«Es gibt keine Cyber-Sicherheit» – Experte des Bundes warnt in Lichtensteig vor IT-Risiken

Viele Unternehmen unterschätzen die Bedrohungslage im Bereich der Cyber-Sicherheit, zeigte ein Referat im Lichtensteiger Macherzentrum.

Sascha Erni
Drucken
Teilen
Sicherheitsexperte Arié Malz sprach in Lichtensteig zum Thema Risiko-Modelle in der KMU-IT. (Bild: Sascha Erni)

Sicherheitsexperte Arié Malz sprach in Lichtensteig zum Thema Risiko-Modelle in der KMU-IT. (Bild: Sascha Erni)

«Offenbar interessiert sich das hiesige Gewerbe nicht für IT-Sicherheit», sagte Arié Malz. Dann lachte er, das Publikum lachte mit. Denn der «Machertreff» vom Donnerstag hatte gerade mal acht Gäste ins Lichtensteiger Macherzentrum gelockt.

Eine kurze, nicht-repräsentative Umfrage beim Toggenburger Gewerbe hatte schon im Vorfeld gezeigt, dass «Cyber-Sicherheit» für viele ein Nicht-Thema darstellt: Man schaltet seine Firewall ein, lässt einen Virenscanner laufen, aber ein umfassendes Sicherheitskonzept konnte in der Stichprobe kaum ein Unternehmer ausweisen. «Weshalb sollte mich jemand hacken wollen?», scheint die weitverbreitete Meinung wohl nicht nur unter Toggenburger KMU zu sein.

Angst vor Image-Schaden führt zu Dunkelziffer

Zu Beginn seines Vortrags nannte der Leiter der bundesrätlichen Expertengruppe «Zukunft der Datenbearbeitung und Datensicherheit» und Vorstand beim Information Security Society Switzerland (ISSS) passend dazu konkrete Zahlen für die Gesamtschweiz: In einer repräsentativen KMU-Umfrage zeigten sich laut Arié Malz im Jahr 2017 80 Prozent davon überzeugt, gut geschützt zu sein – aber 36 Prozent der befragten Unternehmen sind bereits Opfer erfolgreicher Attacken auf ihre IT-Infrastruktur geworden.

Im Vergleich zu 2009 habe sich die Anzahl gemeldeter Angriffe verdreifacht. Dennoch würden ebenfalls über 80 Prozent der Befragten eine Meldepflicht ablehnen. «Viele befürchten einen Reputationsverlust, wenn sie zugeben, betroffen gewesen zu sein», erklärte Malz. Das führe zu einer hohen Dunkelziffer, was bei anderen KMU den Eindruck erwecke, man müsse gar nicht gross etwas für die IT-Sicherheit seines Unternehmens machen – es passiere ja kaum etwas.

Risiko-Modelle sind nicht allgemeingültig

Wobei der Begriff «IT-Sicherheit» oder «Cybersecurity» sowieso irreführend sei. Malz erklärte:

«Ein System ist nie entweder sicher oder unsicher. Es gibt keine Cybersicherheit, nur passende oder unpassende Risiko-Modelle.»

Diese Risiko-Modelle seien nicht allgemeingültig – eine zweiköpfige Anwaltskanzlei habe in der vernetzten Welt andere Risiken zu tragen als eine Bäckerei mit vierzehn Mitarbeitenden.

Aber wie setzt sich nun ein solches Risiko-Modell zusammen? «Vereinfacht gesagt ist es das Produkt aus der Verwundbarkeit eines KMU, dem möglichen Schadenausmass und der Bedrohungslage», sagte Malz. Die Angriffsfläche, also die Verwundbarkeit für IT-Attacken, habe sich über die letzten Jahre vergrössert: Home-Office, die persönlichen digitalen Gerätschaften der Angestellten aber auch das «Internet der Dinge» würden die Möglichkeiten für Kriminelle stetig erweitern.

Lösegeld fürs Freischalten der Systeme

In Sachen Bedrohungslage würden sich viele KMU in Sicherheit wiegen. Und auch tatsächlich werden kleine Unternehmen nur selten Opfer gezielter Angriffe. «Aber sie können leicht Ziel systemischer Angriffe werden.» Kriminelle würden beispielsweise wahllos Ransomware-Trojaner verschicken, um Daten auf Festplatten zu verschlüsseln. Die Kriminellen verlangen erst nach einem solchen Zufallstreffer Lösegeld fürs Freischalten der blockierten Systeme.

Damit KMU solche Risiken nicht ausblenden, benötige es Sensibilisierung durch Bund und Experten, aber auch den Willen seitens der Unternehmen, ihr eigenes Risiko-Modell realistisch einzuschätzen.

Bei der Suche nach einem IT-Sicherheitskonzept ginge es also nicht um «Sicherheit», sondern um Risikominderung: Welches Risiko trage ich als Unternehmen, wie kann ich mit diesem Risiko umgehen, und wie viel darf es kosten? «Es braucht ein rationales Verhältnis zwischen Risiko und der Summe für die nötigen Sicherheitsinvestitionen», erklärte Arié Malz. Das Thema sei ein drängendes, denn die vernetzte Welt ticke schnell. Aufklärung sei ihm entsprechend ein wichtiges Anliegen, damit KMU den Ansporn erhalten, diese Analysen anzugehen. «Auch wenn es wie heute vor eher kleinen Schar geschieht», sagte er schmunzelnd.