IT-Sicherheit im Unternehmen ist längst kein «Nice-to-have» mehr – sie ist Pflichtprogramm. Dennoch halten sich manche Mythen zäher als das Passwort 123456. Zeit, ein paar davon auf den Prüfstand zu stellen: Mythos 1: «Bei uns gibt’s nichts Spannendes zu holen»

Insbesondere kleinere Betriebe wiegen sich oft in falscher Sicherheit, weil sie glauben für Angreifer uninteressant zu sein. Kein grosses Kundenportal, keine Forschungsdaten – also auch kein Risiko? Falsch gedacht. Denn selbst vermeintlich harmlose Informationen wie Login-Daten, Kundendaten oder interne Mails haben auf dem Schwarzmarkt ihren Preis. Auch schon alleine durch die Verschlüsselung von Daten lässt sich Geld erpressen. Für Cyberkriminelle zählt nicht, was es zu holen gibt, sondern wie leicht es zu holen ist. In der Masse ist auch das ein lukratives Geschäft. Die Angreifer gehen entsprechend opportunistisch vor: Automatisierte Bots durchforsten das Netz laufend nach Schwachstellen - und wo sich eine Gelegenheit bietet, wird sie genutzt. Die Lösung: Schwachstellen identifizieren und konsequent schliessen.

Mythos 2: «Unsere Mitarbeitende klicken auf keine verdächtigen Links» Auch die aufmerksamsten Mitarbeitenden sind keine Maschinen – und genau darauf setzen Angreifer. Phishing-Mails sind heute so gut gemacht, dass sie oft kaum mehr von echten Mails zu unterscheiden sind: Der Absender wirkt vertrauenswürdig, die Sprache ist professionell, der Druck hoch - und schon ist der Klick gemacht. Besonders perfide: Beim sogenannten CEO Fraud geben sich Kriminelle als Geschäftsleitung aus, um unter Zeitdruck Überweisungen oder sensible Daten zu ergaunern. Ein Klick kann ausreichen, um ganze Systeme lahmzulegen oder vertrauliche Daten abzugreifen. Je grösser der Stress im Alltag, desto schneller wird der Fehler übersehen. Die Lösung? Regelmässige, praxisnahe Schulungen und eine Sicherheitskultur, in der lieber einmal zu viel gefragt als einmal zu schnell geklickt. Ergänzend dazu sind technische Massnahmen sinnvoll, die Webseiten und E-Mails mit Phishing respektive Malware erkennen, herausfiltern oder blockieren.

Mythos 3: «Dank Firewall sind wir sicher» Diese Aussage muss nicht falsch sein. Aber es kommt darauf an, was die Firewall erkennt und welchen Zweck sie erfüllen soll Viele Firewalls schützen nur bei Angriffen von aussen oder blockieren den Zugriff auf bestimmte Adressen. Malware, die via Mailprogramm oder Browser heruntergeladen wird, oder ein bösartiges Skript auf einer Website werden dabei nicht erkannt. Sie gelangen ins Firmennetz, ohne dass die Firewall Alarm schlägt. Doch egal, wie gut die Firewall im Büro ist: Im Homeoffice oder beim Arbeiten unterwegs nützt sie nichts. Auch der Zugriff auf Daten Cloud- und SaaS Applikationen wird durch eine Firewall nicht geschützt. Die Lösung? Einen besseren Schutz bieten moderne Firewalls, die den Datenverkehr untersuchen können und entsprechend konfiguriert - kombiniert mit Endpoint-Schutz, Zero-Trust Zugriff und klaren Regeln für mobiles Arbeiten.

Mythos 4: «Mit einer Cyberversicherung sind wir gut abgesichert» Eine Cyberversicherung ist kein digitales Schutzschild - sondern bestenfalls ein Sicherheitsnetz nach dem Absturz. Und selbst das hält nur dann, wenn vorher bereits professionell gearbeitet wurde. Die meisten Versicherungen zahlen nämlich nur, wenn klare Sicherheitsmassnahmen nachweislich vorhanden sind. Heisst: Wer sich nicht schon vorher um die IT-Sicherheit gekümmert hat, steht im Schadenfall schnell mit leeren Händen da. Und schlimmer noch: Neben finanziellen Schäden ist oft auch das Vertrauen der Kundinnen und Kunden dahin – und das lässt sich nicht einfach versichern. Die Lösung? IT-Sicherheitsmassnahmen frühzeitig umsetzen.

Mythos 5: «IT-Sicherheit ist zu teuer und komplex» Nicht die teuerste Lösung ist die beste, sondern die passende. Eine allgemeingültige Anleitung gibt es nicht. Fakt ist: Mit der zunehmenden Vernetzung von Geräten, Menschen, Software und Systemen steigt die Komplexität. Doch das bedeutet nicht, dass jedes Unternehmen das nötige Know-how selbst aufbauen muss. Dafür gibt es Spezialisten - wie zum Beispiel bei Swisscom - die sich tagtäglich mit nichts anderem beschäftigen und wissen, worauf es ankommt. Gerade Zero-Trust Konzepte, die vermeintlich grossen Konzernen vorbehalten sind, können insbesondere auch für kleinere Unternehmen attraktiv sein. Die Lösung? Sich an einen professionellen Anbieter wenden und von dessen Expertise sowie von Skaleneffekten profitieren.