43 % der Cyberangriffe richten sich gegen kleine Unternehmen, und nur 14 % sind darauf vorbereitet, sich zu schützen. Unabhängig davon, wie klein ein Unternehmen ist, sollte es bewusst Massnahmen zur Cybersicherheit ergreifen. Aber oft fehlt es kleinen Unternehmen an Ressourcen für engagierte Cybersicherheitsmitarbeiter oder Sicherheitsexperten.

Wir sind uns des Ausmasses des Problems bewusst und haben deshalb unsere Experten-Roundup-Reihe ins Leben gerufen, um Ihnen originelle und anregende Einblicke direkt von Fachleuten für Cybersicherheit zu bieten. In diesem neuesten Blog sprachen wir mit vier Experten über die wichtigsten Schritte, die kleine Unternehmen unternehmen müssen, um die erste Sicherheitslinie aufzubauen. Entdecken Sie im Folgenden ihre wertvollen Erkenntnisse.

Carlos Arglebe, Head of Cybersecurity bei Siemens Healthineers

Die erste Linie der Sicherheit sind die Menschen. Ihre Handlungen bestimmen das Schutzniveau. Was sie tun und wie sie es tun, macht einen großen Unterschied. Wir betrachten die Menschen gerne als unser Immunsystem in der Digitalisierung. Darüber hinaus müssen wir ein Umfeld des Vertrauens und des Lernens schaffen. Das ist leicht gesagt, denn bei Sicherheitsvorfällen sehen wir oft, wie schnell mit dem Finger auf die Schuldigen gezeigt wird. Die Menschen wollen das Richtige tun. Lernen, Wertschätzung, Belohnung und Entwicklung sind wichtig, damit sie sich in erster Linie engagieren.

Die Schaffung eines Risikorahmens, der die Art des Unternehmens, die Lieferkette, die Kunden und die Marktanforderungen berücksichtigt, ist von entscheidender Bedeutung, denn er ist die Kompassnadel für alle im Unternehmen. Auf diese Weise können sie die richtigen Entscheidungen treffen und die Unternehmensstrategie unterstützen.

Als dritten Schritt bin ich ein grosser Fan von Transparenz. Ein aussagekräftiges Berichterstattungssystem, das Transparenz in den kritischsten Risikobereichen schafft. Was man nicht messen kann, kann man auch nicht verbessern, oder? Beginnen Sie also mit der Messung der grundlegenden Hygienefaktoren in Ihrem Unternehmen, angefangen bei Vermögenswerten, Patch-Level, Ausnahmen, Schulungen usw. Es gibt viele gute Beispiele dafür. Es ist wichtig, diese auf Ihr Unternehmen zu übertragen, unabhängig von dessen Größe. Die Erkenntnis, dass Cybersicherheit nicht nur ein IT-Thema ist, sondern eine strategische Priorität, zu der alle beitragen müssen, schafft eine solide erste Sicherheitslinie.

Christophe Foulon, Chief Information Security Officer

Die wichtigsten Schritte für kleine Unternehmen beim Aufbau der ersten Sicherheitslinie bestehen darin, sich des Modells der geteilten Verantwortung mit den Anbietern von Cloud-Diensten bewusst zu sein und zu verstehen, wer für die Sicherheit der verschiedenen Schichten der Cloud-Dienste verantwortlich ist, und nicht einfach davon auszugehen, dass der Cloud-Anbieter für alles zuständig ist. Der „Safety-first“-Ansatz erfordert, dass dies in der Unternehmenskultur verankert wird.

Darüber hinaus würde ich kleinen Unternehmen empfehlen, in die Schulung der Geschäftsanwender von Anwendungen sowie der Entwickler und des Sicherheitspersonals zu investieren, damit jeder seine gemeinsame Verantwortung von den Anwendern bis zur Infrastruktur versteht.

Stefan Radushev, Cyber Security Consultant

Die KMU haben erkannt, wie wichtig es ist, in die Cybersicherheit zu investieren. Für viele von ihnen ist es das erste Mal, dass sie solche Massnahmen umsetzen. Die gute Nachricht ist, dass es bereits zahlreiche bewährte Verfahren und Fallstudien gibt, an denen sie sich orientieren können, und dass es viele Cybersicherheitsexperten gibt, die mit solchen Unternehmen zusammengearbeitet haben und deren Bedürfnisse und Ziele im Allgemeinen kennen.

Ich würde sagen, dass die entscheidenden Schritte für jede solche Organisation darin bestehen,:

1. ihr Personal schulen und das Cyber-Bewusstsein der Mitarbeiter schärfen;
   
   
2. Einführung von Verfahren zur Verwaltung der Informationssicherheit – ISO 27001 ist eine gute Idee;
   
   
3. Verwendung grundlegender Schutzmaßnahmen wie Firewalls, VPNs, Antivirenprogramme und Browsererweiterungen, die Malware erkennen;
   
   
4. Datensicherungen und ein starker Passwortschutz sind ein Muss;
   
   
5. Angemessene Schwachstellen- und Patching-Management-Prozesse zur Minimierung von Sicherheitsrisiken;
   
   
6. Die Sicherung der Netzinfrastruktur ist von entscheidender Bedeutung;
   
   
7. Zusammenarbeit mit zuverlässigen Dritten, die die Cybersicherheit ernst nehmen.
   
   

Ich würde sagen, das sind einige der universellen Best Practices, die ich empfehlen kann.

Andreas Nolte, Head of Cyber Security bei Arvato Systems

Mein Rat ist, zunächst sicherzustellen, dass sich das Unternehmen seiner selbst bewusst ist – was sind die Kerngeschäftsprozesse, wer ist an diesen Prozessen beteiligt, wie hängen sie von der Technologie ab, ist das Unternehmen in der Lage, die notwendige Reife zu erreichen, um diese Prozesse, Fähigkeiten und Technologie zu betreiben? Wenn diese grundlegenden Fragen nicht vollständig und ehrlich beantwortet werden, werden die Investitionen höchstwahrscheinlich nicht zum Ziel führen.

Folglich sollte die Komplexität der laufenden Technologie auf ein Minimum reduziert werden, indem SaaS-Dienste genutzt werden, wo dies möglich ist, und die eigenen Anstrengungen auf die verbleibenden Kernprozesse und die Technologie und Mitarbeiter, die diese unterstützen, konzentriert werden. Bei Sicherheitsprodukten muss vor allem sichergestellt werden, dass die von ihnen erzeugten Warnmeldungen geprüft werden und eine Reaktion erfolgt. Vor allem für kleinere Unternehmen ist es realistisch, diese Fähigkeit auszulagern.

Global Cyber Conference: eine Brücke zwischen den Akteuren der Branche und führenden Cybersicherheitsexperten

Angesichts der zunehmenden Raffinesse von Cybersicherheitsvorfällen müssen alle Beteiligten des Ökosystems gemeinsam nach Wegen suchen, um Informationssysteme zu sichern und die Widerstandsfähigkeit und Abschreckung zu verbessern.

Die Global Cyber Conference, die im kommenden September in Zürich stattfindet, ist eine zweitägige Premium-Veranstaltung mit Schwerpunkt auf Cybersicherheit und Datenschutz. Auf der Konferenz werden internationale Sicherheitsexperten ihr Wissen und ihre Best Practices weitergeben, um Sie bei Ihren Bemühungen um Cybersicherheit zu unterstützen.

Die Highlights der Agenda können Sie hier einsehen. Sie können auch Ihr Early-Bird-Ticket heute buchen und CHF 500 sparen. Sollten Sie spezielle Fragen haben, können Sie uns gerne eine E-Mail an conference@scf-5-sci-2025.hipdev.pro schicken, wir helfen Ihnen gerne weiter.