Mehr als ein Drittel der KMUs sind in der Schweiz von Cyberattacken betroffen – das ist das Ergebnis der gemeinsamen Studie von SVV, SQS, ICTswitzerland, ISSS, ISB und der Expertenkommission Bund. Das Verwunderliche daran ist, dass sich dennoch die meisten Unternehmen gut bis sehr gut vor solchen Angriffen geschützt fühlen. In die Datensicherheit zu investieren steht bei einigen KMUs weit hinten auf der To-do-Liste, sodass es die Aufgabe der Wirtschaftsverbände, des Staates, aber auch der Geschäftsleitung in Unternehmen sowie deren Verwaltungsrat ist, der aktuell noch weit verbreiteten Sorglosigkeit entgegenzuwirken.
Unternehmen, die sich der digitalen Transformation zuwenden, sind so gesehen von einer zuverlässigen IT und deren Funktion abhängig. Wer diese nicht kontinuierlich pflegt, optimiert und permanent überwacht, muss mit möglichen Störungen bei unternehmerischen Prozessen oder schlimmstenfalls auch mit Datenverlust rechnen. Umso wichtiger also, dass vor allem im Rahmen der Datensicherheit die kontinuierliche Verfügbarkeit und Sicherheit von Daten sichergestellt ist. Immer noch unterschätzen zahlreiche Firmen das stark angestiegene Risiko von Cyberangriffen. Dabei ist es grundsätzlich nicht entscheidend, ob die Daten in der Schweiz oder im Ausland lagern.
Entscheidend ist: Die Verantwortung für Datenschutz und Datensicherheit liegt vor allem in der Hand des Unternehmens selbst. Das Risiko muss erkannt, eingestuft und ein Massnahmenplan erstellt werden. Als Geschäftsleitung liegt es in Ihrer Verantwortung Grundschutzmassnahmen wie Malware-Schutz, Firewall oder regelmässige Backups umzusetzen und diese in einem kontinuierlichen Verbesserungsprozess ständig zu überwachen.
Doch wie schützt man Daten vor komplexeren und gezielten Cyberangriffen? Wie stellt man optimale Datensicherheit her? Wo sollen sensible Daten gelagert werden? Die Lösung und somit die sicherste Variante, um Daten zu speichern, ist die Cloud.
Sicherheit in der Cloud
Die Nutzung von einer oder mehreren Cloud-Lösungen hat diverse Vorteile und vielfältige Einsatzmöglichkeiten. Neuerdings wirbt sogar die schweizerische Bankiervereinigung für den Einsatz von Cloud-Lösungen und spricht sich für die kostengünstige und zeitgleich effiziente Nutzung in Sachen Datensicherheit aus. Neben der Kostentransparenz sind speziell auch eine höhere Innovation und die gewonnene Agilität entscheidende Faktoren, weshalb sich immer mehr KMUs für das Auslagern von Daten in eine Cloud interessieren. Damit können gerade sensible Daten mit modernen Technologien wie «Artificial Intelligence» und «Machine Learning» besser geschützt werden. Auch verhaltensbasierte und viel intelligentere Schutzmechanismen der Identität (Identity Protection) sowie Datenklassifizierung mit Rechteverwaltung und selektiver Verschlüsselung (Information Protection) tragen dazu bei, dass Daten in der Cloud wirksam vor dem Einblick anderer gesichert werden. Die Bereitstellung von optimaler Datensicherheit durch einen Managed Service Provider ist daher besonders für kleinere Unternehmen attraktiv. Nur so kann auch das nötige Expertenwissen für den 7x24h Betrieb von solchen Lösungen beigezogen werden
Datenhaltung in der Schweiz und im Ausland
Ist die Wahl auf die Nutzung einer Cloud gefallen, gilt es zu eruieren, wo die Auslagerung der Daten lokalisiert sein soll. Gründe, die für die Datenhaltung in der Schweiz sprechen, sind oftmals Regularien, interne Vorgaben der Geschäftsleitung oder eine verlangte Schweizer Rechtsprechung. Um zu prüfen, ob an dem von Ihnen auserwählten Standort ausreichend Datenschutz besteht, sollten Sie sich mit dem Bundesgesetz über den Datenschutz (Art. 6) auseinandersetzen – dies ist eine Massnahme, die vor allem empfohlen wird, wenn eine Datenhaltung ausserhalb der Schweiz präferiert wird. Auch für andere Empfängerstaaten gelten spezifische Datenschutzgesetzgebungen, die der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) in seiner Staatenliste aufgelistet hat.
Manchmal ist es ratsam, einen fachkundigen Anwalt für Datenschutzrecht zu beauftragen, wenn die personenbezogene Auftragsdatenverarbeitung im Ausland bevorzugt wird. Alternativ bietet sich die Datenhaltung in der Schweiz als unkomplizierte Alternative an. Auch Microsoft expandiert noch in diesem Jahr mit seinen Cloud-Services in die Schweiz. Mehr dazu erfahren Sie bereits in unserem nächsten Blog Beitrag. In diesem werden wir ausführlich auf Microsoft Azure in der Schweiz eingehen.
Der Mensch im Fokus
Neben den vermehrt fokussierten technischen Aspekten der IT-Sicherheit darf ein wesentlicher Bestandteil nie vergessen werden: das grösste Sicherheitsrisiko ist und bleibt der Mensch. Es ist deshalb empfehlenswert, effizient und effektiv die Mitarbeitenden regelmässig zu aktuellen Themen der Datensicherheit und des Datenschutzes zu sensibilisieren. Die Performance eines IT-Sicherheitssystems ist immer nur so stark, wie sein schwächstes Glied. Ziel einer Sicherheitsstrategie ist es daher, potenzielle Schwachstellen zu eruieren und minimieren. Daher muss die Security-Awareness aller Mitarbeitenden stetig gefördert werden.
Dinotronic Security Risk Assessment
Das Dinotronic Security Risk Assessment lehnt sich an international anerkannte Methoden an und erlaubt einer Organisation eine Standortbestimmung mit Fokus auf IT Security. Im Rahmen eines solchen Healthchecks erörtern wir den IST-Zustand Ihres IT Security-Zustands, schlagen konkrete Handlungsempfehlungen zur Verbesserung der Datensicherheit vor und besprechen das weitere Vorgehen mit dem Kunden. Auch offene Fragen zur Organisation, zu Prozessen, Daten und IT-Infrastruktur beantworten wir gerne. Im Anschluss erhält der Kunde einen Bericht mit den Resultaten der Analyse, deren Interpretation und konkrete Handlungsempfehlungen.
