Report über die Medienkonferenz am 3.9.2018
Nicole Wettstein, Projektleiterin des Cybersecurity Schnelltests für KMUs, lobte zu Beginn der Medienkonferenz bei SATW die Zusammenarbeit der beteiligten Institutionen.
Andreas Kaelin, Geschäftsführer ICTswitzerland, begründete die Notwendigkeit dieses Projekts mit der Anzahl von KMUs in der Schweiz. 98% der Schweizer Unternehmen sind KMUs, wovon ca. 530’000 nur 1-9 Beschäftigte haben. Diese haben meistens keinen Sicherheitsbeauftragten, sind aber trotzdem häufig Ziel von Cyberangriffen mit ernsthaften Konsequenzen. Da bei KMUs die Risiken häufig unterschätzt werden, sind Grundschutzmassnahmen dort oft ungenügend. Der Schnelltest für Cybersicherheit von KMUs umfasst drei Bereiche mit total 44 Fragen:
1. Organisation
2. Technik
3. Mensch
Als vertiefte Alternative hat das BWL vor kurzem die IKT Minimalstandards veröffentlicht mit 106 Massnahmen auf freiwilliger Basis, hauptsächlich für Betreiber kritischer Infrastrukturen. ISO27001 oder Comon Criteria sind darinmjedoch nicht vorgesehen.
https://www.bwl.admin.ch/bwl/de/home/themen/ikt/ikt_minimalstandard.html
Umberto Annino von ISSS wies auf die breite Abdeckung des Fragebogens hin mit drei Beispielen: People Sicherheit muss sowohl bei den Mitarbeitenden als auch bei den Kunden und Lieferanten als „enabler“ und nicht als „disabler“ verankert werden. Process Die Geschäftsprozesse müssen verstanden werden, sonst können diese nicht wirkungsvoll geschützt werden (d.h. es gibt keinen wirkungsvollen Schutz). Technology Technologie und das notwendige Know-how dafür ist notwendig um grundlegende Schranken aufzubauen und sicher zu halten. Am Beispiel von Ruag erwähnte er, dass oft längere Zeit vergeht, bis eine Attacke überhaupt bemerkt wird; und treffen kann es jeden, Beispiel Yahoo mit drei Milliarden betroffener Kunden-Accounts!
Nicole Barandun, Präsidentin des Gewerbeverbandes der Stadt Zürich GVZ, betonte, dass in ihrem Verband typischerweise die Mehrzahl der KMUs dabei sei, und dass diese oft keine Ressourcen für Cybersecurity-Personal zur Verfügung hätten.
Pascal Lamia, Informatiksicherheitsbeauftragter Bund, Leiter Melani, bestätigte, dass in KMUs Cybersecurity als Risikofaktor oft unterschätzt werde und dass dadurch auch zu wenig in den Schutz vor Cyberattacken investiert würde. Er berichtete von zwei Use Cases, die zeigten, wie leicht sich KMUs hacken liessen. Schon für $5.-/h seien DDOS-Attacken käuflich, womit Erpressungen einfach möglich würden. Neuerdings hätten private Organisationen ähnlich gute Spionagesoftware zur Verfügung, und die Schadensummen seien schnell über einer Million CHF Realität, was für ein KMU tödlich sein könne. Er zeigte auch auf, dass dieses Projekt in die neue Cyber-Strategie des Bundes passt (NCS 2018-2022). In Zusammenarbeit mit verschiedenen Institutionen seien die IKT-Minimalstandards entwickelt worden, die v.a. für die Stromwirtschaft massgebend seien und auch umgesetzt würden.
Marcel Dobler, Präsident ICTswitzerland, betonte den Handlungsbedarf für die ganze Schweiz. Erfreulich sei die Initiative der Privatwirtschaft für den Cybersecurity-Schnelltest. Wichtig wären jedoch weitere finanzielle Ressourcen für die Bundesverwaltung in diesem Bereich, ein Ausbau von Melani für Diestleistungen für KMUs und eine weiterführende Awarenessbildung in der breiten Bevölkerung.
Online-Test: www.cybersecurity-check.ch
Download als pdf:
File: https://ictswitzerland.ch/media/dateien/Cyber_Security/Minimalstandards/Cybersecurity_Schnelltest_KMU.pdf
Beitrag vom Schweizer Fernsehen: https://www.srf.ch/news/wirtschaft/hilfe-zur-selbsthilfe-sicher-vor-hackerangriffen-kmu-koennen-das-nun-testen
Für den Report und Foto: Fredy Schwyter, FG Multimedia