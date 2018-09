Kein KMU zu klein, ein Hackerziel zu sein

Ein von Behörden und vielen Verbänden unterstützter "Security-Schnelltest" soll KMU für Security-Themen sensibilisieren.

Blauäugige KMU

Völlige Anonymität garantiert

Heute morgen wurde der Presse erstmals der "Cyber-Security-Schnelltest für KMU" vorgestellt. Und zwar gleich von einer ganzen Reihe von Leuten: Marcel Dobler, der Präsident von ICTswitzerland äusserte sich dazu, ebenso wie Pascal Lamia, der Leiter von Melani, Nicole Barandun, Präsidentin des Gewerbeverbands der Stadt Zürich (GVZ), Umberto Annino, Präsident der Information Security Society Switzerland, Andreas Kaelin, Präsident von ICT-Berufsbildung Schweiz und Geschäftsführer von ICTswitzerland sowie Nicole Wettstein von der Schweizerischen Akademie für Technische Wissenschaften (SATW), die das Projekt zur Erarbeitung des Schnelltests leitete.Aber dies sind nicht die einzigen Behörden und Verbände, die den Schnelltest unterstützen und bei seiner Verbreitung helfen wollen. Ebenso an Bord ist das Bundesamt für wirtschaftliche Landesversorgung (BWL), die Expertengruppezur Datenbearbeitung und Datensicherheit des Bundes, das Informatiksteuerungsorgan des Bundes (ISB), die Schweizerische Normen-Vereinigung (SNV), die Vereinigung für Qualitäts- und Management-Systeme (SQS) und last but not least der Schweizerische Versicherungsverband (SNV).Der Grund für die Initiative: Security-Experten sind schon längst zur Erkenntnis gekommen, dass – entgegen der Überzeugung vieler betroffener – Kleinheit nicht vor Cyberangriffen schützt. 98 Prozent der Schweizer Unternehmen sind KMU mit weniger als 250 Angestellten, rund 90 Prozent sogar Kleinunternehmen mit neun oder weniger Beschäftigten. Und wie Andreas Kälin sgte, wurden laut einer im letzten Jahr durchgeführten Studie mehr als ein Drittel der KMU schon von Cyberattacken geschädigt.Laut Annino ist für Hacker heutzutage schlicht jeder Computer ein lohnendes Agriffsziel. Sprich: Sie nehmen alles aufs Korn, was so kreucht und fleucht. Auch Kleinunternehmen. Dabei kann es direkt um Geld gehen, zum Beispiel, indem meist via E-Mail Trojaner eingeschleust werden, die das E-Banking knacken können, oder auch indirekt durch Erpressung (Ransomware, DDoS-Attacken) oder den Diebstahl von vertraulichen Informationen.Pascal Lamia unterstrich, dass der Schaden durch Angriffe auch bei kleineren Unternehmen schnell einmal in die Hunderttausende oder Millionen Franken gehen kann.Aber eben: Gerade bei denen, die dies am meisten angeht – den KMU – ist diese Botschaft laut den Initianten des Schnelltests noch viel zu wenig angekommen. Die wirklich breite Unterstützung des Schnelltests lässt hoffen, dass er an dieser Situation etwas ändern kann.Was ist nun dieser Test überhaupt und was bezweckt er? Einerseits soll er das Thema IT-Security bei KMU vermehrt auf den Tisch bringen und sie dafür sensibilisieren. Ausserdem soll er ihnen eine einfache und natürlich kostenlose Möglichkeit bieten, abzuschätzen, wie gut oder schlecht ihre gegenwärtigen Security-Massnahmen sind.Der Test selbst besteht aus 34 Fragen, die man mit "Ja", "Nein" oder "weiss nicht" beantworten kann. Die Fragen decken nicht nur technische Massnahmen ab, sondern auch sicherheitsrelevante Prozesse und wie gut das Bewusstsein der Mitarbeitenden in Sachen Security ist. Je öfter man "Nein" oder "weiss nicht" antworten muss, desto schlechter ist es um die Security im Unternehmen bestellt. So das einfache Auswertungsprinzip.Was jemand mit dem Resultat anfängt, ist aber vollkommen ihm überlassen. Eine Auswertung durch die Initianten erfolgt nicht.Der Schnelltest kann Online auf der Webseite von ICTswitzerland ausgefüllt werden. Der Verband verspricht dabei laut Andreas Kaelin, weder die IP-Adresse noch die Antworten von Leuten zu speichern, die ihn ausfüllen. Das bedeutet unter anderem, dass niemand, der den Test ausfüllt, befürchten muss, später ein Telefon von einem zuvorkommenden Security-Dienstleister zu erhalten.Der Vorteil der Online-Version ist, dass sie Links zu weiterführenden Infos zu jeder Frage enthält. Dies dürfte gerade dann nützlich sein, wenn man eine Frage mit Nein beantworten musste.Wer aber ganz sicher gehen will, dass er keine Informationen über den Security-Status seines Unternehmens preisgibt, kann den Test auch als PDF herunterladen und auf Papier ausfüllen. (Hans Jörg Maron)