Sich Zeit nehmen für die digitale Selbstverteidigung

Bis zu 91 Prozent der Cyber-Angriffe zielen auf kleinere und mittlere Organisationen – und nicht, wie vielleicht erwartet, auf Grossbanken, medizinische Einrichtungen oder Behörden. Für Hacker ist jedes Unternehmen ein mögliches Ziel, denn es geht bei diesen Angriffen weniger um die Daten selbst als um die Erpressung des Unternehmens mittels des Besitzes dieser Daten. 

Warum werden jedoch KMU unverhältnismässig oft Ziel solcher Attacken? Einerseits haben sie aufgrund fehlender Ressourcen, Budgets und Expertise Lücken in ihrer Cyber-Security und dem Datenschutz; es fehlt an geschultem Personal und der entsprechenden IT-Infrastruktur. Andererseits verlangen ihre Kunden im Vergleich zu Grossunternehmen seltener entsprechende Zertifizierungen, wodurch der direkte Druck zur Aufsetzung einer IT-Strategie sinkt. 

Dies ändert sich jedoch zunehmend, denn Konsumenten werden immer sensibler bezüglich des Umgangs und Schutzes ihrer Daten und evaluieren ihre Anbieter verstärkt auch unter diesem Aspekt. 

IT-Sicherheit wird wichtiger  

Nutzer stellen sich vermehrt Fragen, bevor sie eine Dienstleistung nutzen, wie ihre Versicherung oder ihr Mobilfunkanbieter ihre (sensiblen) Daten verarbeiten. Wo werden ihre Daten gespeichert? Werden sie mit Daten an anderen Stellen kombiniert und ausgewertet? Und werden sie ausreichend geschützt oder gelangen sie womöglich an Stellen, die keinen Zugang haben sollten und sie sogar missbrauchen könnten? Der Einbezug des Datenschutzes und der IT-Sicherheit bei der Auswahl eines Anbieters ist eine Entwicklung, die sich auch auf die Arbeit von KMU auswirkt. Wer heute schon Sicherheit bieten und vermitteln kann, hat die Chance, dies in einen Wettbewerbsvorteil umzuwandeln.

Darüber hinaus hat mit der Anwendbarkeit der EU-Datenschutzgrundverordnung (EU-DSGVO) seit Mai 2018 das Thema auch in der Schweiz neue Schubkraft erhalten. Die EU-Standards gelten dabei auch für Schweizer Unternehmen, die eine Niederlassung in der EU haben und personenbezogene Daten verarbeiten oder Produkte beziehungsweise Dienstleistungen in der EU anbieten. Sie betreffen also einen Grossteil der Schweizer KMU und haben einen direkten Einfluss auf das Geschäft. 

Derzeit wird auf nationaler Ebene innerhalb der Schweiz über das Schweizer Datenschutzgesetz und dessen Konformität mit den europäischen Standards diskutiert. Nach einer Lösung, die innerhalb der Schweiz von allen Seiten mitgetragen und auch von der EU als adäquat zum Schutzniveau der EU-DSGVO anerkannt werden wird, wird noch gesucht. Erst im Dezember 2019 hat der Ständerat eine Verschärfung des Vorschlags des Nationalrats beschlossen. 

Unternehmen unter Druck 

Die drei Prämissen sind demnach, ein mindestens gleiches Schutzniveau wie heute zu sichern, ein mit EU-Standards kompatibles Gesetz zu verabschieden und einen Kompromiss beim sogenannten Profiling, das heisst der automatisierten Verarbeitung personenbezogener Daten zur Erstellung von Persönlichkeitsprofilen, deren Bewertung und Analyse, zu finden. Die Vorlage des Ständerats geht nun zurück an den Nationalrat, und es ist mit längeren Diskussionen zu rechnen. Gleichzeitig steigt der Zeitdruck, da die EU voraussichtlich im Mai darüber befinden wird, ob die Schweiz die EU-Standards sicherstellen und damit weiterhin als Drittland mit adäquatem Schutz angesehen werden kann. Sollte dies nicht der Fall sein, würde der Austausch von Daten zwischen der Schweiz und EU-Ländern erschwert.

Damit stehen Unternehmen nicht nur von Seiten ihrer Kunden, sondern auch der Politik zunehmend unter Druck. Daten werden auch für KMU in Zukunft zu einem der wichtigsten Wirtschaftsgüter. Sie sollten genauso verlässlich wie Produktions- und Businesspläne verarbeitet und gesichert werden. Gibt es einmal eine undichte Stelle, bedeutet dies nicht nur einen erheblichen technischen und finanziellen Aufwand, die Daten zurückzugewinnen beziehungsweise wiederherzustellen, sondern auch einen Reputationsschaden und Vertrauensverlust der Kunden.

Intern Bewusstsein schaffen

Um die rechtlich und technisch komplexer werdenden Strukturen als Wettbewerbsvorteil für sich zu nutzen, sollten Unternehmen die sichere Verarbeitung der Daten in ihrem Betrieb proaktiv regeln. Leider fühlen sich die Themen Datenschutz und IT-Sicherheit sowie ihre Umsetzung im täglichen Geschäft für viele KMU wie ein Fass ohne Boden an.  Es dominiert die Sorge, dass man, wenn man erst einmal damit anfängt, nie fertig wird. Die allzu häufige Reaktion ist, gar nicht erst zu beginnen. Dabei können die ersten und wichtigsten Sicherheitsmassnahmen oft relativ schnell, effizient und effektiv umgesetzt werden. Der zentrale – und für viele Unternehmen oft schwierigste – Schritt dabei: sich trauen, das Thema anzupacken. Am Anfang geht es zunächst darum, die richtigen Fragen zu stellen und das Bewusstsein für den verantwortungsvollen Umgang mit Daten zu schaffen.

Das Bewusstsein für die IT-Sicherheit und den Datenschutz ist zwar da, die Umsetzung ist aber oft weniger konsequent. Da viele Unternehmen vermuten, dass der finanzielle Aufwand hoch und die technische Umsetzung komplex ist, werden Massnahmen häufig nicht unmittelbar ergriffen und in die (unbestimmte) Zukunft verschoben.

Die richtigen Fragen stellen

Um sich die Wichtigkeit des Themas vor Augen zu führen und intern das Bewusstsein dafür zu schärfen, hilft es, sich einige ausschlaggebende Fragen zu stellen: Wie viele und welche Daten verarbeiten wir überhaupt? Und wie wird sich die Datenmenge in Zukunft ändern? Wozu benötigen wir die Daten und wie wollen wir sie nutzen? Solche Grundfragen gelten für alle Firmen gleichermassen, unabhängig von Grösse und Branche. 

B2C-ausgerichtete Unternehmen arbeiten aufgrund des Geschäftsmodells per se mit einer grösseren Menge an Daten als B2B-Unternehmen, an den Fragestellungen ändert dies jedoch nichts. 

Die Sensibilität der Daten und damit auch die Massnahmen zur Sicherheit variieren je nach Tätigkeit des Unternehmens; so sieht die Datenverarbeitung in Spitälern anders aus als bei einem Onlineshop. Man denke aber nicht nur an personenbezogene, sondern auch sensible geschäftliche Daten wie Finanzzahlen, Patente oder andere Geschäftsgeheimnisse. Und es gilt zu beachten, dass nicht nur die formelle, schriftliche Kommunikation in Form von Verträgen oder Abmachungen zählt, sondern auch informelle Kommunikationen in den neu aufkommenden Kommunikationskanälen wie Chats, soziale Medien oder aufgezeichnete Telefonkonferenzen, die durchaus auch sensible Daten beinhalten können. 

Weniger ist mehr

Hat sich ein Unternehmen einen Überblick darüber verschafft, welche Daten wie und wo erhoben und genutzt werden, gilt es auch die Frage zu stellen, ob all diese gesammelten Daten tatsächlich gebraucht werden. Gerade hier ist weniger mehr. Es gilt die Grundregel: Gar nicht erst erheben, was nicht benötigt wird, beziehungsweise löschen, was nicht (mehr) gebraucht wird.  

Derzeit existiert ein starker Impuls, alle irgendwie verfügbaren Daten zu sammeln und zu speichern und wenig kritisch zu hinterfragen, welche für die Tätigkeit des Unternehmens wirklich benötigt werden. Eine verringerte Datenmenge ist einer der ersten Schritte auf dem Weg zur Compliance und vereinfacht Infrastruktur und Prozesse. Die Daten, die man nach diesem ersten «Aufräumen» bewusst verarbeitet, werden je nach ihrer Sensibilität kate­gorisiert und die Massnahmen zur Ver­arbeitung gegebenenfalls angepasst.  

Transparente Datenverarbeitung 

In der heutigen Arbeitswelt wird Flexibilität grossgeschrieben, und dadurch rückt die IT-Sicherheit noch weiter ins Visier. Somit entstehen neue Fragestellungen. Darf Whatsapp für die geschäft­liche Kommunikation verwendet werden? Wie greifen Mitarbeitende im Home-Office auf Dokumente zu? Wie gestaltet man einen sicheren, aber benutzerfreundlichen Login-Prozess? Eine konsequente und koordinierte interne Regelung ist die Grundlage für klare und möglichst sichere Prozesse. Sicherheits-Sensibilisierung beginnt bei der Anerkennung der Tatsache, dass Mitarbeitende das schwächste Glied bilden, wenn es um Datenschutz und Cyber-Security geht, aber dass dieselben Mitar­beitenden die erste Verteidigungslinie gegen Cyber-Attacken bilden. Systematische Sensibilisierung und Schulung hilft dabei, jeden Angestellten auf mögliche Cyber-Angriffe und Bedrohungen vor­zubereiten. 

So wird das meistgenutzte Arbeitstool, die E-Mail, oft als Eingangstür von Hackern genutzt. Mit Phishing-Tricks versuchen sie den Mitarbeitenden persönliche Daten und sensible Informationen zu entlocken. Hier können neben Schulungsmassnahmen auch relativ einfache, aber bewährte Schutzmechanismen wie Spam- und Phishing-Filter eingesetzt werden.

Es gilt zudem, die Datenverarbeitung im Unternehmen transparent zu machen und zu kanalisieren. Hierzu gehört insbesondere auch die Definition klarer Prozesse und Zugriffsrechte. Jeder Mitarbeitende soll auf die Daten zugreifen können, die er braucht, um seine Aufgaben erfüllen zu können; der Zugriff auf Daten, die für die Arbeit nicht relevant sind, sollte dagegen verwehrt sein. 

Fazit

Dank der richtigen Fragen und einer Bestandsaufnahme können Prioritäten gesetzt und Schritt für Schritt das Bewusstsein im Unternehmen geschärft sowie notwendige Massnahmen und Prozesse implementiert werden. So wird eine effektive und effiziente Nutzung von Daten als wichtiges Gut sichergestellt, und ihr Schutz kann als Unterscheidungsmerkmal im Markt dienen. 

Interne Sensibilisierungsmassnahmen, Sicherheitssoftwares wie Anti-Virus-Programme oder eine Passwort-Strategie sind zwar zentral, entfalten ihre Wirkung aber nur in der konsequenten Anwendung und als Bestandteil einer ganzheitlichen IT-Strategie. Unabdingbare Voraussetzung für deren Erfolg sind jedoch nicht nur definierte Verantwortlichkeiten – zum Beispiel durch dedizierte Datenschutzbeauftragte, Experten in internen Teams oder externe Spezialisten –, sondern insbesondere auch eine klare und sichtbare Unterstützung durch das Management, die das Thema in den Fokus rückt. Denn auch bei Datenschutz und IT-Sicherheit gilt: Die vorgelebte Kultur macht den Unterschied.