Wie KMU Cybersicherheit wirksam managen

Eine zielgerichtete Cybersicherheitsstrategie kann für KMU nicht nur der erste Schritt einer wirkungsvollen Cyberabwehr sein, sondern auch ein Sprungbrett für Innovation und Wachstum. Der Beitrag zeigt, wie ein pragmatisches Cybersicherheitsmanagement Risiken minimiert und gleichzeitig die Wettbewerbsfähigkeit steigern kann.

Für Unternehmen in der Rolle des Sicherheitsnehmers beschäftigt sich die Cybersicherheitsstrategie vorwiegend mit den möglichen positiven und negativen Auswirkungen (Chancen und Risiken), die im Ursache-Wirkungs-Zusammenhang mit dem Cyberraum stehen. Als sicherheitsnehmende Unternehmen werden jene bezeichnet, die vorwiegend als Leistungsbezieher von Sicherheitsdienstleistungen und -produkten agieren – dies trifft auf die meisten KMU in der Schweiz zu. Der risikoorientierte Abschnitt der Cyberstrategie soll aufzeigen, wie das Unternehmen gedenkt, mit Risiken aus dem Cyberraum umzugehen und welche Folgen daraus resultieren. Demgegenüber steht der Teil, der sich mit den Chancen aus dem Cyberraum auseinandersetzt – also mit den möglichen Vorteilen, die ein Unternehmen haben kann. Diese Dualität für das eigene Unternehmen zu reflektieren, sollte Kernbestandteil der Cybersicherheitsstrategie sein.

Cyberraum als Risikofaktor

Die Frage, ob KMU ins Visier von Cyberkriminellen geraten, muss im Frühjahr 2024 nicht mehr gestellt werden. Allein im letzten Jahr wurden einige Fälle öffentlich bekannt, die hier nicht mehr erwähnt werden müssen. Die Motive der Angreifer können variieren (Spionage, Aktivismus, Habgier usw.), jedoch sind die Ursachen oft monokausal – ein unzureichender Sicherheitslevel.

Da Schweizer KMU aufgrund der wirtschaftlichen Stärke der Schweiz als zahlungskräftig gelten, sind jene, die über keinen ausreichenden Sicherheitslevel verfügen, aufgrund von Motiven wie Habgier per se für Cyberkriminelle interessant. Aus opportunistischer Perspektive stellt sich solch einem Angreifer die klassische betriebswirtschaftliche Frage nach Aufwand und Ertrag – warum sollte er dies auch nicht tun? Der Ertrag ist in der Schweiz deutlich höher als in vielen anderen Ländern, die über ein niedrigeres Bruttoinlandsprodukt pro Kopf verfügen.

Demgegenüber steht der Aufwand, den ein Angreifer betreiben müsste, um in die Systeme der Unternehmen einzudringen. Diese Variable können und sollten Unternehmen direkt beeinflussen, und das Ziel jeder Cybersicherheitsstrategie ist es, diesen Aufwand angemessen, effektiv und effizient zu erhöhen. Grössere Unternehmen verbinden damit die Implementierung einzelner Standards der ISO/IEC-27000er-Reihe, was für agilere und kleinere Unternehmen teilweise weder zielführend noch möglich ist. Das Gleiche gilt auch für einige andere Rahmenwerke.

Dies darf jedoch kein Grund sein, das Thema Cybersicherheitsmanagement als blosses Enterprise-Thema abzutun. Im Gegenteil, mit etwas strategischer Weitsicht kann die Basis für ein wirksames Cybersicherheitsmanagement in fast jedem KMU zeitnah operationalisiert werden. Im Kern der (ersten) Cybersicherheitsstrategie sollte die Festlegung der Sicherheitsziele sowie das Setup und das Ramp-up des Cybersicherheitsmanagements stehen.

Setup-Phase: Etablierung des Cybersicherheitsmanagements

In der Setup-Phase folgt auf die Nominierung der verantwortlichen Person (CISO) für Cybersicherheit, die sowohl intern als auch extern sein kann, die Konformitätsanalyse. In der Konformitätsanalyse soll der CISO die normativen Anforderungen identifizieren, die für das Unternehmen relevant sind. Im Anschluss geht es darum, herauszufinden, welchen Einfluss diese auf die Geschäftsprozesse haben. Ist das getan, können die wichtigsten Vermögenswerte inventarisiert und kategorisiert werden.

Diese Basis ist notwendig, um Cyberrisiken zu identifizieren sowie Massnahmen abzuleiten. Liegt die initiale Risikolandkarte vor und sind die notwendigen Massnahmen bekannt, sollen in einem Jour fixe zwischen dem CISO und der Geschäftsleitung die grössten Risiken, der Fortschritt der Massnahmen sowie mögliche Eskalationen besprochen werden. Eine feste Agenda mit Beschlussprotokoll ist dabei empfehlenswert.

Sind die Termine festgelegt, sollte einer der Kernprozesse für Cybersicherheit operationalisiert werden – der Incident-Response-Prozess. Konkret bedeutet das, dass Ihr Unternehmen genau wissen sollte, was zu tun ist, wenn es von einem Cyberangriff betroffen ist. Es geht nicht darum, «den Drachen zu malen, die Augen zu punktieren», vielmehr sollte das Unternehmen in der Lage sein, reaktionsfähig zu bleiben und den möglichen Schaden zu minimieren. Dies fällt Unternehmen typischerweise viel leichter, wenn solch ein Szenario bereits durchdacht (Tabletop-Übung) oder noch besser praktisch erprobt wurde (Cyber-Simulation).

Der Aufwand für das Setup ist von einigen unternehmensinternen Faktoren (Sektor, Grösse, Maturität der IT usw.) abhängig, kann aber in einem verkraftbaren Rahmen mit den entsprechenden Partnern abgeschlossen werden. Insbesondere Consultants, die über ausreichend gute «Blaupausen» verfügen, sind in der Lage, das Setup mit überschaubarem Aufwand umzusetzen.

Ramp-up-Phase: Cybersicherheitsmanagement als Teil der Unternehmenskultur

Die Ramp-up-Phase transformiert das Cybersicherheitsmanagement in den unternehmerischen Alltag und legt somit den Grundstein für die Sicherheitskultur. Notwendig dafür ist die wiederkehrende Aufklärung von Schlüsselpersonen im Unternehmen hinsichtlich geschäftsrelevanter Themen der Cybersicherheit. Darauf aufbauend sollten zielgruppengerechte Awareness-Trainings stattfinden und orchestriert werden.

Jede Handlung und Investition, die getätigt wird, sollte risikobasiert sein und einen Beitrag zur Mitigation der Top-Cyberrisiken leisten, sofern dies die gewählte Strategie ist. Dazu gehört die Weiterentwicklung der Governance sowie die Sicherstellung ihrer Anwendung und Anwendbarkeit. Das Risikomanagement benötigt Aktualisierungen oder Validierungen, falls Änderungen an der Schutzobjektkonstellation vorgenommen werden. Letztendlich müssen Wirksamkeitsprüfungen der getroffenen Massnahmen durchgeführt werden, die ebenfalls risikobasiert sein sollten.

Insbesondere müssen die Kernprozesse für die «Worst-Case-Szenarien» wie der Incident-Response- und der Back-up-, Disaster-Recovery-Prozess trainiert und verifiziert werden. Das Beherrschen der «überlebenswichtigen» Fähigkeiten entscheidet im Ernstfall über das Schadensausmass.

Es reicht, wenn eine einfache Cybersicherheitsstrategie im Risikoabschnitt die Operationalisierung der Setup-Phase und Ramp-up-Phase beinhaltet. Cybersicherheit ist kein linearer Prozess und dementsprechend sollte auch nur so viel Zeit wie «nötig» und nicht wie «möglich» in die Papierarbeit investiert werden. Schlank, aktuell und verständlich – alles andere ist nicht nachhaltig.

Dualität des Cyberraumes

Für einige KMU birgt die Dualität des Cyberraums mehr Risiken als Chancen. Dennoch ist es ratsam, sich kurz zu überlegen, welchen Nutzen der Cyberraum dem eigenen Unternehmen tatsächlich bringt. Geht es dabei nur um die Abwehr von Gefahren, oder kann das Cyber Enablement auch dazu beitragen, neue Zielgruppen und Märkte zu erschliessen? Zukünftige Zielgruppen könnten datensparsamen Unternehmen gegenüber datenkonsumierenden den Vorzug geben. Sichere Einkaufsplattformen werden unsicheren vorgezogen, und die anonyme Nutzung von Ressourcen wird dem registrierten Zugang bevorzugt.

Darüber hinaus wird bei öffentlichen Ausschreibungen der Sicherheitslevel von Unternehmen zunehmend berücksichtigt. Zudem führen etablierte Fähigkeiten in diesem Bereich zu mehr Innovationspotenzial und treiben die digitale Transformation. Die daraus resultierenden Wettbewerbsvorteile sind allseits bekannt.

(Erstpublikation: KMU-Magazin, Nr. 6, Juni 2024)