News
Best of July/AugustIn unserer regelmässigen Blog-Serie «Best of» fassen wir die interessantesten Neuigkeiten aus unserem Umfeld zusammen.
Für Maschinenbauunternehmen gilt das, was auch die restliche Wirtschaft umtreibt: IT-Sicherheit ist zu einem höchst relevanten Thema geworden. Verschlüsselungstrojaner, Spionage und lahmgelegte IT-Systeme finden sich inzwischen täglich in den Wirtschaftsnachrichten. Auch wenn alle um die Bedrohungen wissen, ist Prävention dennoch schwierig. Einer der Knackpunkte: wo fängt man überhaupt an?
Wir liefern dir 3 konkrete Massnahmen, mit denen du kurz- und langfristige Wirkung erzielen kannst.
Wenn es um Digitalisierungsmassnahmen geht, denken alle an Aufwand und Nutzen. Es geht um Budgets, um (neue) Prozesse und Change Management. Aber sollte Sicherheit nicht auf der gleichen Ebene wie Budget und Nutzen angesiedelt sein? Wir finden, ja, da gehört das Thema Sicherheit hin.
Ein anschauliches Beispiel dafür ist der Einsatz von IoT (Internet of Things) Geräten. Die Chancen der Automatisierung und Vernetzung sind immens. Durch die Anbindung der Geräte an Unternehmensnetzwerke steigen aber auch die Risiken. Folgende Fragen helfen dabei, Sicherheitsrisiken vor Inbetriebnahme zu reduzieren:
Ein weiteres Beispiel finden wir im Bereich Personal. Nehmen wir an, dass unsere Beispiels AG ihren Bewerbungsprozess digitalisiert. Bewerber:innen können ihre Daten über ein Online-Formular einreichen, inkl. Upload für den Lebenslauf. So landet alles in einer zentralen, webbasierten Verwaltungsplattform und kann dort geordnet weiterverarbeitet werden. Definitiv eine gute Sache, wenn das Bewerbungsvolumen steigt. Was niemand vermutet: Der Datei-Upload könnte Einfallstor für Schadsoftware sein, wenn dieser nicht richtig abgesichert wird.
Wenn Sicherheit in jedem Digitalisierungsprojekt fest integriert ist, stehen die Chancen gut, dass Risiken vorab entdeckt werden. Beispielsweise könnte man folgende Frage fest in den Reviewprozess aller digitalen Lieferergebnisse integrieren:
Wie könnte diese Funktion für Angriffe ausgenutzt werden?
Natürlich muss die Frage durch Menschen beantwortet werden, die Fachpersonen in der Thematik sind. Aber auch ohne langjährigen Security-Erfahrungsschatz kommen einige Risiken schnell an die Oberfläche, wenn man den Blick darauf fokussiert. In der Zusammenarbeit mit Dienstleistern sollte das Thema Sicherheit definitiv von Beginn an bedacht werden.
Das Zero-Trust-Konzept (Null-Vertrauensansatz) geht davon aus, dass nichts sicher ist. Weder im Internet noch bei dir im Firmennetzwerk. Remote-Arbeit und Cloud Dienste benötigen eine neue Denkweise in der IT-Sicherheit. Wo es früher vielleicht noch ausreichte, das eigene Firmennetzwerk abzusichern, ist diese Verteidigungstaktik in der modernen Wirtschaftswelt nicht mehr ausreichend.
Im Zero-Trust Konzept wird jeder Zugriff auf Ressourcen (Daten, Apps, Server, …) nur dann gewährt, wenn die Identität von Mensch oder Maschine durch explizite Verifizierung geprüft werden konnte. Es werden immer nur die minimal nötigen Rechte für den Zugriff erteilt. Durch diese und weitere Prinzipien und Funktionen entsteht ein Echtzeit-Bedrohungsschutz.
Der Aufwand für ein solches Zero-Trust Konzept ist ohne Zweifel sehr gross. Der Nutzen allerdings auch. Die Kosten und der Schaden eines erfolgreichen Angriffs dürften die Aufwände für ein Zero-Trust Konzept in nahezu jedem Fall weit übersteigen.
Technische Massnahmen wie ein Zero-Trust-Konzept bieten guten Schutz, aber keine hundertprozentige Garantie. Der Faktor Mensch bleibt weiterhin wichtig. Ein erster konkreter Schritt zu mehr Sicherheit ist das Festlegen von Verantwortlichkeiten im Unternehmen.
So kennt etwa die Norm ISO 27001 eine verantwortliche Person für die ISMS-Themen (Informationssicherheitsmanagement). Auch wenn die ISO-Norm für dein Unternehmen vielleicht noch nicht relevant ist, so sind klare Rollen und damit verbundene Kompetenzen massgebend.
Folgende Fragen können beim Definieren der Verantwortlichkeiten helfen:
In kleinen Unternehmen werden diese Aufgaben oft bei einer Person gebündelt. Wichtig dabei: Vertretung organisieren, Wissen verteilen und Wissen dokumentieren – speziell für den Krisenfall.
Eine Sicherheitsnorm wie die global erkannte ISO 27001 ist ein zentraler Baustein für wirkungsvolle IT-Sicherheit. Das gilt insbesondere für Maschinenbauunternehmen, die durch die digitale Transformation neue Chancen erhalten, aber auch Risiken bewältigen müssen. Internet of Things, Remote Arbeit oder Fernwartung – diese Themen erfordern tiefgreifende Sicherheitsmassnahmen. Was viele nicht wissen: Man muss sich nicht zwingend zertifizieren lassen. Gleichwohl ist eine Zertifizierung für Kunden und Kundinnen ein Qualitätsbeweis und erzeugt Vertrauen.
Mit der ISO 27001 werden die Anforderungen für die für Einrichtung, Umsetzung, Aufrechterhaltung und Verbesserung eines Informationssicherheit-Managementsystems (kurz ISMS) definiert. Was kompliziert klingt, ist letztlich eine Art «Operating System» für alle relevanten Sicherheitsthemen in einem Unternehmen.
Wer ein solches ISMS sauber aufbaut und aktiv lebt, hat wichtige Sicherheitsaspekte im gesamten Unternehmen verankert.
Photo by Philipp Katzenberger on Unsplash
Ueli Banholzer
Geschäftsführer
In unserer regelmässigen Blog-Serie «Best of» fassen wir die interessantesten Neuigkeiten aus unserem Umfeld zusammen.
In den vergangenen Monaten durften wir mit vielen Lehrkräften sowohl über die Vorteile, als auch über die Sorgen der Nutzung von ChatGPT im Unterricht sprechen.