Die Digitalisierung eröffnet kleinen und mittleren Unternehmen (KMU) zahlreiche Chancen, bringt aber auch neue Risiken mit sich. Ein besonders wichtiger Aspekt ist dabei die Sicherheit der IT-Systeme. Viele KMU in der Schweiz betreiben ihre IT nicht selbst, sondern verlassen sich auf externe Dienstleister. Doch wie sicher sind Ihre Daten und Systeme wirklich? Und wie können Sie als Geschäftsführerin oder Geschäftsführer sicherstellen, dass Sie und Ihr Unternehmen gut geschützt sind – auch wenn Sie selbst kein Technikprofi sind?
Die folgenden fünf Fragen helfen Ihnen, das Gespräch mit Ihrem IT-Dienstleister zu führen und die richtigen Weichen für die Sicherheit Ihres Unternehmens zu stellen.
Wer ist für die technische IT-Sicherheit verantwortlich – und für welche Bereiche?
Es ist wichtig zu klären, wer sich genau um welche Teile Ihrer IT-Sicherheit kümmert. Viele Dienstleister übernehmen die Grundinfrastruktur, also zum Beispiel Netzwerke, Server und Computerbetriebssysteme. Anwendungen, die Sie selbst installiert haben, z.B. die Buchhaltungssoftware oder Eigenentwicklungen, sowie die darin gespeicherten Daten bleiben aber oft in Ihrer Verantwortung. Fragen Sie daher gezielt nach, welche Bereiche der externe Dienstleister abdeckt und welche nicht. Klären Sie auch, ob alle notwendigen Sicherheitsdienste, wie z.B. Backups oder Zugriffsmanagement, im Grundangebot enthalten sind oder ob Sie zusätzliche Leistungen beauftragen und bezahlen müssen. Lassen Sie sich erklären, ob der aktuelle Schutz für Ihr Unternehmen ausreicht oder ob zusätzliche Schutzmassnahmen empfohlen werden.
Beispiel Firewalls an der Unternehmensgrenze
Firewalls schützen Ihr Unternehmensnetzwerk, indem sie unerlaubte Zugriffe abwehren und Angriffe blockieren. Dennoch werden immer wieder Schwachstellen in Firewall-Software entdeckt, die von angreifenden Personen ausgenutzt werden können. Schnelles Handeln ist gefragt: Nach Bekanntwerden muss der Hersteller die Lücke schliessen – und Ihr IT-Dienstleister das Update rasch installieren.
Firewalls protokollieren auch Angriffsversuche und können Alarme auslösen. Doch wer überwacht diese Protokolle und reagiert auf Warnungen? Wie schnell erfolgt die Reaktion? Klären Sie, ob dies ebenfalls Ihr IT-Dienstleister übernimmt oder Sie diese Aufgabe anderweitig abdecken müssen.
Wie sicher sind Ihre Backups?
Backups sind wie eine Lebensversicherung für Ihre Daten. Sie sollten regelmässig und zuverlässig erstellt werden – und zwar nicht nur auf einzelnen Computern, sondern für alle wichtigen Geräte und Datenbereiche. Lassen Sie sich erklären, wie oft Backups gemacht werden, ob alle relevanten Geräte abgedeckt sind und wie schnell im Notfall eine Wiederherstellung möglich ist. Fragen Sie auch, wie die Backups selbst geschützt werden, damit sie nicht bei einem Angriff ebenfalls gelöscht oder verschlüsselt werden können. Besonders sicher sind Backups, die ausserhalb des Firmennetzwerks gespeichert werden oder sogar komplett vom Netz getrennt sind.
Wie sind die Kundennetzwerke voneinander und vom Anbieter getrennt?
Ein häufiger Fehler liegt in der mangelnden Trennung von Kundennetzwerken. Wenn Ihr Dienstleister mehrere Kunden betreut, sollten diese Umgebungen voneinander abgeschirmt sein. So wird verhindert, dass sich ein Angriff auf einen Kunden auch auf andere Unternehmen ausweitet. Auch das Netzwerk des Dienstleisters selbst sollte strikt von den Netzwerken seiner Kunden getrennt sein. Fragen Sie konkret nach, wie diese Trennung umgesetzt wird. Nur so können Sie sicher sein, dass ein Angriff auf den Dienstleister nicht automatisch auch Ihr Unternehmen betrifft.
Wie wird der Fernzugriff auf Ihre Systeme abgesichert?
Fernzugriffe auf Ihr Firmennetzwerk oder Ihre Daten sind praktisch, aber auch ein beliebtes Ziel für angreifende Personen. Ein besonders wirksamer Schutz ist die Mehrfaktor-Authentifizierung, das bedeutet, dass niemand allein mit einem Passwort aus dem Internet auf Ihre Systeme zugreifen kann. Ein zusätzlicher Schritt – zum Beispiel ein Code auf das Handy oder eine spezielle App – sollte immer nötig sein. Fragen Sie Ihren Dienstleister, ob und wie diese zusätzliche Absicherung bei Ihnen und bei ihm selbst umgesetzt wird. Klären Sie auch, ob alle Mitarbeitenden, die aus der Ferne auf Ihr Netzwerk zugreifen, diesen Schutz nutzen müssen.
Wie erkennt und reagiert Ihr Dienstleister auf Angriffe?
Auch mit den besten Vorsichtsmassnahmen kann es passieren, dass ein Angriff gelingt. Dann ist es entscheidend, wie schnell dieser erkannt und darauf reagiert wird. Fragen Sie Ihren Dienstleister, ob Ihre Systeme überwacht werden, sodass verdächtige Aktivitäten frühzeitig auffallen. Klären Sie, ob es ein eigenes Team gibt, das im Ernstfall rasch eingreifen kann – idealerweise rund um die Uhr. Erkundigen Sie sich, ob es einen Notfallplan gibt und ob dieser schon einmal getestet wurde. Und: Kann Ihr Dienstleister bei einem Angriff schnell helfen, Ihre Systeme wiederherzustellen, oder braucht es dafür einen externen Partner?
Dies sind die fünf wichtigsten Fragen, um Ihr Unternehmen gut abzusichern. Darüber hinaus gibt es jedoch viele weitere Sicherheitsaspekte, die hier nicht im Detail behandelt wurden. Diese sind in anerkannten Standards umfassend dokumentiert – beispielsweise im Schweizer IKT-Minimalstandard des Bundesamts für Cybersicherheit oder im IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik (BSI) aus Deutschland. Grundsätzlich ist es ratsam, wenn Ihr IT-Dienstleister regelmässig extern geprüft wird und über eine anerkannte Sicherheitszertifizierung verfügt. So stellen Sie sicher, dass die grundlegenden Schutzmassnahmen tatsächlich umgesetzt werden. Beispiele für solche Cyber-Zertifizierungen sind das Schweizer CyberSeal sowie internationale Standards wie ISO 27001 oder das Sicherheitsrahmenwerk SOC 2.
Fazit
Auch wenn IT-Sicherheit auf den ersten Blick komplex erscheint – mit den richtigen Fragen kommen Sie der Sache näher. Sie müssen kein Technikprofi sein, um Ihr Unternehmen wirkungsvoll zu schützen. Suchen Sie das Gespräch mit Ihrem IT-Dienstleister, lassen Sie sich alles verständlich erklären und bestehen Sie auf klaren Vereinbarungen. So schaffen Sie die Basis für eine sichere und erfolgreiche Zukunft Ihres Unternehmens.
Transparenz, Zusammenarbeit und der Wille zur Verbesserung sind die Grundlage für eine wirksame Cyber-Sicherheit – da unterstützen wir gern.
Cyrill Brunschwiler, Compass Security
Sie möchten Ihr Unternehmen noch besser vor Cyber-Risiken schützen?
Die genannten Fragen sind ein wichtiger Schritt, um das eigene Sicherheitsniveau zu beurteilen und aktiv zu verbessern. Doch jedes Unternehmen ist einzigartig – und die passenden Lösungen sollten individuell auf Ihre Bedürfnisse zugeschnitten sein.
Entdecken Sie, wie Zurich Sie mit massgeschneiderten Cyber-Lösungen dabei unterstützt, Ihr Unternehmen umfassend abzusichern, damit Sie sich auf Ihr Kerngeschäft konzentrieren können.