Gastkommentar in der NZZ vom 4.10.2019
von Levente J. Dobszay
Die Bedrohungsfelder erweitern sich laufend, während die Budgets gerade bei KMU mehrheitlich stagnieren. Die digitale Sicherheit eines Unternehmens kann jedoch nur mit einem sinnvollen Budget gewährleistet werden. Untersuchungen zeigen allerdings, dass die Investitionen in die Cybersicherheit nicht mit jenen der Digitalisierung mithalten. Mehr als drei Viertel der Unternehmen verfügen über kein ausreichendes Budget, um die Sicherheit zu gewährleisten. Cybersecurity ist bei den meisten Firmen nicht integraler Bestandteil der Unternehmensstrategie.
Ein Abfluss von schützenswerten Daten mit persönlichen Konsequenzen für Kunden, Führungskräfte und Mitarbeitende führt zu einem Vertrauensverlust und allfälligen Bussgeldern. Dies mag manch ein Betrieb noch verkraften. Ein längerer Betriebsunterbruch oder der Totalverlust geschäftskritischer Daten führt zu Reputationsschäden und Haftungsansprüchen und kann rasch zu existenziellen Liquiditätsproblemen durch Produktivitäts- und Umsatzverluste sowie Wiederherstellungskosten führen. Mitunter bedeutet dies sogar das Aus für einen Betrieb. Diese Risiken werden von vielen Unternehmern noch immer massiv unterschätzt.
Cybersecurity umfasst das ganzheitliche Management von digitalen Risiken. Neben der passenden Sicherheitstechnologie sind auch Investitionen in Mitarbeitende und Prozesse wichtig. Mit klaren, verbindlichen Richtlinien und gezielter Mitarbeiterschulung kann mehr bewirkt werden als mit technischen Lösungen alleine. Das Cybersecurity-Budget für den Grundschutz sollte mindestens 15 bis 18 Prozent des IT-Budgets (bzw. 375 bis 1000 Franken pro Arbeitsplatz) jährlich betragen. Hinzu kommen die Kosten für spezifische Risiken durch individuelle Sicherheitsanforderungen. Diese Angaben betreffen lediglich die laufenden Kosten für Unternehmen mit ausreichendem Sicherheitsniveau. Die Investitionen für die Erreichung des entsprechenden Sicherheitsstandards fallen zusätzlich an. Als Faustregel sollte dieser Aufwand während der ersten drei bis fünf Jahre das Ein- bis Zweifache des Grundschutzbudgets betragen. Damit kann in vernünftiger Frist ein risikogerechtes Sicherheitsniveau erreicht werden.
Wer glaubt, sich Cybersicherheit nicht leisten zu können oder zu müssen, muss es sich leisten können, die Kosten der Risiken zu tragen. IT-Sicherheit sehen viele Unternehmensverantwortliche lediglich als Schutz vor Hackern und daher als Aufgabe der IT. Dabei geht Cybersecurity über die reine IT-Sicherheit hinaus. Sie umfasst technische, organisatorische und rechtliche Massnahmen für die Schutzziele «Vertraulichkeit», «Integrität» und «Verfügbarkeit» sowohl von Hard- und Software, Daten als auch Services. Die grösste Schwachstelle jedoch ist der Mensch. In mehr als der Hälfte der Sicherheitsvorfälle im digitalen Bereich ist ein Mitarbeiter involviert – sei es als unachtsames Opfer, als Fehlbediener oder als willkürlicher Täter. Zudem sind Hard- und Software nie fehlerlos. Sie können sowohl Schäden durch Fehlfunktionen hervorrufen als auch durch einen technischen Defekt komplett zum Erliegen kommen. Es muss nicht immer ein Cyberangriff sein. Richtig getätigte Investitionen stellen nicht nur den sorglosen Betrieb, sondern auch die Innovationsfähigkeit eines Unternehmens sicher. Digitalisierung ohne Cybersicherheit hat keine Zukunft. Die IT-Infrastruktur bildet das Rückgrat eines Unternehmens, und Cybersecurity ist ein untrennbarer Bestandteil der digitalen Welt. Nicht die Angst vor einer «Überdosierung an Sicherheit», sondern der optimale Einsatz der Mittel sollte im Fokus stehen.
Levente J. Dobszay
ist Cybersecurity-Spezialist beim Verband für Elektro-, Energie- und Informationstechnik Electrosuisse.
Aus dem NZZ-E-Paper vom 04.10.2019