Kleine Schritte, grosse Wirkung

Cyrill Brunschwiler

Lesezeit: 4 Minuten

Während Konzerne über eigene Sicherheitsteams verfügen, tun sich KMU mit Cybersicherheit oft schwer. Cyrill Brunschwiler, Managing Director der Compass Security Schweiz AG aus Rapperswil, erklärt, weshalb Ransomware die grösste Gefahr für KMU bleibt, warum Prävention günstiger ist als jeder Feuerwehreinsatz und weshalb Sicherheit immer auch mit Unternehmenskultur zu tun hat.

Ransomware-Angriffe, Phishing-Mails oder verlorene Zugangsdaten, was in Grossunternehmen längst Teil des Alltags ist, trifft zunehmend auch KMU. «Wir unterstützen regelmässig Unternehmen bei Cybervorfällen, insbesondere bei Ransomware-Angriffen. Das betrifft alle Branchen», sagt Cyrill Brunschwiler. Der Geschäftsführer von Compass Security weiss, wie einfach ein Angriff ablaufen kann: «Die meisten Schäden entstehen nicht durch hochentwickelte Attacken, sondern durch ganz gewöhnliche Versäumnisse, fehlende Sicherheitsupdates, Fehlkonfigurationen oder gestohlene Zugangsdaten.»

Besonders perfid sei, dass viele Attacken gar nicht auf technische Lücken zielen, sondern auf menschliche Nachlässigkeit. «Die Angreifer nutzen KI, um Phishing-Mails zu verfeinern oder Stimmen zu imitieren.» Zudem wurde im September eine beeindruckende KI-gestützte Operation beobachtet. Diese sei staatlichen Akteuren zuzuordnen und verfolge vor allem Spionage. KMU seien nicht deren primärer Fokus. Trotz des Trends bleibe der Basisschutz vielerorts ungenügend. «Genau hier können einfache Präventions- und Überwachungsmassnahmen einen grossen Unterschied machen.»

«Mit gezielten Massnahmen lässt sich ein effektiver Schutzschild aufbauen.»

Die drei Säulen der Cyberabwehr

Compass Security zählt zu den führenden Schweizer Spezialisten für Cybersicherheit. Das Unternehmen deckt die gesamte Verteidigungskette ab, von der Prävention über die Detektion bis zur Reaktion. «Penetrationstests zeigen Schwachstellen auf, bevor sie ausgenutzt werden können», erklärt Brunschwiler. «Red Teaming dient dazu, die Reaktionsfähigkeit im Ernstfall zu prüfen. Managed Detection & Response wiederum ermöglicht eine laufende Überwachung, ohne dass ein KMU eine eigene Sicherheitsinfrastruktur betreiben muss.»

In der Krise kommen das Notfallteam und die digitale Forensik zum Einsatz. «Wenn etwas passiert, reagieren wir schnell. Wir ordnen Sofortmassnahmen an, führen die Lageverfolgung, sichern Beweise, rekonstruieren den Angriff und bringen die Firma wieder zum Laufen.» Für viele KMU sei das entlastend. «Wir übernehmen die Cyberresilienz, damit sich Kunden auf das Kerngeschäft konzentrieren können.»

Trotz aller Technologie sieht Brunschwiler den Menschen im Zentrum. «Technik ist wichtig, aber am Ende brauchen Mitarbeiter Zugriffe und Berechtigungen, um ihre Arbeit zu tun. Entscheidend ist, dass sie die Risiken verstehen.» Das beginne mit Schulungen und setze sich in der Unternehmenskultur fort. «Ob Sicherheitsbewusstsein gelebt wird, ist eine Frage des Vorbilds. Leading by Example ist in der IT-Sicherheit genauso wichtig wie in der Führung.» Besonders der sorgsame Umgang mit Zugangsdaten sei wichtig. «Wer einmal versteht, wie Angreifer denken und wo die Tricks liegen, reagiert im Alltag ganz anders.» Deshalb setzt Compass Security stark auf Aufklärung. «Wir wollen nicht Angst machen, sondern Wissen vermitteln.»

Neue Risiken durch Vernetzung

Cloud-Dienste, Lieferketten und Remote-Arbeit haben das Risikoprofil vieler Unternehmen grundlegend verändert. «Die Angriffsfläche wächst», sagt Cyrill Brunschwiler. «Abhängigkeiten zwischen Systemen führen dazu, dass ein kompromittierter Partner plötzlich viele Unternehmen gefährden kann.» KMU sollten daher Transparenz schaffen, welche externen Verbindungen existieren, welche Partner auf ihre Systeme zugreifen und wie deren Sicherheitsstandards aussehen.

Mit neuen EU-Vorgaben wie der NIS2-Richtlinie oder dem Cyber Resilience Act nimmt der regulatorische Druck auch für Schweizer Unternehmen zu. «Direkt betroffen sind zunächst Betreiber kritischer Infrastrukturen und deren Zulieferer. Doch indirekt werden sich die Regulatorien auf den gesamten Markt auswirken», erklärt Brunschwiler. «Kunden und Partner werden zunehmend Nachweise über Sicherheitsstandards verlangen.» KMU sollten sich daher frühzeitig mit den Minimalstandards des Bundes vertraut machen. «Der IKT-Minimalstandard des BACS ist kostenlos verfügbar und bietet eine solide Basis. Entscheidend ist jedoch, den eigenen Sicherheitsbedarf zu definieren, zu dokumentieren und regelmässig zu überprüfen. Das erfordert Disziplin und Konsequenz.»

«Gute Basics reichen oft aus, um Cyberangriffen zu entgehen.»

Wenn der Ernstfall eintritt

Wird ein Unternehmen Opfer eines Cyberangriffs, zählt jede Minute. «Zuerst müssen Backups in Sicherheit gebracht werden. Dann gilt es, betroffene Konten zu sperren, Systeme zu isolieren oder Verbindungen zu trennen», sagt Brunschwiler. «Und ganz wichtig: Systeme nicht ausschalten. Nur so lassen sich Protokolldateien sichern und Ursachen forensisch analysieren.» Der häufigste Fehler sei, im Stress zu schnell zu handeln. «Viele löschen Spuren oder starten Systeme neu und zerstören damit wertvolle Beweise.»

Compass Security verfolgt den Ansatz der Offensive Defense, also Angriffssimulation, um Verteidigung zu verbessern. «Proaktive Sicherheit bedeutet, Risiken zu erkennen und zu mindern, bevor sie real werden», so Brunschwiler. Schon einfache Massnahmen wie periodische Überprüfungen und kontinuierliches Monitoring reduzierten die Schadenswahrscheinlichkeit erheblich. «Ich kenne die Budgetrealität vieler KMU sehr gut», sagt er. «Niemand muss alles auf einmal umsetzen. Sinnvoller ist ein schrittweiser Ansatz. Prävention ist fast immer günstiger als ein Cyberfeuerwehreinsatz.»

Auch interessant

«Sicherheit ist kein Produkt, sondern ein Prozess»

«Krisen können jeden treffen»

«Einschreiten, bevor etwas passiert»

Outsourcing oder eigene Fachkräfte

Ob Sicherheit intern oder extern organisiert werden soll, hängt von der Grösse ab. «Eine eigene Cybersicherheitsabteilung leisten sich nur Grosskonzerne. Im KMU-Umfeld begegnen wir ab etwa 100 bis 200 Mitarbeitern vereinzelt Vollzeit-Sicherheitsverantwortlichen», sagt Cyrill Brunschwiler. Deren Aufgabe sei es, Risiken zu beurteilen, Zertifizierungen aufrechtzuerhalten und die Kommunikation mit Kunden und Partnern zu führen. Für kleinere Unternehmen sei Outsourcing meist die sinnvollere Lösung. «Wir bringen das Fachwissen mit, kümmern uns um den Betrieb und sind im Ernstfall vor Ort zur Stelle, ohne Sprachbarrieren oder Zeitverlust.»

Cyberrisiken haben auch eine psychologische Dimension. «Unsere Arbeit basiert auf Fakten», erklärt Brunschwiler. «Wir kennen die Angriffsmuster und wissen, wie sie sich verändern. Aber entscheidend ist, dass die Menschen im Unternehmen verstehen, weshalb Sicherheit wichtig ist.» Schulungen und realitätsnahe Simulationen seien hier das beste Mittel. «Wer einmal erlebt hat, wie leicht sich ein Angriff vortäuschen lässt, wird im Alltag wachsamer. Bewusstsein entsteht nicht durch Regeln, sondern durch Erfahrung.»

Drei Schritte zu mehr Sicherheit

Was sollten KMU nun konkret tun? Brunschwiler formuliert drei Prioritäten. Erstens: «Kennt eure Abhängigkeiten. Welche Prozesse stehen still, wenn ein System ausfällt?» Zweitens: «Bezieht den IT-Dienstleister ein und lasst eine externe Sicherheitsprüfung durchführen.» Drittens: «Baut ein kontinuierliches Monitoring auf, schon die Einführung macht das System sicherer.»

Viele Vorfälle, so Brunschwiler, könnten mit laufender Überwachung verhindert werden. «Eine Software allein reicht nicht. Es braucht Spezialisten, die Alarme richtig interpretieren und sofort handeln.» Im Ernstfall zähle klare Kommunikation und Erfahrung. «Wenn es kritisch wird, ist es ein grosser Vorteil, wenn der Partner vor Ort ist und strukturiert reagiert.»

Text: Stephan Ziegler

Bild: Rebekka Grossglauser