«Cybersecurity ist kein Zustand, sondern ein Prozess»

Sunrise: Gemäss der Cyberstudie 2024 fielen in den vergangenen drei Jahren in der Schweiz 24 000 KMUs Cyberattacken zum Opfer. Dennoch stufen gerade kleine und mittelständische Firmen die Gefahr als gering ein. Wie ordnest du die Lage ein? 

Nadine George-Fischli: Das ist ein weit verbreiteter Irrtum. Cyberkriminelle unterscheiden nicht zwischen Grosskonzern und KMU. Im Gegenteil: KMU sind oft leichtere Ziele, weil sie nicht über die gleichen Ressourcen und Sicherheitsmassnahmen verfügen wie grosse Firmen. Dabei kann ein erfolgreicher Angriff für jedes Unternehmen existenzgefährdend sein. PWC Schweiz beziffert den durchschnittlichen Schaden für ein mittelgrosses Schweizer Unternehmen auf zirka 6 Millionen Franken pro Cyberangriff. 

Oftmals sind die Schwachstellen in Unternehmen menschlicher Natur. Viele Angriffe beginnen mit einem einfachen Phishing-Mail … 

… darum ist es unerlässlich, die eigenen Mitarbeitenden durch Schulungen auf potenzielle Gefahren zu sensibilisieren. Zudem helfen KI-basierte Detection-Systeme, Phishing-E-Mails schnell zu erkennen. Cyberkriminelle werden immer geschickter darin, ihre Mails glaubwürdig und authentisch zu gestalten. Konnte man früher Phishing-Mails an schlechtem Deutsch oder verdächtigen Links und E-Mail-Adressen erkennen, sind sie heute oft täuschend echt. Hinzu kommt, dass Angreifende zunehmend auf künstliche Intelligenz (KI) setzen, um ihre Angriffe zu optimieren.  

Kannst du ein Beispiel nennen? 

Nehmen wir CEO-Fraud: Früher haben sich Angreifende per E-Mail als Geschäftsführerinnen oder Geschäftsführer ausgegeben und eine dringende Überweisung angefordert. Heute kann KI genutzt werden, um deren Stimme zu imitieren und eine solche Anfrage per Telefon oder Sprachnachricht zu übermitteln. Die Opfer hören vermeintlich ihre Vorgesetzten und handeln entsprechend – mit potenziell katastrophalen Folgen. 

Stellt KI also eine ernstzunehmende Bedrohung für Unternehmen dar? 

KI ist Chance und Risiko zugleich. Während KI-gestützte Security-Lösungen einerseits Bedrohungen frühzeitig erkennen, sind Unternehmen durch den Einsatz der Tools aber auch neuen Gefahren ausgesetzt. Ohne geeignete Schutzmassnahmen drohen Datenlecks, Manipulationen und Angriffe auf die Vertraulichkeit und Integrität von KI-Systemen – etwa durch manipulierte Eingaben oder korrumpierte Trainingsdaten. 

Wie können Unternehmen ihre KI-Systeme schützen? 

Visibilität spielt eine grosse Rolle. Eine starke KI-Abwehr hilft Unternehmen, einen Überblick darüber zu gewinnen, welche frei zugänglichen KI-Tools von Mitarbeitenden genutzt werden. Dadurch können gefährliche oder ethisch problematische Tools identifiziert, getestet und blockiert werden, bevor sie Schaden anrichten. Gleichzeitig trägt die KI-Abwehr zur Data Loss Prevention (DLP) bei und stellt somit sicher, dass sensible Daten nicht versehentlich über KI-Anwendungen das Firmennetz verlassen. DLP ist ein integraler Bestandteil der Secure Service Edge (SSE) Lösung und gewährleistet, dass gesetzliche Vorgaben eingehalten und Reputationsschäden vermieden werden. 

Mit welchen weiteren Gefahren sehen sich Unternehmen heute konfrontiert? 

In der heutigen digitalen Welt wächst die Anzahl der eingesetzten Anwendungen – und damit auch der Bedarf an kontinuierlichen Updates und Sicherheitsversionen. Dies erfordert immer mehr Ressourcen, um Sicherheitslücken zu schliessen und Einfallstore für Angriffe zu verhindern. 

Die für den IT-Schutz verfügbaren Ressourcen sind jedoch teilweise sehr beschränkt. 

Unternehmen sollten einen risikobasierten Ansatz verfolgen, bei dem die kritischsten Schwachstellen priorisiert werden. Automatisierung und ein robustes Schwachstellenmanagement-Programm helfen, Sicherheitslücken proaktiv zu schliessen, ohne die IT-Teams zu überlasten. Zusätzlich ist es wichtig, eine starke Endgerätesicherheit durchzusetzen und zentrale Lösungen fürs Identitäts- und Zugriffsmanagement (Identify Access Management, IAM) zu implementieren, um eine einheitliche Benutzerauthentifizierung über alle Plattformen hinweg zu gewährleisten. 

Das heisst, auch ausserhalb der On-Premises-Architektur? 

Heute arbeiten Mitarbeitende von überall aus: vom Home-Office, von Co-Working-Spaces oder von unterwegs. Unternehmensdaten werden somit über private WLANs oder persönliche Geräte abgerufen, die unter Umständen unzureichend gesichert sind. Cloud-Dienste und vernetzte Internet-of-Things-(IoT)-Geräte sind heute ebenfalls fester Bestandteil vieler Geschäftsprozesse – und jedes dieser Systeme bringt eigene Sicherheitsrisiken mit sich, denen es zu begegnen gilt. Unternehmen müssen lokale Systeme sowie Cloud-Anwendungen und SaaS-Plattformen absichern, was die Zugriffskontrolle und die Durchsetzung einheitlicher Sicherheitsrichtlinien erschwert. Und die Gefahren erstrecken sich nicht nur über die firmeneigene Infrastruktur. 

Sondern? 

Angreifende nutzen auch Schwachstellen bei Drittanbietenden und Partnern aus, um in Unternehmensnetzwerke einzudringen. Dass auch die eigene Lieferkette Cybergefahren ausgesetzt ist, wird nach wie vor oft vernachlässigt.  

Wie begegnen Unternehmen diesen Gefahren? 

Grundsätzlich sollten Unternehmen ein Zero-Trust-Modell einführen: Kein Gerät, kein User und keine Anwendung gilt per se als vertrauenswürdig, jeder Zugriff wird fortlaufend geprüft und jede Kommunikation abgesichert. So kann verhindert werden, dass sich Angreifende unbemerkt durch das Netzwerk bewegen. Eine zentrale Verwaltungsplattform ist zudem essenziell, um potenzielle Sicherheitslücken zu identifizieren und User, Geräte sowie Anwendungen effizient zu managen. Sicherheitsrichtlinien können dadurch definiert und automatisch auf alle Geräte ausgerollt werden, anstatt sie manuell auf jedem einzelnen Gerät konfigurieren zu müssen. Zusätzlich ist eine rigorose Sicherheitsprüfung aller externen Partner essenziell. Unternehmen müssen sicherstellen, dass ihre Dienstleister dieselben hohen Standards einhalten wie sie selbst. Dazu gehören regelmässige Audits, vertragliche Sicherheitsanforderungen und ein klar definiertes Risikomanagement. 

Welche Technologien können hier unterstützen? 

Beispielsweise schützen Cloud Access Security Broker (CASB) vor unbefugtem Zugriff und Datenverlust, indem sie den Cloud-Datenverkehr überwachen, Sicherheitsrichtlinien durchsetzen und Risiken in Echtzeit erkennen. Als neue Technologie kombiniert Secure Access Service Edge (SASE) Netzwerkfunktionen (SD-WAN) mit cloudnativen Sicherheitsfunktionen (SSE) für eine sichere, standortunabhängige Verbindung. Entscheidend ist ein mehrschichtiger Ansatz – eine einzelne Lösung reicht heute nicht mehr aus. Es bietet sich an, SASE mit Managed Extended Detection and Response (MxDR) zu kombinieren. MxDR sichert das Unternehmensnetzwerk, Cloud-, IoT- und Operational-Technology-(OT)-Systeme durch kontinuierliches Monitoring und frühzeitige Erkennung verdächtiger Aktivitäten. Viele OT-Systeme wurden ursprünglich ohne moderne Cybersicherheitsmechanismen entwickelt, daher sind sie besonders anfällig für Cyberangriffe. Das Tückische: Durch einen Angriff auf OTs sind physische Prozesse in Industrieanlagen sowie deren Mitarbeitende gefährdet. 

Mit all diesen Herausforderungen – wie kann ein Unternehmen Cybersecurity strategisch angehen, ohne sich in Einzelmassnahmen zu verlieren? 

Ein bewährtes Konzept ist das Cybersecurity Framework des National Institute of Standards and Technology (NIST). Es bietet Unternehmen aller Branchen und Grössen Richtlinien, um einen ganzheitlichen Ansatz zur Verbesserung des Risikomanagements innerhalb des Unternehmens zu verfolgen. Angesichts wachsender regulatorischer Anforderungen und des Fachkräftemangels hilft das Framework Unternehmen dabei, ihre Sicherheitsmassnahmen effizient zu strukturieren und an gesetzliche Vorgaben anzupassen. 

Welche Handlungsfelder identifiziert das Framework? 

Es unterteilt Cybersecurity in fünf zentrale Bereiche: Identify, Protect, Detect, Respond und Recover. Das hilft Unternehmen, sich systematisch mit Sicherheit auseinanderzusetzen, statt nur punktuell auf akute Bedrohungen zu reagieren. Identify bedeutet, zuerst alle kritischen Systeme, Daten und potenziellen Schwachstellen zu erfassen. Protect umfasst präventive Massnahmen wie Zugriffskontrollen, Verschlüsselung und Firewalls. Detect stellt sicher, dass Bedrohungen durch kontinuierliche Überwachung frühzeitig erkannt werden. Respond definiert klare Prozesse, um auf Sicherheitsvorfälle schnell und effektiv zu reagieren. Recover hilft Unternehmen, sich nach einem Angriff rasch zu erholen und den Betrieb wiederherzustellen. So entsteht ein durchgängiger Schutz, der Prävention, Erkennung und Reaktion miteinander verbindet. Govern beschreibt den organisatorischen Kontext über alle Phasen hinweg. Hierzu gehören die übergeordnete Risikomanagement-Strategie, klar definierte Rollen und Zuständigkeiten, interne Richtlinien sowie die Kontrolle über sämtliche Massnahmen und deren Umsetzung. 

Das Framework stellt also eine Art Leitfaden für langfristige Sicherheit dar? 

Genau. Viele Unternehmen setzen sich erst nach einem Angriff mit Cybersecurity auseinander. Das NIST Framework hilft, proaktiv zu handeln, Risiken frühzeitig zu erkennen und den Schaden im Ernstfall zu minimieren. 

Welche weiteren Tipps hast du für Unternehmen, die ihre Sicherheitsstrategie optimieren möchten? 

Ich rate ihnen, in die Sicherheit zu investieren, bevor es zu spät ist. Die Kosten eines Angriffs sind um ein Vielfaches höher als die Investition in Prävention. Dabei sollten sie nicht vergessen, dass Cybersecurity kein Zustand, sondern ein fortlaufender Prozess ist. Dieser beginnt mit einer Auslegeordnung aller IT-Komponenten, Daten und Applikationen, die im Unternehmen eingesetzt werden – vom internen Netzwerk über Cloud-Anwendungen und den Privatgeräten der Mitarbeitenden bis zur gesamten Lieferkette. Erst wenn die potenziellen Gefahrenherde vollumfänglich bekannt sind, kann ein systematischer Ansatz zur Verbesserung der eigenen IT-Sicherheit erarbeitet und durchgesetzt werden – im Sinne eines lückenlosen Rundum-Schutzes entlang des NIST Frameworks. Angesichts des Fachkräftemangels können automatisierte Lösungen sowie die Zusammenarbeit mit erfahrenen Experten helfen, Cyberrisiken effizient zu managen und Sicherheitsstrategien kontinuierlich zu optimieren.