Was KMUs für ihre IT-Security noch tun müssen

Die vierte Ausgabe der Swiss Cyber Security Days ist vorbei. An den beiden Eventtagen am 6. und 7. April 2022 kamen insgesamt rund 2000 Besucher und Besucherinnen für die IT-Sicherheitsmesse zum Forum Fribourg, um sich die über 130 Keynotes, Podien und Expertengespräche anzusehen.

Der erste Tag fokussierte sich auf wichtige globale Sicherheitsfragen für die Schweiz, wie Sie hier nachlesen können. Am zweiten Tag stand die Cybersecurity von KMUs auf dem Programm.

Nach einer kurzen Begrüssung durch Nationalrätin und Präsidentin der SCSD Doris Fiala startete der Tag mit einer Rede von Gerhard Andrey, Mitgründer von Liip und ebenfalls Mitglied des Nationalrats. In seiner Keynote ging er darauf ein, wie die Luftfahrtindustrie auf technische Defekte in komplexen Systemen mit einer transparenten Sicherheitskultur reagiere.

Nationalrätin und Präsidentin der SCSD Doris Fiala. (Source: Netzmedien)

"Von dieser Kultur sollte sich die gesamte Digitalbranche eine Scheibe abscheiden", sagte er. Auch im Umgang mit Cybersecurity-Themen sollte eine präzise und vollständige Informationsübermittlung zum Standard werden.

Ferner sprach er auch über das Thema Open Source. Zu viele würden davon profitieren – zu wenige dazu beitragen. "Es muss zu einer Selbstverständlichkeit der Branche werden, solche Ansätze zu unterstützen", forderte der Politiker und Unternehmer.

Es hadert bei der Organisation, nicht der Technik

Anschliessend gab die Versicherungsgesellschaft Mobiliar einen Einblick in zwei Studien sowie in die eigenen Sicherheitsbemühungen. Das Unternehmen baute etwa ein eigenes Cyber-Defense-Center auf. "Wir entschieden uns bewusst dafür, diese kritische Funktion nicht zu outsourcen", sagte CIO Thomas Kühne.

Die Studien ergaben, dass die Schweizer KMUs bei den technischen Massnahmen gut aufgestellt seien. So würden 90 Prozent der Befragten regelmässige Software-Updates einspielen, 86 Prozent ihr WLAN mit Passwörtern sichern und 84 Prozent eine Firewall einsetzen, heisst es in der Studie.

Bei den organisatorischen Massnahmen "sieht das Bild bedeutend anders aus", sagte Hölzli. Nur 77 Prozent prüfen gemäss der Studie, ob sie ihre Daten aus den Backups wiederherstellen können. Einen Notfallplan haben 58 Prozent und regelmässige Mitarbeiterschulungen führen nur 39 Prozent der Befragten durch.

Ausdrucken nicht vergessen

"Das grösste Problem ist der Mensch", sagte Kühne. Wenn man irgendwo ansetze, müsse man also beim Menschen ansetzen. Awareness dürfe aber nicht mit Strafen verbunden sein. "Die Mitarbeitenden sollen motiviert werden, etwas zu melden", sagte er.

Von links: CIO Thomas Kühne zusammen mit Susanne Maurer, Redaktorin Unternehmenskommunikation, und Andreas Hölzli, Leiter Kompetenzzentrum Cyber Risk bei der Mobiliar. (Source: Netzmedien)

Ferner sei es wichtig, einen Notfallplan zu haben, ergänzte Andreas Hölzli, Leiter Kompetenzzentrum Cyber Risk bei der Versicherungsgesellschaft. So könne man die Reaktionsfähigkeit in einer Notlage gewährleisten. Der Plan soll klar regeln, wer für was zuständig ist, wie man diese Personen erreicht und das Vorgehen im Ernstfall Schritt für Schritt definieren.

So einen Plan vorzubereiten, sei nicht schwierig. "Ich würde den Notfallplan aber auf Papier schreiben oder ihn wenigstens ausdrucken", sagte Hölzli. Denn im Falle eines Angriffs könnte er andernfalls nicht zugänglich sein.

In der aktuellen Ausgabe der Netzwoche ist ein Interview mit Mobiliar-CIO Thomas Kühne erschienen. Darin spricht er unter anderem über das Zahlen oder Nicht-Zahlen von Ransomware-Lösegeldern sowie über Cyberversicherungen.

Nutzen und Grenzen von Cyberversicherungen

In einem späteren Panel zum Cyber-Safe-Label griff Marktbegleiter Helvetia das Thema KMU-Sicherheit auf. Tobias Seitz, Leiter Underwriting Region Ost Technische Versicherungen bei Helvetia, sprach über Nutzen und Grenzen einer Cyberversicherung.

"Cyberangriffe können die Existenz eines Unternehmens bedrohen", sagte er. Eine reine Cyberversicherung hilft da wenig." Die verlorenen Daten oder Reputation könne eine Versicherung auch nicht wieder zurückzaubern.

Tobias Seitz, Leiter Underwriting Region Ost Technische Versicherungen bei Helvetia. (Source: Netzmedien)

"Organisatorische und technische Massnahmen sind wichtig. Aber auch diese können keinen 100-prozentigen Schutz bieten", sagte Seitz. Eine Cyberversicherung könne als ergänzenden Schutz dieses Restrisiko zu einem grossen Teil übernehmen. Die Versicherungsgesellschaft arbeitet mit dem Label zusammen, um die Security-Maturität der versicherten Unternehmen zu beurteilen. Firmen mit so einem Label würden einen Qualitätsrabatt erhalten von der Versicherung.

Awards für vier Cybersecurity-Start-ups

An den diesjährigen SCSD war auch die Premiere des SCION-Projekts der ETH. Die sichere Internetarchitektur soll eine erhöhte Sicherheit, Verfügbarkeit und Leistung bieten. Adrian Perrig (ETH), Martin Bosshardt (Anapaya), Florian Schütz (NCSC), August Benz (SBA), Urs Fischer (HIN), Stefan Berg (Swisscom) und Robert Wigger (Sunrise Impulse) zeigten das Projekt erstmals der Öffentlichkeit.

Die prämierten Start-ups an den SCSD 2022 - ganz rechts: Charles Foucault-Dumas von Hestia Labs. (Source: Netzmedien)

Zu den weiteren Highlights am zweiten Tag der SCSD gehörte die Ehrung der Gewinner des dritten Tech4Trust-Programms. Das Accelerator-Programm von Trust Valley kürte 3 Cybersecurity-Start-ups. Den ersten Platz holte sich Saporo. Auf den Rängen 2 und 3 kamen Tune Insight respektive Prodaft.

Ein viertes Start-up durfte sich ebenfalls über die Preisverleihung freuen. Hestia Labs erhielt den "Social Impact Award" der Herbert & Audrey Rosenfield Foundation. Den Preis in Empfang nahm Hestia Labs' Head of Communications und ehemaliger Netzmedien-Redaktor Charles Foucault-Dumas.

Die nächste Ausgabe der Swiss Cyber Security Days wird am 29. und 30. März stattfinden.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den wöchentlichen Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.