicherheit informiert sein und bei der Umsetzung der Strategie unterstützen.
Informieren und sensibilisieren
Cyberangriffe bringen sensible Firmeninformationen, Kundendaten, Prozesse und Systeme eines Unternehmens in grosse Gefahr – Verwaltungsräte unterschätzen Risiko und Folgen einer solchen Attacke jedoch bis heute. Als oberstes Führungsgremium im Unternehmen ist der Verwaltungsrat verpflichtet, seine Verantwortung wahrzunehmen. Er muss dafür sorgen, dass das Unternehmen alle Vorkehrungen trifft, um auf einen Cyberangriff vorbereitet zu sein. Geschäftsführer und IT-Sicherheitsbeauftragte tun daher gut daran, ihn in regelmässigen Abständen über die bestehenden Risikofaktoren der IT und die notwendigen Investitionen in Kenntnis zu setzen.
Cybersicherheit im Fokus: 5 Tipps für die nächste Verwaltungsratssitzung
Folgende fünf Tipps helfen dabei, dem Verwaltungsrat die Relevanz und Notwendigkeit von Cybersicherheit im eigenen Unternehmen darzulegen.
1. Beispiele nutzen und Fachbegriffe vermeiden
Begriffe wie Ransomware, Cross-Site-Scripting oder DDoS-Angriffe klingen zwar bedrohlich, führen aber bei unkundigen Geschäftsleuten eher zu Unverständnis und damit zu Desinteresse. In einem Verwaltungsrat sitzen Personen aus den verschiedensten Fachbereichen – um sie alle von einer Priorisierung der IT-Sicherheit zu überzeugen, ist eine verständliche Wortwahl mit ergänzenden Erläuterungen wichtig. Besonders eignet sich hierfür der Rückgriff auf aktuelle Vorfälle und Probleme in der Branche sowie eine Benchmarking-Analyse mit vergleichbaren Unternehmen. Gerade komplexe Themen lassen sich durch konkrete Beispiele nachvollziehbar vermitteln.
2. Wo liegen Angriffsflächen im eigenen Unternehmen
Durch das Aufzeigen von bestehenden Sicherheitslücken im eigenen Unternehmen, führt der Geschäftsführer dem Verwaltungsrat die Dringlichkeit des Themas vor Augen. Auch hier helfen gezielte Beispiele und Metriken dabei, die Handlungsnotwendigkeit zu unterstreichen und Investitionen in die Cybersicherheit zu erreichen:
-
Ergebnis eines «Test-Phishing-E-Mail-Versands»
Ein gezieltes Test-Phishing-E-Mail an alle Mitarbeitenden im Unternehmen gibt eindrückliche Erkenntnisse darüber, wie gut Mitarbeitende in Bezug auf ein sicheres Online-Verhalten sensibilisiert sind. Ein IT-Experte mit Kompetenz in Cyber Security, wie beispielsweise ein Anbieter von Managed IT Services, unterstützt sowohl beim Versand als auch bei der Auswertung eines solchen E-Mails.
-
Reaktionszeit bei Zwischenfällen
Wie viel Zeit vergeht, bis ein gezielter oder ungezielter Cyberangriff erkannt wird? Und wie rasch erholt sich das Unternehmen von einer Attacke (Disaster Recovery)? Eine kurze Reaktionszeit hilft massgeblich dabei, den Schaden in Grenzen zu halten.
-
Blockieren von externen Zugängen
Das Blockieren von externen Zugängen zum Firmenserver (z.B. aus den Home Offices der Mitarbeitenden oder anderen Aussenstellen) ist ein wichtiger Notfallmechanismus im Falle einer Cyberattacke. Wie schnell ein solches Blockieren möglich ist, kann auf den Erfolg oder Misserfolg einer Attacke grossen Einfluss haben.
-
Umgang mit Login-Daten
Ein leichtfertiger Umgang mit Passwörtern und Login-Daten von Mitarbeitenden und Führungskräften bietet Hackern ein leichtes Einfallstor ins Unternehmen. Informationen darüber, wie Mitarbeitende ihr Passwort festlegen, wie oft sie es wechseln und welche Informationen sie nutzen, zeigen auf, ob für Angestellte weitere Schulungen notwendig sind.
3. Mögliche Konsequenzen für das Unternehmen
Cyberattacken treffen ganz verschiedene Bereiche im Unternehmen und können weitreichende Konsequenzen nach sich ziehen. Auch hier helfen konkrete Beispiele dabei, den Verwaltungsrat von der Relevanz von Cybersicherheit im eigenen Unternehmen zu überzeugen.
Hacker verfolgen meist ganz konkrete Ziele: So versuchen sie an wertvolle Kunden- und Firmendaten zu gelangen oder Betriebsgeheimnisse zu stehlen, sie provozieren eine Unterbrechung der gesamten Geschäftstätigkeiten und zielen mit Erpressungen auf Lösegeldzahlungen ab. Hohe Investitionen in die Wiederherstellung der Systeme und ein langfristiger Imageschaden sind die Folge. Der finanzielle Schaden einer erfolgreichen Cyberattacke ist kaum kalkulierbar und kann für ein Unternehmen existenzbedrohende Ausmasse annehmen.
4. Lösungswege und Cyber-Security-Massnahmen
Cyberkriminelle treten immer professioneller auf und ein Unternehmen ist selbst mit den neuesten Sicherheitsvorkehrungen stets dem kleinen Restrisiko ausgesetzt, Opfer eines Cyberangriffs zu werden. Um dennoch einen kontinuierlichen Betriebsablauf sicherzustellen, ist neben einer guten Vorsorge mit technischen Massnahmen und der Schulung von Mitarbeitenden, auch ein umfassender Reaktionsplan für den Fall einer Attacke zu etablieren.
In einem Business Continuity Plan (betrieblicher Kontinuitätsplan oder BCP) hält die Unternehmensführung ihre Strategien, Massnahmen und Prozesse fest, die im Krisenfall den weiteren Betrieb des Unternehmens sicherstellen sollen. Als wichtiger Teil davon fasst der Disaster Recovery Plan (Wiederherstellungsplan oder DRP) jene Schritte zusammen, die zur Wiederherstellung der IT-Infrastruktur und der verlorenen Daten notwendig sind. Mit einer guten Planung und einer schnellen Reaktion können sich KMU vor unliebsamen Konsequenzen von Cyberattacken schützen.
5. Die Expertise eines Managed IT Services Partners
Die IT-Infrastruktur eines KMU kann komplex und vielseitig sein. Um sie zu schützen sind oft ebenso komplexe und vielseitige Systeme und Massnahmen zu implementieren. Durch den Beizug eines erfahrenen Experten im Bereich der Cyber Security, gewinnt die Argumentation vor dem Verwaltungsrat zusätzlich an Glaubwürdigkeit. Durch seine fundierte Erfahrung kann ein zertifizierter Anbieter von Managed IT Services Cyberrisiken beispielhaft aus seinem Arbeitsalltag erläutern und gewichten.
Die IT-Sicherheit gehört auf die Agenda des Verwaltungsrates
Die Cybersicherheit hat in den vergangenen Jahren zwar deutlich an Bedeutung gewonnen, doch immer noch räumen ihr viele Verwaltungsräte von KMU nicht den Stellenwert ein, den sie verdient. Geschäftsführer, Geschäftsführerinnen und IT-Verantwortliche sollten das Führungsgremium daher regelmässig über die potenziellen Risikofaktoren informieren und diesem die Notwendigkeit von ausreichenden IT-Ressourcen darlegen. Dabei kann ein qualifizierter Anbieter von Managed IT Services den Geschäftsführer gezielt und mit einer massgeschneiderten Argumentation unterstützen. Gleichzeitig ist er in der Lage, die IT-Sicherheit im KMU zu testen und Empfehlungen abzugeben.
.png){kind=icon}
