"Swiss IT Reseller": Herr Walder, wie bewerten Sie den aktuellen Security-Standard im Schweizer KMU-Umfeld? Hat sich hier in den vergangenen Jahren etwas bewegt?Dario Walder: Man muss natürlich etwas differenzieren. Wir haben in der Schweiz über 600ʼ000 KMU. Und wir reden von Ein-Mann-Betrieben, Zwei-Mann-Betrieben, bis hin zu 500 Mitarbeitern und mehr. Und so unterschiedlich das Geschäft jeweils aufgestellt ist, gestaltet sich auch die Cybersecurity. Aber vor allem bei den kleinen Unternehmen mit einem bis zehn Mitarbeitern ist sicherlich das Kernbusiness einfach viel relevanter als das Thema Cybersecurity. Sie machen daher häufig relativ wenig, vor allem aufgrund der beschränkten Ressourcen und Fachkompetenzen. Aber natürlich gibt es auch Grosse, die diese Fachexpertise zwar in ihrer IT hätten, dennoch aber zu wenig umsetzen. Es liegt dann oft daran, dass die Sensibilisierung in der Geschäftsleitung und im Verwaltungsrat nicht hoch genug ist oder aber auch Berührungsängste bestehen. Das hat sich in den letzten fünf Jahren in meiner Wahrnehmung zwar aufgrund der grundsätzlichen Aufmerksamkeit für das Thema, auch in den Medien, deutlich verbessert. Aber es gibt nach wie vor viele KMU jeder Grösse, die sich nicht ausreichend um dieses Feld kümmern.
Wie steht es auf technischer Seite? Gibt es Unternehmen, die überspitzt gesagt noch kein Antivirus und keine Firewall im Einsatz haben?
Das ist glücklicherweise nicht mehr so. Antivirus gehört heute zur Standardausrüstung, beispielsweise mit dem Defender in der Windows-Welt. Eine Firewall wird vor allem dann wichtig, wenn ein Unternehmen ein komplexeres Netzwerk aufbaut. Bei der Nutzung einiger weniger Office-Produkte in einer sehr einfachen Cloud-Umgebung kann der Bedarf an einer dedizierten Firewall geringer sein. Aber wie steht es um neuere Technologien? Beispielsweise Multi Factor Authentication. Dies ist eine sehr effektive Schutzmassnahme gegen Cyberangriffe wie beispielsweise Ransomware. Aber MFA hat sich schlicht noch nicht so stark durchgesetzt wie etwa Antivirus, weil es neuer ist und man das selbstständig installieren und konfigurieren müsste. Das Gleiche gilt für Backups. Wenn du dich nicht selbst darum kümmerst, dann hast du es auch nicht. Die Umsetzung von Sicherheitstechnologien ist natürlich oft auch grössenabhängig. Bei kleineren KMU sind diese grundsätzlich weniger im Einsatz als bei grösseren Organisationen. Natürlich gibt es immer positive Ausnahmen. Teilweise gibt es auch Gründe, warum ein KMU diese Technologien nicht einsetzt, beispielsweise fehlende Kenntnisse oder Ressourcen. Bei grösseren Organisationen dagegen sollte dies jedoch besser umgesetzt sein als es aktuell ist.
Kann man also festhalten: je kleiner, umso mehr Security-Nachholbedarf?Ja, das würde ich so sagen. Das Thema Cybersecurity hat einfach eine gewisse Komplexität und je kleiner, umso weniger Aufmerksamkeit, umso weniger Fachwissen, umso weniger Ressourcen habe ich. Hier ist es dem KMU oftmals wichtiger, das Kernbusiness aufrechtzuerhalten, als viele Arbeitstage in Cybersecurity zu investieren. Das ist natürlich völlig verständlich. Schon allein aufgrund der Komplexität. Denn nur weil ein Unternehmen acht Mal kleiner ist, heisst das noch lange nicht, dass die Security acht Mal einfacher ist. Die Komplexität ist auch für das kleine KMU hoch und eine Challenge. Wie wir das in der Breite beheben können? Ganz ehrlich, keine Ahnung (lacht). Um das wirklich flächendeckend umzusetzen, benötigt es einen Effort auf allen Stufen von der Organisation über Verbände bis hin zur Politik und der Verwaltung.
Was ist also der grösste Knackpunkt? Die Komplexität, die fehlende Aufmerksamkeit für das Thema, zu geringe Ressourcen? Was spielt letztlich die grösste Rolle?Was wir sehr häufig mitbekommen und was auch völlig nachvollziehbar ist: Du gehst als Unternehmen zu einem IT-Dienstleister und kaufst dir einen Managed Workplace oder entsprechende Hardware. Würdest du stattdessen ein Auto kaufen, dann erwartest du zu Recht, dass ein Airbag, ein Gurt und ein Blinker ab Bord sind. In der IT ist es hingegen so, dass die Systeme nicht immer automatisch mit dem entsprechenden Sicherheitsniveau ausgestattet sind. Warum? Wenn wir zwei IT-Provider nehmen: Der eine verlangt für ein Produkt den Preis X und der andere schlägt auf diesen Preis 40 Prozent drauf, sagt aber, dass das System viel sicherer ist. Dann kann man dreimal raten, wer am Ende ein gutes Business macht und wer bald kein IT-Provider mehr sein wird. Gleichzeitig sagen viele KMU aber, dass sie ja bereits gutes Geld für die IT ausgeben, und dann muss das auch sicher sein. Und sie sagen, dass sie ohnehin mit einem hervorragenden IT-Dienstleister zusammenarbeiten und er seine Arbeit zuverlässig ausführt. Das kann natürlich sein. Es muss aber nicht heissen, dass sich dieser Dienstleister auch mit Cybersecurity auskennt oder einen entsprechenden Fokus darauf hat. Sprich: Es braucht vor allem das Verständnis im Markt, dass Security oftmals leider nicht von Haus aus mitgeliefert wird.
Wie sieht es denn auf der Seite der IT-Dienstleister aus? Viele Unternehmen arbeiten mit einem Partner, der Server betreut, Endgeräte einrichtet und sich on top noch um die Security kümmern soll. Haben diese IT-Generalisten das Know-how, um die Komplexität zu stemmen?Da gibt es ganz grosse Unterschiede. Ich habe schon kleine Firmen gesehen, die unglaublich sind und das einfach machen und umsetzen. Da kann man wirklich nur staunen. Und dann gibt es IT-Provider, die machen es mehr oder weniger gut. Aber die Tendenz der letzten Jahre ist, dass viele IT-Provider selbst grosses Interesse an Security zeigen, sehr viel mehr investieren und versuchen, Dienstleistungen aufzubauen. Das Thema ist also angekommen und viele Provider kümmern sich mit Nachdruck darum. Aber sie bewegen sich auch im Spannungsfeld, einerseits Umsatz zu machen und andererseits in den IT-Security-Aufbau investieren zu müssen. Hier gilt es, die richtige Balance zu finden. Ein wichtiger Diskussionspunkt ist aber sicherlich: Möchte ich als Bezüger die Security wirklich von meinem IT-Provider aus einer Hand erhalten? Dieser Provider macht dann beispielsweise auch das Audit und überprüft, ob die IT sicher ist. Er bewertet also seine eigenen Systeme und dann stellt sich die Frage betreffend Unabhängigkeit. Aber ganz grundsätzlich sehe ich eine Entwicklung in die richtige Richtung, in Richtung mehr Sicherheit sowohl bei den KMU als auch bei den IT-Providern. Und das ist gut. Denn es muss uns bewusst sein, dass niemand, auch nicht die Bundesverwaltung oder die Politik, einfach einen Hebel umlegt, und das Thema ist erledigt, die Wirtschaft ist sicher. Nein, jede Organisation, jeder Provider muss sich dahinterklemmen. Das ist eine enorme Aufgabe, die nur gemeinsam bewältigt werden kann.
Was ist denn vor diesem Hintergrund aktuell die Security-Baseline? Welche Lösungen sollten KMU definitiv im Einsatz haben, um einen guten Grundschutz zu gewährleisten?
Es gibt drei goldene Regeln, die ich wirklich jedem predige: Multi Factor Authentication, ein gutes Backup und die Systeme immer auf dem aktuellsten Stand halten. Das ist extrem wichtig. Habe ich ein veraltetes Betriebssystem mit bekannten Schwachstellen im Einsatz, dann ist meine IT wie ein Haus mit zehn Türen, von denen zwei nicht abgeschlossen sind. Ein Problem mit Blick auf diese Grundsicherung ist aber, dass vor allem die kleinsten KMU nicht aktiv auf IT-Dienstleister zugehen und Unterstützung suchen, weil sie meist einfach nicht das Budget zur Verfügung haben oder die richtigen Fragen stellen können. Wie erreicht man diese Unternehmen also und kann sie informieren? Für diesen Zweck haben wir mit der Information Security Society Switzerland (ISSS) das Cybernavi entwickelt. Hier werden Unternehmen auf Basis einfacher Fragen der passende Cybersecurity-Standard vorgeschlagen und Empfehlungen zur Umsetzung gegeben. Unser Rat ist dabei immer: Probiere es erstmal selbst umzusetzen.
Also ohne einen IT-Partner? Auch Kleinstunternehmen?Ja, viele Schritte sind gut selbst stemmbar. Das sind vor allem organisatorische Themen, beispielsweise die Anpassung von Nutzerberechtigungen. Dabei lernt man am meisten, gleichzeitig kennt man die eigene Organisation natürlich am besten. Ist das jedoch nicht möglich, können Unternehmen natürlich einen IT-Dienstleister hinzuziehen. Die dritte Option ist darüber hinaus, einen spezialisierten Security-Dienstleister einzubinden, beispielsweise für eine neutrale Beurteilung oder wenn der IT-Partner einen gezielten Ratschlag benötigt. Mit dem Cybernavi haben wir versucht, den Bereich der Kleinst-KMU abzudecken und effektiv zu informieren. Deren Zahl ist in der Schweiz gross und sie haben eine hohe wirtschaftliche Relevanz. Ihnen zeigen wir auf diesem Weg ihre Handlungsoptionen auf. Gleichzeitig greift das Cybernavi aber auch für grössere und ganz grosse Organisationen.
Gibt es zudem auch Handlungsbedarf bei den IT-Dienstleistern? Müssen Sie aktiver werden, um die vielen tausend KMU zu erreichen beim Thema Cybersecurity?Das wäre natürlich ideal und eine absolut gute Idee. Aber wie kann man das ermöglichen? Entweder über neue Technologien, aber das ist meist nicht an uns in der Schweiz, sondern vor allem bei den Amerikanern. Wir können aber andererseits auch weiter sensibilisieren, das ist wichtig. Oder wir können regulieren. Aber das ist schwierig in der Umsetzung, da hier immer das Risiko besteht, überzuregulieren. Das macht Unternehmen dann langsamer, weniger dynamisch. Dieser Spagat ist eine Herausforderung. Die IT-Dienstleister mehr miteinzubeziehen ist notwendig und kann über das KMU angestossen werden. Gleichzeitig sollten sie verstärkt auf Zertifizierungen setzen. Wir haben in der Schweiz bereits eine relativ Low-Level-Cybersecurity-Zertifizierung für IT-Dienstleister, das Cyber Seal. Als IT-Dienstleister kann ich so aber meine Expertise aufzeigen und beim Kunden Vertrauen aufbauen. Das wäre auch ein gangbarer Weg, ohne Regulierung, aber mit wirtschaftlichen Hebeln.
Stichwort Regulierung: Im Bereich der kritischen Infrastrukturen haben wir hierzulande den IKT-Minimalstandard. Wäre es sinnvoll, ein entsprechendes Konzept in der gesamten Wirtschaft auszurollen?Es kommt sicher darauf an, wie man das im Detail machen würde. Das Einstiegsniveau müsste korrekt angesetzt werden, um nicht das Geschäft der kleinen Unternehmen negativ zu beeinflussen. Wir sind sehr dynamisch, haben eine coole Wirtschaft mit vielen Start-ups und eben 600ʼ000 KMU. Mit einer zu starken Regulierung könnten wir dieses gute Business-Umfeld negativ beeinflussen.
Also im KMU-Umfeld lieber sensibilisieren statt mehr regulieren?Mit einer einseitigen Aussage tue ich mich hier tatsächlich etwas schwer. Eigentlich finde ich Regulierung nicht schlecht, wenn sie gut umgesetzt wird. Aber der Teufel liegt bekanntlich im Detail und es braucht Fingerspitzengefühl. Das wäre dann eine Anforderung vor allem an die Bundesverwaltung. Wir haben in der Schweiz eine einzigartige Kooperation zwischen der Bundesverwaltung und der Privatwirtschaft. Der Austausch beispielsweise zwischen dem Bundesamt für Cybersicherheit und der Privatwirtschaft ist top, sehr zugänglich, sehr kooperativ, vor allem auch bei den kritischen Infrastrukturen. Und das ist ausserordentlich viel wert für die Schweiz. Allgemein sind wir nicht so schlecht aufgestellt im Bereich Cybersecurity. Vielleicht nicht so gut wie in den USA. Aber mit dem Blick in viele Nachbarländer sind wir in der Schweiz in vielen Bereichen einen Schritt weiter. Wir verkaufen das nur immer schlecht. Aber man kann natürlich immer noch mehr machen, es gibt weiterhin Handlungsbedarf.
Wie bewerten Sie denn die Kommunikations- und Marketing-Strategien der Security-Vendoren? Einerseits haben wir Unternehmen, die bereits mit Basistechnologien kämpfen, andererseits spricht die Branche von XDR, SOC Services und Zero Trust. Gibt es da nicht eine Diskrepanz und ein Verständigungsproblem?Ja, völlig. SOAR, XDR-Lösungen, Software-defined Networking, Zero Trust: Ich als Security-Enthusiast liebe die neuesten Entwicklungen in der Security-Technologie. Das ist der Hammer, weil es immer Dynamik gibt, immer neue Technologien und Ansätze und man kann immer etwas lernen. Das kommt aber natürlich von Herstellern, die diese Technologien entwickelt haben und zurecht auch Business damit machen möchten. Und dann sind es vor allem die grösseren, zahlungskräftigeren Organisationen, die das als erstes implementieren und gegebenenfalls auch Anfangsprobleme ausmerzen. Nach ein paar Jahren kommen diese Technologien dann aber auch zu kleineren Organisationen. Aber wenn du heute mit einer XDR-Lösung in Kombination mit Software-defined Networking zu einer Bäckerei gehst: Dann gibt es erstens kein Verständnis und zweitens kein Business (lacht). Daher boxen die grossen Vendoren erstmal in einer höheren Liga und schiessen sicherlich an den KMU vorbei. Aber diese Konzepte kommen dann später wie gesagt massentauglich auf den Markt. Das braucht sicherlich einige Jahre, das war aber bei Antivirus und Firewall auch nicht anders. Und schon heute ist es erstaunlich, welche Security-Möglichkeiten ich als KMU zur Verfügung habe. Davon konnte ich vor zehn Jahren nur träumen.
Ist die Komplexität also nicht ausschliesslich negativ, weil auch die Angebotsbreite sukzessive zunimmt?Komplexität an sich ist natürlich immer eine Herausforderung, das macht vieles schwierig, vor allem für KMU. Aber es ist einfach ein Nebeneffekt der heutigen Gesellschaft und der Digitalisierung. Und das gilt auch für das Security-Umfeld. Schöner wäre es natürlich, wenn es einen Knopf gäbe, um Security in KMU auf einen Schlag umzusetzen. Hier sind wir aber noch nicht. Aber wir bewegen uns meiner Meinung nach in die richtige Richtung. Allein mit einer Cloud-Lösung haben wir schon heute unzählige Security-Möglichkeiten. Sicher, das muss weiterhin korrekt konfiguriert werden, das ist komplex. Aber wie war das früher? Da mussten Unternehmen das alles einzeln zusammenbasteln und sie haben dafür enorme Fachexpertise benötigt. Hier hat sich ohne Frage einiges bewegt.
Nichtsdestotrotz bleibt die Umsetzung eine Herausforderung für viele KMU. Wen sehen Sie also vor allem am Zug, um das zu stemmen: Die Unternehmen selbst, die Know-how aufbauen müssen, oder sind es vor allem die Partner, die IT-Dienstleister, die für den Schutz ihrer Kunden verantwortlich sind?Cybersecurity ist und war schon immer etwas Kooperatives. Wir müssen Cybersecurity auf nationaler Ebene, auf Verbandsebene, auf IT-Provider-Ebene und auf Ebene der betroffenen Unternehmen denken. Der Ansatz "Ich habe einen IT-Provider, ich muss selbst nichts tun", das geht nicht, das macht auch keinen Sinn. Und das aus diversen Gründen. Die Organisation muss sich selbst mit dem Thema auseinandersetzen, sie muss definieren, was das angestrebte Sicherheitsniveau ist, welche Risiken man akzeptiert und welche nicht, welche Technologien zum Einsatz kommen sollen und welches Budget zur Verfügung steht. Der IT-Dienstleister sollte dabei unterstützen, und das natürlich auch proaktiv und gerne in einer kritischen Diskussion. Er kann zudem auch Dienstleistungen entwickeln und anbieten. Aber das alles muss immer kooperativ geschehen. Auch gemeinsam mit der Bundesverwaltung und mit der Verbandswelt, um beispielsweise auch Angebote wie das Cybernavi, das Cyber Seal oder Cyber-Safe voranzubringen. Nur wenn wir uns gemeinsam auf allen Ebenen mit dem Thema auseinandersetzen, ist es möglich, dies zu bewältigen. Dieser kooperative Ansatz, das ist für mich auf jeden Fall eine Herzensangelegenheit.
(sta)
