Sicherheit im Unternehmensnetzwerk strategische Pflicht für KMU's

Wer heute ein Unternehmen führt, muss die digitale Sicherheit als strategische Pflicht verstehen – nicht als technische Disziplin.

Die gängigsten Angriffsvektoren in der Schweiz

Cyberangriffe folgen Mustern und nutzen Schwächen aus, die in vielen Unternehmen ähnlich sind. Es ist entscheidend, die Angriffsvektoren zu kennen – denn wer weiss, wo die Risiken liegen, kann ein effektives Sicherheitsdispositiv aufbauen.

Mensch
Unverändert die grösste Angriffsfläche bietet das menschliche Verhalten. Mittels Phishings, gefälschter E-Mails, Anrufen etc. werden Menschen manipuliert oder getäuscht.

Technische Schwachstellen
Veraltete Systeme, fehlende Updates sowie falsch konfigurierte Cloud-Dienste resultieren in grossen Angriffsflächen.

Zugriffs- und Identitätslücken
Schwache und mehrfach genutzte Passwörter, fehlende Multifaktor-Authentifizierung und überprivilegierte Benutzer, ermöglichen unbefugten Zugang.

Das Sicherheitsdispositiv

Ein wirkungsvoller Schutz beginnt bei der Risikoanalyse und endet bei der Umsetzung. Die Massnahmen und Initiativen sind idealerweise ausgewogen und dem Schutzbedarf der Angriffsflächen passend zu wählen.

Sicherheit als Führungsaufgabe
Allem voran muss sich die Unternehmensführung im Klaren sein, dass Sicherheit in der Verantwortung der obersten Führung ist. Diese verabschiedet Sicherheitsrichtlinien und stellt sicher, dass diese in der Unternehmung gelebt werden. In diesem Rahmen wird auch geklärt, ob man von der «Meldepflicht für Cyberangriffe auf kritische Infrastrukturen» betroffen ist und verhindert hohe Bussen. Ohne diese Voraussetzungen fruchten sicherheitsbezogene Initiativen kaum oder gestalten sich träge und wenig nachhaltig.

Identitätsschutz und moderne Authentisierung
Ein zentrales Element der Sicherheitsstrategie ist die Authentisierung - der Überprüfung, ob jemand die Person ist, welche sie vorgibt zu sein. Werden schwache und mehrfach genutzte Passwörter eingesetzt, ist dies kaum möglich. Multi-Faktor-Authentifizierung (MFA) schützt diesbezüglich verhältnismässig gut und muss Standard sein. Adäquaten Schutz gegen gezielte Phishing-Versuche bieten phishing-resistente Verfahren wie Passkeys oder biometrische Ansätze beispielsweise mittels Gesichtserkennung. Diese sind nicht nur sicherer, sondern oftmals auch ein Plus in der Benutzerfreundlichkeit.
Wer heute in moderne Authentisierung investiert, reduziert das Risiko von Account-Übernahmen drastisch.

Skilling & Awareness
Der Branche angepasste Schulungen und Trainings für alle(!) helfen das Bewusstsein zu stärken. Dabei werden sowohl Fachkompetenz – beispielsweise «wie erkenne ich schadhafte Emails» – als auch Kommunikation und Umgang – «wie handhabe ich diese verdächtige Email und bei wem melde ich mich» – gestärkt. Zweiteres ist mindestens so wichtig, da im Ernstfall wertvolle Zeit verloren geht, wenn betroffene Personen die Situation spät oder an der falschen Stelle melden. Erfolgsrezept: Resultate von Schulungen sowie Trainings sind integrale Bestandteile von Führungsgesprächen und idealerweise gekoppelt mit Beurteilungen von Mitarbeitenden.

Technische Schutzmassnahmen
Massnahmen entfalten ihre Wirkung erst im Zusammenspiel eines abgestimmten Sicherheitsdispositivs. Für KMUs sind eigene SOCs oft unrealistisch, doch Managed Security Services bieten auch bei begrenzten Ressourcen ein hohes Schutzniveau. Moderne XDR-Lösungen erkennen Bedrohungen und deren Zusammenhänge, was die Reaktionsfähigkeit verbessert. Regelmässige Updates und Schwachstellenscans verhindern, dass bekannte Lücken ausgenutzt werden. Ein regelmässig getestetes Backup- und Recovery-Konzept sichert die Verfügbarkeit kritischer Daten im Ernstfall. Netzwerksegmentierung isoliert sensible Bereiche und erhöht die Resilienz – für Sicherheit, die wirkt.

Compliance und Governance: Pflicht oder Kür?

Wer mit personenbezogenen Daten arbeitet, unterliegt dem neuen Schweizer Datenschutzgesetz (revDSG). Wer Teil einer Lieferkette ist, muss zunehmend Nachweise zur IT-Sicherheit erbringen. Governance bedeutet in diesem Kontext: klare Verantwortlichkeiten, dokumentierte Prozesse und regelmässige Audits. Compliance ist kein Selbstzweck, sondern ein Mittel zur Vertrauensbildung – intern wie extern.

Sicherheit braucht Haltung – und Partner

Ein wirksames Sicherheitsdispositiv beginnt mit dem eigenen Anspruch, Verantwortung zu übernehmen. Dies kann mit internen Ressourcen oder externer Unterstützung erfolgen.

Weitere Informationen: Modern Security Operations für eine sicherere digitale Zukunft