ValueOn Blog

IT-Security heute in KMU: Antworten auf die wichtigsten Fragen

Geschrieben von Andreas Stuker | Mar 30, 2022 1:51:00 PM

IT-Security und -Sicherheit in KMU: Was gilt es aktuell zu beachten?

Risiken, Prävention und Ernstfall: Das
Fachgespräch mit Armando Chiodi bietet Antworten auf die wichtigsten aktuellen Fragen aus Sicht der KMU

Der 33. #Competence Call von Project Competence im Februar 2022 war dem hochaktuellen Themengebiet Cyber Security & Cyber Resilience gewidmet. Im Gespräch mit unserem Gast und Fachexperten Armando Chiodi, Head of Cyber Security Consulting und CISO, Q-PERIOR AG, entwickelte sich ein interessanter fachlicher Austausch. In Folge haben wir die wichtigsten Fragen und Antworten dieses Online-Fachgesprächs nochmals zusammengefasst. Moderiert wurde der Anlass von Andreas Stuker.

Am Ende des Interviews finden Sie weitere Fragen von Teilnehmenden des #CompetenceCalls zum Thema IT-Sicherheit.

Das Thema Cyber Security und Cyber Kriminalität ist in letzter Zeit in den Medien sehr präsent. Zurecht?

Armando Chiodi: Absolut. Das Thema ist nicht nur in den Medien sehr stark präsent, sondern es ist vor allem und insbesondere für KMUs eine reale Bedrohung. Grosskonzerne sind dieser Bedrohungslage schon viel länger ausgesetzt, und besonders der Finanzsektor ist in diesen Bereichen sehr gut aufgestellt. Bei den KMUs hingegen gibt es vielerorts noch sehr grossen Aufholbedarf.

Um die Entwicklung in einen konkreten Kontext zu setzen: Cyber-Crime erwirtschaftet weltweit seit 2018 mehr Umsatz als die Drogenkriminalität. Dieser Vergleich spricht für sich. Gleiches wird deutlich, wenn wir kurz auf die Benchmarks schauen: So stuft u.a. der Risk-Barometer der Allianz Versicherung Cyber-Crime als grösstes Geschäftsrisiko ein, sogar noch gewichtiger als Betriebsunterbrechungen oder Marktveränderungen.

Kurz gesagt: Es gibt in diesem Feld wirklich eine echte Bedrohung. Diese ist natürlich für alle immer weit weg, bis es dann ein Unternehmen trifft. Das erlebe ich bei vielen Kunden, bei denen zuvor die Awareness für dieses Risiko nicht besonders hoch war. Wenn es dann aktuell wird, ist die Awareness logischerweise plötzlich ganz schnell ganz hoch.

Hat sich neben dem kommerziellen Interesse der Kriminellen auch technologisch etwas verändert oder ist die Infrastruktur heute anfälliger, so dass es einfacher ist eine Firma anzugreifen?

Ich glaube es ist eher eine Frage der Professionalisierung und Industrialisierung der Cyber-Kriminalität. Heute haben wir eine sehr starke Segmentierung der – ich nenne es mal – «Cyber-Wertschöpfungskette». Und mittlerweile werden im Darknet Credentials und Zugänge richtiggehend gehandelt. Ein weiteres Beispiel: Ich kann heute ein Ransomware-Kit, mittels dem ich auch als «Non-Hacker» ein Unternehmen angreifen kann, im Darknet für 16 Dollar kaufen. Wenn man sich das überlegt, wird jedem klar, was das für die Unternehmen bedeutet.

Lässt sich eine Tendenz seitens der Angreifer weg von Gross- hin zu Kleinunternehmen feststellen?

Das würde ich nicht generell sagen. KMUs sind natürlich rein aus den finanziellen Möglichkeiten meistens gar nicht in der Lage, eine Absicherung zu gewährleisten wie wir sie z.B. bei Banken oder Versicherungen vorfinden. Und das betrifft nicht nur die Absicherung, sondern auch die IT selbst. KMUs sind hier – ich sage mal – eher pragmatischer aufgestellt ist, weniger professionell. Das führt dann dazu, dass zum Beispiel irgendein Fachbereich seinen Server (oder auch Cloud-Instanz) selbst einkauft und unter den Desk stellt, das auf Laptops Admin-Rechte bereitgestellt werden oder man gar nicht weiss, welche Assets im Unternehmen unterwegs sind (Hardware & Software). Das alles macht es viel schwerer, die Systeme zu patchen und zu härten. Entsprechend führen die Cyber-Angriffe viel eher bei KMUs auch zum Erfolg. Und ich muss ehrlicherweise klar sagen: Tatsächlich ist es heute bei vielen KMUs so, dass ein Einbruch wirklich sehr sehr einfach ist.

«Jede Digitalisierungsstrategie muss heute auch eine Cyber-Strategie umfassen.»

Dabei ist es bereits von Vorteil, nur abgesicherter zu sein als andere. Ich vergleiche das immer mit einer Geschichte, die ich bei meiner Haus-Renovation erlebt habe. Im Kanton Zürich kann man kostenfrei die Einbruchsicherheit seines Hauses durch die Polizei überprüfen lassen. Auf die Frage, wie sicher mein Haus aktuell sei, meint der Polizist: «Wenn sie das Haus so weit absichern, dass der Einbrecher in 5-10 Minuten nicht ins Haus kommt, dann geht er weiter zum Nachbar». Diese Erkenntnis lässt sich auch auf die IT-Security übertragen.

 
#Competence Calls

Kennen Sie unsere Online-Fachgespräche schon? Regelmässig veranstaltet Project Competence Online-Fachgespräche zu ausgewählten Themen mit ausgewiesenen Experten.



Es geistern ja viele Begriffe durch den Äther, wenn es um IT Security geht. Kannst du kurz etwas zu Malware und Ransomware sagen?

Malware ist einfach der Überbegriff für böswillige Software, da fällt vieles drunter. Die grösste Bedrohung heutzutage geht klar von Ransomware aus, die zum Ziel hat ein Lösegeld zu erpressen – auf welchen Weg auch immer.

Oft passiert das in der ersten Phase über eine Verschlüsselung der Daten der Unternehmungen, sodass die Unternehmen nicht mehr an ihre Daten kommen. Danach folgen Betriebsunterbrüche oder ähnliches. Eine zweite Steigerung ist, dass man die Daten abzieht und gar veröffentlicht. Da sind dann oft Geschäftsgeheimnisse dabei, die kritisch sind, weil sie vielleicht einem Patent unterliegen. In der EU sind es aktuell vor allem Personendaten, die veröffentlicht werden, weil diese dem Datenschutz unterliegen. Das bedeutet, jeder Angriff auf Personendaten im EU-Raum zieht automatisch nochmals eine saftige Strafe der Datenschutzbehörde nach sich.

Eine weitere Steigerung ist die Drohung oder auch das effektive Angehen der Geschäftspartner der betroffenen Unternehmung über den Missbrauch eines vertrauensvollen Zugangs. Der Angreifer kann plötzlich Mails versenden von der eigenen Domäne, er kann vielleicht eine stehende Verbindung nutzen zwischen dem Unternehmen und Lieferanten, Partnerunternehmen oder Kunden. Der Druck wird einfach immer weiter erhöht, bis das Lösegeld bezahlt wird oder das Gegenteil passiert und die Angreifer irgendwo an einer technischen Hürde scheitern.

Und wie verschaffen sich die Leute Zugang ins System. Ist der vielzitierte Link im E-Mail der einzige Weg?

Der einzige nicht, aber sicherlich der einfachste. Man kann schon versuchen via Website und über die interne Infrastruktur anzugreifen, das geht sicherlich. Aber weitaus einfacher ist es über den Menschen zu gehen, denn der ist definitiv das schwächste Glied in der Kette.

«Die grösste Bedrohung heutzutage geht klar von Ransomware aus, die zum Ziel hat ein Lösegeld zu erpressen – auf welchen Weg auch immer.»

Selbst wenn wir mit Firmen Awareness-Kampagnen machen, in der wir u.a. Phishing-Mails jeden Monat an Mitarbeiter senden, wird klar: Wenn die Mail von einer öffentlichen Person der Unternehmung stammt, klicken ein Drittel aller Mitarbeiter auf einen solchen Link, wenn es gut gemacht ist. Das lässt sich dann vielleicht mit viel Training auf 4 bis 5 Prozent reduzieren, aber auf null geht es nie. Und es reicht ja, wenn nur eine Person auf einen solchen Link klickt.

Und was passiert danach genau?

Der Angreifende versucht nach dem Zugang ins System seine Rechte auszuweiten, an irgendeinen Admin-Account ranzukommen und so einen festen Zugang zu etablieren – sprich ein Zugang unabhängig davon, ob der Computer läuft. Danach geht es um den Zugang auf einen Server, der immer läuft und er so permanent Zugang hat. So werden die Rechte sukzessive ausgeweitet bis im Idealfall die Rechte des Domänen-Admin erreicht werden – und damit die ganze Firma unter Kontrolle ist. 

Wie kommt ihr an die Security-Fälle bzw. wie kommen diese zu dir?

Ich glaube die Awareness und das Risikobewusstsein – u.a. durch die Medienberichterstattung – sind bereits sehr hoch. Viele unserer Kunden kommen daher präventiv auf uns zu. Wir machen das ja nun auch schon viele Jahre. 

Es gibt dann aber natürlich auch die anderen Fälle, d.h. Unternehmungen, die akut betroffen sind. Hier geht es immer zuerst darum zu schauen, dass die Firma nicht in Konkurs geht und wieder arbeiten kann. Dabei versucht ein Dienstleister das System wieder aufzubauen (aus gesicherten Konfigurationen, Backups, …). In einer ersten Phase geschieht das Quick&Dirty. Dabei steigt aber in der Regel die Awareness beim Kunden so stark, dass viele Kunden dann das auch richtig machen möchten.

«Gemäss Benchmarks sollten ungefähr 15 Prozent des IT-Budgets heute in die Security fliessen.»

Dieser Prozess beginnt meistens damit, dass die IT konsolidiert wird, und wir schauen, was überhaupt vorhanden ist. Tatsächlich herrscht in dieser Phase sehr viel Druck, und es ist auch schwierig bzgl. der Erwartungshaltungen, da es einerseits zeitlich drängt, andererseits eine Security nicht mal eben von heute auf morgen aufgebaut werden kann. Wenn wir zum Beispiel das MITRE ATT&CK Framework (generischer Blick auf das Vorgehen eines Angreifers), betrachten, gilt es 14 Bereiche zu beachten. Und für jeden dieser Bereiche sind Massnahmen notwendig, weil man es nie schaffen wird, dass der Hacker einen Schritt überhaupt nicht machen wird. Und erst damit schaffen wir wirklich «Sicherheit». Dieser Prozess dauert natürlich seine Zeit. 

Wie kann man eine Cyber-Security-Strategie aufbauen?

Für mich ist eines klar: Jeder, der sich eine Geschäfts- und Digitalisierungsstrategie überlegt, muss sich auch bzgl. einer Cyber-Strategie Gedanken machen. Dabei gilt es u.a. auch zu entscheiden, was ich bereit bin für den Schutz meiner Assets auszugeben. Und damit meine ich nicht nur die IT oder die Computer, sondern man muss sich überlegen, was ein Betriebsausfall zum Beispiel von zwei Wochen für uns bedeutet? Und was heisst sind langfristige Folgen von einem Angriff? Etwa ein Drittel aller Firmen, welche von einem Cyber-Angriff betroffen sind, geht nach spätestens drei Jahren in Konkurs.


Eintägige Impuls-Workshops
Rund um die digitale Business Transformation bieten wir Ihnen spannende eintägige Impuls-Worskhops an mit dem Ziel, in Kürze, kompakt und gemeinsam mit Ihrem Team einen grösstmöglichen Erkenntnisgewinn und eine zielgerichtete Entscheidungsgrundlage zu bieten.

 

Wenn ich diese Richtung denke, mit welchen Kosten muss ich als Unternehmen rechnen?

Gemäss Benchmarks sollten ungefähr 15 Prozent des IT-Budgets heute in die Security fliessen. Für mich als «Security-Mensch» ist das jetzt nicht so überragend viel. Wenn man aber betrachtet, wie viel man schon für Hard- und Software ausgeben muss, dann ist das – gerade aus der Sicht der KMU – schnell eine grosse Summe. 

Heisst das: Je mehr Risiko ich eingehe, desto günstiger wird es – stimmt das?

Im Ansatz stimmt das. Man sollte sich aber bewusst sein, welche Risiken man eingeht. Zumindest ein professionelles Risikomanagement und Assessment der Absicherung ist ein absolutes Muss.

«Etwa ein Drittel aller Firmen, welche von einem Cyber-Angriff betroffen sind, geht nach spätestens drei Jahren in Konkurs.»

Dann gilt es die Risiken und die Risiko-Affinität der Unternehmen abzustimmen. Ziel muss und kann ja nicht sein, alles auf «grün» zu bekommen, sondern man muss als Unternehmer auch gewisse Risiken einfach tragen und akzeptieren. In diesem Kontext gilt es eine sinnvolle Abschätzung zu machen – und diese vor allem auch transparent zu machen.

Die IT und Wirtschaft befindet sich gerade in einer Cloud-Welle. Was bedeutet das aus dem Blickwinkel Security?

Ich persönlich bin eher ein Fan von der Cloud, aber auch das muss man professionell machen. Man ist nicht sämtliche Security-Probleme los, nur weil man in die Cloud wechselt, aber die Cloud gibt eine gewisse Basissicherheit und insbesondere das Thema Verfügbarkeit lässt sich in der Cloud extrem gut abbilden. Alle Denial of Service-Attacken laufen da praktisch ins Leere, weil die Cloud-Betreiber einfach die Ressourcen hochfahren, bis die Attacke vorbei ist. Aber trotzdem gibt es viele Themen, um die man sich kümmern muss, gerade wenn man die Plattform als Service einkauft, was ja meistens der Fall ist.  

Armando Chiodi, herzlichen Dank für deine Teilnahme an unserem Online-Expertengespräch. Jetzt bleibt noch Zeit für einige Fragen unserer Zuhörer:innen.

Weitere spannende Fragen, die von den Teilnehmenden im Rahmen des #Competence Calls gestellt wurden:


  • Der Bund hat heute morgen 130 Organisationen über Sicherheitslücken informiert im Exchange Server-Bereich. Heisst das, wenn man keinen Brief erhalten hat, dass keine Sicherheitslücken bestehen?
    Zur Antwort >>>

  • Wie merkt man eigentlich, dass man angegriffen wird und wie kann man sich da präventiv vorbereiten?
    Zur Antwort >>>

  • Wie kann ich noch besser erkennen, wenn eine Mail eine Phishing-Mail ist?
    Zur Antwort >>>

  • Mein LinkedIn-Account wurde gehackt und über dieses wurden dann Nachrichten verteilt im Namen meiner Person. Wie kann man sich vor solchen Sachen schützen?
    Zur Antwort >>>

  • Was macht man, wenn eine solche Attacke einen wirklich erreicht? Muss ich dann Ihnen oder der Polizei anrufen?
    Zur Antwort >>>

  • Was sind die häufigsten Fehler, die gerade in KMUs anzutreffen sind?
    Zur Antwort >>>

  • Wie sicher sind Cloud-Passwortmanager? >>>
    Zur Antwort >>>

  • Was ist sonst auf dem Laptop an Security-Tools sinnvoll?
    Zur Antwort >>>

  • Was ist sicherer, Apple oder Windows?
    Zur Antwort >>>

  • Was würdest du einem KMU insbesondere empfehlen?
    Zur Antwort >>>

Teilnehmerfrage: Der Bund hat heute morgen 130 Organisationen über Sicherheitslücken informiert im Exchange Server-Bereich. Heisst das, wenn man keinen Brief erhalten hat, dass keine Sicherheitslücken bestehen?

Armando Chiodi: Nein, das heisst es ganz klar nicht. Da sollte jeder, der selber einen Exchenge-Server betreibt den aktuellen Patchstand prüfen. Vor ungefähr einem Jahr waren alle On-Premise-Systeme betroffen. Das wäre ein weiterer Pluspunkt der Cloud-Lösungen, da mit M365 Microsoft direkt dafür sorgt, dass die Systeme «gepatched» sind. Die Problematik, die wir heute haben ist, dass vielfach solche Schwachstellen von professionellen und bezahlten Forschern entdeckt werden, die melden das dann. Microsoft entwickelt dann einen Patch dazu und informiert zeitnah über diese Schwachstelle. In diesem Moment ist sie dann öffentlich, jedoch haben noch nicht alle Firmen die Patches auch bereits eingeführt.

Teilnehmerfrage: Wie merkt man eigentlich, dass man angegriffen wird und wie kann man sich da präventiv vorbereiten?

Wenn Sie nicht vorbereitet sind, dann merken Sie es, wenn Sie die Systeme nicht mehr starten können oder keinen Zugriff mehr auf Ihre Daten haben. Das möchten wir aber alle nicht erleben. Vorbereiten kann man sich mit Security Monitoring-Lösungen. Aus meiner Sicht gibt es da zwei Stossrichtungen: Zum einen Netzwerk, Server und «non-laptops», diese überwacht man über eine SIEM-Lösung. Das sind Systeme, die Logs aus ganz vielen Systemen auswerten, korrelieren und versuchen Unstimmigkeiten zu finden – sprich herauszufinden, wenn sie ein Angreifer im Netzwerk lateral bewegt, d.h. versucht von einem System in das andere zu gelangen. In Folge kann man die Systeme isolieren, abkapseln und bereinigen, die betroffen sind.

Der andere Bereich sind EDR-Lösungen. Das sind Lösungen, die sich auf die Endpunkte konzentrieren und grösstenteils auch automatisiert funktionieren. Die laufen z.B. bei mir auf dem Laptop und überwachen, ob es Aktivitäten gibt, welche das System nicht gewohnt ist, dass ich diese tue. Das System gibt einen Alarm und je nach Kritikalität des Alarms wird sogar das System automatisch isoliert. Das muss alles sehr schnell geschehen und würde nicht funktionieren, wenn Menschen dahinter sitzen, weil wenn der Angreifer auf dem System ist, dann wird extrem schnell verschlüsselt. Beide dieser Lösungen lassen sich auch als Managed Service einkaufen, da es wichtig ist jederzeit professionell reagieren zu können.

Wichtig ist auch noch zu wissen, dass so ein Cyber-Angriff keine Sache von ein paar Tagen ist, sondern das kann sich über Monate oder über ein halbes Jahr hinziehen. Angreifer legen Zugänge, erweitern Ihre Rechte und schaffen sich Zugang zu möglichst vielen Systemen. Das eigentliche Zuschlagen ist dann jedoch sehr schnell. In diesem Moment sind sämtliche Systeme verschlüsselt und dann ist zu spät.

Teilnehmerfrage: Wie kann ich noch besser erkennen, wenn eine Mail eine Phishing-Mail ist?

Es gibt einige Redflags, wie wir es nennen. Also, wenn z.B. Druck oder eine Dringlichkeit hinter dem Mail ist, wenn der Mailempfänger zu einer Handlung aufgefordert wird, dann muss man nervös werden. Das eigentliche Problem ist tatsächlich, wenn das Mail z.B. vom «CEO» kommt. Dann sind ganz viele schnell bereit trotz Bedenken im Mail einen Link zu klicken oder das geforderte zu tun (z.B. Geld zu überweisen). Das klarste Indiz für Phishing ist ein Link auf eine unplausible Webseite. Aber auch ich bin geläutert (lacht)… Heute fahre ich über jeden Link erst einmal drüber und schaue, wohin führt er wirklich. Und wenn das nicht mit dem Absender übereinstimmt, dann klicke ich gar nicht erst, egal ob mir jemand eine Million aus Afrika bietet. Aber es gibt ja auch weitaus perfidere Angriffe.

Teilnehmerfrage: Mein LinkedIn-Account wurde gehackt und über dieses wurden dann Nachrichten verteilt im Namen meiner Person. Wie kann man sich vor solchen Sachen schützen?

Hier geht es vor allem um den Schutz der eigenen Identität. Die meisten Systeme bieten heute eine Multifaktor-Authentifizierung an. Auch LinkedIn kann ich dadurch absichern. Das bedeutet eben, dass ich nicht mehr so ganz komfortabel im Browser das Passwort speichern kann, sondern dass ich einen zweiten Faktor benötige und ins Spiel bringe. Einen zweiten ist typischerweise ein zweites Gerät, via dem ich ein zusätzliches Okay geben muss.

Wenn es trotzdem passiert ist, ist das Problem bei dieser Sache ist der vorhin angesprochene Aspekt des vertrauenswürdigen Absenders einer Nachricht. Wenn so etwas also passiert, dann möglichst schnell alle informieren, um zu verhindern, dass andere aufgrund Nachrichten aus meinem Account etwas machen.

Teilnehmerfrage: Was macht man, wenn eine solche Attacke einen wirklich erreicht? Muss ich dann Ihnen oder der Polizei anrufen?

Ja genau, zuerst die Polizei. Uns dann gerne einen Monat später uns, wenn die Aufräumarbeiten vorbei sind (lacht). Nein, Spass beiseite. In jedem Fall muss man sich vorbereiten. Egal, wie viel man in die Sicherheit investiert, wir müssen immer davon ausgehen, dass es trotzdem eintreffen wird. Es geht nur darum, die Wahrscheinlichkeit zu reduzieren. Das muss allen klar sein. 

Wir zum Beispiel haben eine Cyber-Versicherung abgeschlossen, welche uns Zugriff auf Incident Response-Ressourcen gewährt. Das sind wichtige Key Ressourcen in solchen Momenten. Wenn man sich nicht vorbereitet hat, dann gibt es tatsächlich noch Google und man kann danach Incident Response suchen. Da gibt es einige Anbieter, die sind auch nicht ganz billig, aber Sie haben dann ja auch keine Wahl mehr.

Was für mich definitiv der falsche Weg wäre, ist einfach die Backups einzuspielen. Das ist oft der erste Impuls von jedem ITler. Doch so ist es leider nicht. Wenn der Angreifer es gut gemacht hat, ist die Backdoor und die ganze Verschlüsselung immer noch vorhanden. Und wenn er es ganz schlau gemacht hat, dann gibt es gar keine Backups mehr. Wenn man besser aufgestellt ist, hat man Offline-Backups. Also auf einer Disk, welche man ansteckt und wieder absteckt. Es gibt aber auch andere Lösungen, wie man eine Offline-Fähigkeit mit Cloud-Mitteln erreicht Wichtig ich aber auch da, dass ein Forensiker vorher untersucht, dass die Backups sauber sind.

Teilnehmerfrage: Was sind die häufigsten Fehler, die gerade in KMUs anzutreffen sind?

In Regel treffen wir auf KMUs, die noch einen grösseren Schritt weg sind von einer guten Absicherung. Meistens ist auch die IT derart fragmentiert, dass wir zuerst mal konsolidieren und erfassen müssen, was im Unternehmen überhaupt genau läuft, wie Assets, Software oder Patch-Management aussehen usw. Da reden wir noch nicht von irgendwelchen AI-Tools, die ganz schnell den Angreifer abwehren, sondern einfach die Basisarbeit der IT.

Zudem ist es häufig zentral, ein Managementsystem aufzubauen, das die stetige Verbesserung der Prozesse – gerade auch der Change Prozesse – überwacht, weil sonst jede Absicherung sofort wieder ad absurdum führen würde. Erst danach fangen wir mit der wirklichen Absicherung an, d.h. Serverhärtung, Maschinenhärtung, Firewall-Regeln, Netzwerküberwachungstools, Identity und Access usw.

In vielen Unternehmen existieren z.B. Accounts für Mitarbeiter, die gar nicht mehr dort arbeiten. Das ist natürlich ein riesen Security-Loch. Der Mitarbeiter bemerkt nicht einmal, wenn sein Account gehackt wird, denn er arbeitet ja gar nicht mehr dort. Da gibt es ganz viel Basic-Handwerk, das bei KMUs erledigt werden muss.

Teilnehmerfrage: Wie sicher sind Cloud-Passwortmanager?

Das gibt es tatsächlich ein Dafür und ein Dagegen. Einerseits sind sie super komfortabel und auf jedem Device einsetzbar. Andererseits ist das Problem: Wenn jemand Zugriff hat, dann hat er vollen Zugriff. Aber ich bin klar der Meinung: Lieber ein Cloud-Passwort-Manager, als gar keinen Manager, weil es einfach nochmals eine viel höhere Sicherheit bietet als einfach nichts zu haben.

Vor 5 bis 10 Jahren hat wahrscheinlich jeder das gleiche Passwort für alles benutzt und das hatte genau acht Zeichen. Wenn wir uns vor Augen halten, dass eine Brute Force-Attacke acht Zeichen in etwa 6 Minuten gehackt hat, dann muss man sich nicht überlegen, ob das sicher genug ist. Also lieber einen Cloud-Passwort-Manager als gar keinen.

Ich selbst, natürlich leicht berufskrank, setze dafür auf Keepass. Das ist eine Open Source-Lösung. Auch das hat Vor- und Nachteile. Der Vorteil ist, dass man in den Code sieht und damit eigentlich Sicherheit gewährleistet ist. Nachteil ist, dass jeder mitentwickeln kann, was auch Lücken bieten könnte. Der Gesamtvorteil ist aber, bei Keepass ist das Passwort-File verschlüsselt bei mir abgelegt. Ich lege es bei mir in die Cloud. Es ist verschlüsselt und ich habe trotzdem von allen Devices Zugriff. Aber es ist nicht ganz so komfortabel wie andere Lösungen.

Teilnehmerfrage: Was ist sonst auf dem Laptop an Security-Tools sinnvoll?

Das ist jetzt eine schwierige Frage. Da gibt es ganz viele Themen. Ein Viren-Scanner ist aus meiner Sicht auf dem Laptop zwingend notwendig. Das ist ja auch Standard seit 20 Jahren. Der Defender von Microsoft ist diesbezüglich sehr leistungsfähig. Was man zudem machen sollten ist ein Schwachstellen-Management auf den Laptops installieren. Wir setzen auf Microsoft Defender Plan 2. Der prüft, was auf meinem Laptop läuft, was wie konfiguriert ist usw. Und das dritte Thema, welches man adressieren sollte, ist Detection and Response, was wir vorher besprochen haben. Das ist eine AI-Logik dahinter, welches das System bei einem Angriff möglichst schnell isoliert und den Laptop sicherstellt. Also: Sicherheit ist immer so ein Wort (lacht). In der Security gibt es keine Security, aber zumindest, kann man die Wahrscheinlichkeit vermindern.

Teilnehmerfrage: Was ist sicherer, Apple oder Windows?

Es gibt ja immer das geflügelte Wort, dass Apple sowieso sicherer ist. Das ist tatsächlich nicht so. Es ist natürlich viel attraktiver für einen Angreifer Malware für Windows zu entwickeln, weil einfach die Marktdurchdringung viel grösser ist, aber das Managen von Apple-Geräten ist sehr herausfordernd. Wir merken das bei uns, da wir auch eine gemischte Umgebung haben und beide lassen sich einfach nicht gleich stark absichern. Also eine stimmige Antwort zu geben ist schwer. Apple-Geräte lassen sich schwerer absichern, aber es gibt auch weniger Malware.

Teilnehmerfrage: Was würdest du einem KMU insbesondere empfehlen?

Bezüglich IT-Strategie würde ich persönlich als KMU in die Richtung Cloud gehen, weil in der Cloud gerade für KMUs diese Scale-Effekte funktionieren. Die Sicherheit, die ein Cloud-Anbieter uns bieten kann, das kann ich als KMU oft intern gar nicht abbilden. Und nur weil der Server bei uns im Keller steht, ist er nicht sicherer. Es ist immer noch eine IP-Adresse, die irgendwo im Internet herumschwirrt.

Wer sich noch gar nicht mit Security beschäftigt hat, dem würde ich ein Assessment empfehlen. Einfach mal verstehen, wo ich als KMU stehe. Das gibt dann die Möglichkeit auf Basis des gewonnenen Wissens zu entscheiden, wohin ich gehe und wohin nicht. Diese Entscheidung treffe ich in der Folge bewusst. Hingegen ist heute oft die Haltung: Das betrifft mich nicht oder ich bin gar kein lohnendes Ziel. Diese Unternehmen schieben die Gefahr einfach weg, doch das kann ganz schnell zum grossen Problem werden.

Kontakt für weitere Auskünfte und Fragen

Andreas Stuker
Management Consultant
 
Mail senden >>>
Tel. +41 44 943 70 40