Wie sicher ist Ihr IT-System? Schauen Sie selbst!

Was für eine Frage: Natürlich ist Ihr IT-System sicher. Oder ziemlich sicher wenigstens. Na ja, sagen wir, einigermassen gut geschützt. Mehr oder weniger, eben. Damit sind Sie nicht allein. Die meisten KMU haben das Thema Systemsicherheit zwar auf dem Radar, doch in der Hektik des Alltags werden Lücken schon mal in Kauf genommen. Auch bei Ihnen? Schauen Sie mal, wo vielleicht Nachholbedarf besteht.  

Authentifizierung 

Zu den bekanntesten Massnahmen gehört die Authentifizierung mittels Benutzernamen und Kennwort beim Login in ein System oder in eine Applikation. Schon hier können erste Sicherheitslücken auftauchen. Während der Benutzername oft durch den Systemadministrator aufgrund einer vorgegebenen Klassifikation gesetzt wird, kommt dem (individuellen) Passwort eine entscheidende Rolle zu. Es sollte mindestens 8 Zeichen lang und eine möglichst willkürliche Kombination aus Gross- und Kleinbuchstaben, Zahlen und Sonderzeichen sein. Wichtig ist dabei auch, die Passwörter regelmässig zu ändern. Eine Hardware-Alternative bietet das Scannen von Fingern oder Augen (Iris). 

Autorisierung 

Mit dem authentifizierten Zugriff auf ein IT-System ist es nicht getan. Das Login öffnet dir Türe, doch welche Wege damit offenstehen, muss genau festgelegt werden. Besteht ein Vollzugriff auf die Daten? Können nur einzelne Anwendungen gestartet werden? Wenn ja, in welchem Umfang? Die Autorisierung jedes IT-Systems muss transparent geregelt sein. Einerseits ist der Applikationszugriff relevant, das heisst, welche Anwendungen, Module, Funktionen, Abfragen usw. Andererseits sind die Rechte zu definieren, das heisst, nur das Abfragen von Daten oder auch das Ändern oder sogar das Löschen und Neuanlegen. Mit dieser Matrix tun sich zwar viele KMU schwer. Auch wenn es Aufwand ist, nehmen Sie sich die Zeit für eine klare, nachverfolgbare Dokumentation der Autorisierung und für mehr Sicherheit. 

Digitale Signatur 

Die elektronische Signatur ist nicht neu. Noch mehr: Sie ist seit mehr als sechs Jahren sogar im Schweizer Obligationenrecht geregelt. Im Artikel 14 Absatz 2bis steht unter anderem: «Der eigenhändigen Unterschrift gleichgestellt ist die mit einem qualifizierten Zeitstempel verbundene qualifizierte elektronische Signatur gemäss Bundesgesetz vom 18. März 2016 über die elektronische Signatur. Abweichende gesetzliche oder vertragliche Regelungen bleiben vorbehalten.» Erstaunlicherweise nutzen nur wenige KMU die Möglichkeit des verschlüsselten Datenaustauschs, obwohl diese seit längerer Zeit standardmässig, zum Beispiel in Microsoft Outlook, verfügbar ist. Die Sicherheit lässt sich damit auf jeden Fall steigern.  

Verschlüsselung 

Nicht nur für Geheimdienste ist die Sicherheit bzw. Verschlüsselung von Daten von Bedeutung. Zunehmend bedienen sich Unternehmen und Organisationen der geschützten Übermittlung von sensiblen Informationen. Das Verfahren beruht in der Regel auf der asynchronen Nutzung unterschiedlicher Schlüssel mittels Public-Key-Infrastructure (PGP-Standard). Diese wiederum besteht im Wesentlichen aus einer Zertifizierungs-, einer Registrierungs- und einer Validierungsstelle. Das Verfahren ist für den rechtssicheren Austausch digitaler Dokumente von grösster Bedeutung und sollte bei der Verwendung von QR-Rechnungen unbedingt geprüft werden. Ansonsten besteht die Gefahr, dass Ihre Zahlung an ein Fake-Unternehmen weitergeleitet wird. 

Verfügbarkeit 

Früher war es üblich, dass man mit jedem neuen On-Premsise-System diverse Ersatzteile wie Netzwerkkarten, Harddisks oder Netzteile mitbestellt hat. Bei einem Ausfall des IT-Systems konnte man dadurch in kurzer Zeit reagieren. Serversysteme wurden zudem im RAID-Verfahren redundant geführt und mittels unterbrechungsfreier Stromversorgung (USV) abgesichert. Ein Cluster-Server sowie ein Backup-System sicherten das Unternehmen vor Datenverlust. Aufwand und Kosten waren beträchtlich. Kein Wunder nutzen immer mehr KMU die Cloud, um von professionellen Lösungen mit einer hohen Verfügbarkeit zu profitieren.  

Empfohlene Schutzmassnahmen 

Was können kleine und mittlere Unternehmen tun, um den Spagat zwischen zunehmender Digitalisierung und wachsendem Sicherheitsbedürfnis zu bewältigen. Wir empfehlen folgende Massnahmen für Ihr IT-System: 

  1. Sensibilisieren Sie alle IT-Anwender hinsichtlich Bedrohungen und Verhalten. 
  2. Etablieren Sie ein anspruchsvolles Kennwortkonzept für alle Anwendungen. 
  3. Aktualisieren Sie regelmässig die Betriebssysteme und Programme.  
  4. Nutzen Sie eine Firewall, welche den gesamten Netzwerkverkehr überwacht. 
  5. Verwenden Sie eine professionelle Antiviren-Software, auch wenn diese kostet. 
  6. Erstellen und testen Sie ein Worst-Case-Szenario für mögliche Cyber-Angriffe. 
  7. Sichern Sie Ihre Daten auf unabhängigen Medien oder in der Cloud

New Call-to-action
Jörg Holzmann ist seit 2000 erfolgreich im ERP-Markt tätig. Entsprechend breit ist sein Erfahrungsschatz rund um das Thema Business Software, mit dem er bisher zahlreiche namhafte KMUs als Projektleiter oder Leiter Support unterstützen konnte. Seit 2015 verantwortet er den Vertrieb der Schweizer myfactory. Für seine Tätigkeit beim SaaS-Pionier ist insbesondere sein umfassendes Know-how rund um das Thema E-Commerce von Bedeutung. Einige Jahre Erfahrung in der Prozessindustrie, in Produktion, Qualitätssicherung und Produktentwicklung runden sein Profil ab. Aus der Cloud zurück auf den Boden der Freizeit bringen ihn sportliche Aktivitäten und besonders die Zeit mit der Familie.