Viele Unternehmen überschätzen die eigene IT-Sicherheit noch immer

Die zurichnetgroup ist ein Premium Partner von Gryps für die Bereiche IT-Services und Cloud-Computing. Im Interview erklärt Business Consultant Markus Lehmann, wie Unternehmen ihre IT-Sicherheit verbessern.

Verfasst von Reto Stauffacher

Markus Lehmann, was fasziniert Sie an der IT?

Lehmann: Das vielfältige und breite Themengebiet. Es geht um Sicherheit, es geht um moderne Arbeitsplätze, es geht um neueste Trends und Technologien. Man ist am Puls der Zeit und erhält Einblicke in die verschiedensten Unternehmen. Zudem schätze ich den Kontakt mit den Kundinnen und Kunden, das bereichert mich und meine Arbeit sehr.

Was hat Sie geprägt?

Ich bin gelernter Elektriker, merkte dann aber schnell, dass mich die Telekommunikation interessierte. Das war in den 1990er-Jahren. Seither hat sich das Feld extrem gewandelt – und ich mich damit. Was mich auszeichnet ist die Erfahrung. In einigen Unternehmen haben sich Grundelemente wie die Verkabelung oder die Netzwerke über die Jahre kaum verändert. Da hilft es, zu wissen, wie es früher war.

Sie sind Business Consultant bei der zurichnetgroup. Wie gewinnen Sie das Vertrauen der Kundinnen und Kunden?

Der Erstkontakt kommt bei uns in der Regel per Telefon oder E-Mail zustande. Dann müssen wir schnell sein, schliesslich braucht der potenzielle Kunde rasch Hilfe. Das Fachwissen, das Verständnis für das Anliegen sowie der persönliche Kontakt sind entscheidend. Ich habe grosse Freude an meiner Arbeit. Das Schönste ist, wenn die Kunden mir ihr Vertrauen schenken und sich zur Zusammenarbeit mit der zurichnetgroup entscheiden.

«85 Prozent aller Cybervorfälle werden durch menschliches Fehlverhalten ausgelöst.»

Markus Lehmann, Business Consultant bei zurichnetgroup

Ihr Fokus als Consultant liegt auch auf der IT-Sicherheit. Wie gut sind Schweizer KMU aufgestellt?

Viele KMU haben bis heute die IT-Sicherheit nicht auf dem Schirm. Es gibt keine umfassende IT-Strategie, die IT-Umgebung entwickelt sich fragmentiert und neue Tools oder Veränderungen werden erst eingeführt, wenn der Druck von aussen steigt oder bereits etwas geschehen ist.

Ein Beispiel ist das neue Datenschutzgesetz. Als es letztes Jahr in Kraft trat, erhielten wir viele Anfragen von Unternehmen, was nun zu tun sei. Das Gesetz fordert angemessene Sicherheitsmassnahmen – doch was das konkret bedeutet, sagt das Gesetz nicht. Hier unterstützen wir unsere Kunden bei der Definition des angemessenen Sicherheitslevels und der Ausarbeitung der geeigneten Massnahmen.

Was sind die grössten Herausforderungen für die IT-Sicherheit in KMU?

Technisch sind viele Unternehmen gut aufgestellt, doch organisatorisch gibt es Nachholbedarf. Verantwortlichkeiten und Prozesse sind häufig nicht geklärt. Das Risikobewusstsein ist in vielen Unternehmen ausbaufähig. Jedes Unternehmen muss Fragen klären wie: Welche Geräte und Applikationen sind im Einsatz und wie werden sie auf dem neuesten Stand gehalten? Wie reagieren wir auf einen Cyberangriff? Wer schult die Mitarbeitenden regelmässig? Für die IT-Sicherheit ist das Management verantwortlich. Das Thema muss ein wiederkehrendes Traktandum auf der Agenda sein.

Aber ist das nicht Aufgabe des IT-Verantwortlichen?

Natürlich. Aber viele kleine Unternehmen haben keinen dedizierten IT-Verantwortlichen. Oft kümmert sich jemand nebenbei um die IT. Das ist ein Risiko. Es ist elementar, grundlegende Prozesse und Verantwortlichkeiten zu definieren.

Wie unterstützen Sie diese Unternehmen?

Wir informieren und beraten unsere Kunden proaktiv über die neuesten technologischen Entwicklungen und Möglichkeiten, insbesondere in der IT-Security. Wir bieten auch Workshops an, in denen wir gemeinsam mit den Kunden herausfinden, welche Massnahmen angemessen sind. Aus diesen Workshops entstehen dann verschiedene Projekte, die wir eng begleiten.

Es kann jederzeit zu einem Cyberangriff oder einem Grossausfall kommen. Wie sollten sich Unternehmen darauf vorbereiten?

Ein Unternehmen muss sich regelmässig und strukturiert mit den Risiken und Gefahren auseinandersetzen und sich im Klaren sein: Welche Risiken haben wir? Was bedeutet es, wenn ich einen Tag lang nicht produktiv arbeiten kann? Welche Auswirkungen hat das auf Kundinnen, Mitarbeitende und Lieferanten? Wie lange können unsere Server und Applikationen ausfallen, bis es kritisch wird? Technisch und organisatorisch gibt es etliche Massnahmen, um das Risiko zu minimieren. Entscheidend ist, sich damit auseinanderzusetzen, um sich der Risiken und deren Tragweite bewusst zu sein.

Was ist das grösste Risiko?

Der Mensch. 85 Prozent aller Cybervorfälle werden durch menschliches Fehlverhalten ausgelöst. Phishing-Angriffe sind hier die grösste Gefahr. Ein Klick auf ein bösartiges E-Mail kann verheerende Folgen haben. Und die Methoden der Hacker werden durch Künstliche Intelligenz immer perfider. Medien berichten beispielsweise vermehrt über Fake-Telefonanrufe und täuschend echte Stimmen-Imitationen.

Viele KMU denken, dass sie kein attraktives Ziel sind. Ist das ein Trugschluss?

Absolut. Es gibt überall etwas zu holen, nur schon ein paar Dutzend Kunden- oder Mitarbeiterdaten sind wertvoll. Die meisten Angriffe sind zudem nicht gezielt. Die Hacker versuchen es bei Tausenden von Unternehmen gleichzeitig. Es ist ein Fischen in trübem Wasser: Man wirft die Angel aus, wartet, läuft weiter und wirft sie wieder aus. Irgendwann beisst ein Fisch an.

Was hilft den Unternehmen, sich besser zu schützen?

Eine starke IT-Sicherheitskultur. Hilfreich ist es, sensible Daten an verschiedenen Orten zu speichern und klare Notfallpläne zu erstellen. Schnelles Reagieren ist entscheidend. Im Notfall bleibt keine Zeit zu überlegen, weil sich der Schaden rasant ausbreitet.

Wie schulen Sie die Mitarbeitenden?

Mit netgroupPREVENTION haben wir ein Schulungsprogramm entwickelt, mit welchem Mitarbeitende ihre IT-Awareness laufend erhöhen und aktualisieren können. Mit gezielten Phishing-Kampagnen testen wir aktiv das Wissen und analysieren die Ergebnisse. Ein Dashboard zeigt, wer auf welche Mails klickt und wie sich die Awareness entwickelt.

Durch das Programm installieren wir im Mail-Programm zudem ein Plugin, um verdächtige Mails zu melden. Wer ein verdächtiges Mail meldet, bekommt ein unmittelbares «Glückwunsch»-Feedback und sieht dadurch sehr schnell und direkt, dass die Reaktion richtig war und ein Phishing Versuch vermieden werden konnte.

Und was ist mit der Notfallplanung?

Wissen Sie, was zu tun ist, wenn es an Ihrem Arbeitsplatz brennt?

Ja …

Eben. In jedem Gebäude gibt es Feueralarme, Rauchmelder, Sammelplätze und Notfallpläne. In der IT muss der gleiche Level erreicht werden. Die Wahrscheinlichkeit, dass Ihre IT-Infrastruktur angegriffen wird und dadurch immenser Schaden entsteht, ist ungleich höher als die Gefahr eines Brandes. Trotzdem sind wir auf Feuer viel besser vorbereitet.

Sie haben fast 30 Jahre Erfahrung in der IT-Branche. Wenn Sie zurückblicken, wie atemberaubend ist die Entwicklung?

Es ist unglaublich, wo wir heute stehen. Die technologische Entwicklung ist phänomenal. Es ist eine Herausforderung, auf dem neuesten Stand zu bleiben, aber eine, die mich jeden Tag aufs Neue reizt.

Wenn Sie zehn Jahre zurückdenken: Welche Entwicklung hat Sie besonders überrascht?

Vor zehn Jahren hätte ich keinen Franken darauf gewettet, dass sich Homeoffice derart breit etabliert. Das war auch vor fünf Jahren unvorstellbar, ganz ehrlich. Während der Corona-Pandemie mussten die Unternehmen von einem Tag auf den anderen alles verändern. Vor Corona waren statische, unflexible IT-Infrastrukturen verbreitet – und plötzlich musste alles auch im Homeoffice funktionieren. Es war erstaunlich, wie schnell das ging.

Und wenn Sie zehn Jahre in die Zukunft blicken?

Die Künstliche Intelligenz wird die Art und Weise, wie wir arbeiten, grundlegend verändern. Bis vor wenigen Monaten stand diese Technologie nur grossen Firmen zur Verfügung. Inzwischen können sich auch KMU KI-Programme wie beispielsweise Microsoft Copilot leisten. Wohin das führt, kann ich nicht abschätzen. Aber wir werden auch in zehn Jahren wieder erstaunt und verblüfft sein, was alles möglich geworden ist.

Über zurichnetgroup agDie zurichnetgroup mit Sitz in Zürich, Pfäffikon SZ und Kriens LU ist ein führendes ICT-Dienstleistungsunternehmen für KMU. Ob eine zukunftsgerichtete IT-Arbeitsumgebung, eine professionelle Telekommunikationslösung oder die Kombination aus beidem – zurichnetgroup bringt das Know-how und die Erfahrung mit, um eine passgenaue Lösung für die Kunden zu finden.

▶ Zur Website