Blog

Helvengos Blogosphere – Tauche ein in die Welt von Helvengo

IT-Sicherheit & KMU: Das gilt es zu beachten

Laut einer Studie von 2021 haben 36 % der KMU bereits Cyberangriffe mit erheblichen Folgen erlitten. Eine solche Folge kann der Ausfall des gesamten Betriebes sein – da liegt der Schaden auf der Hand. Zusätzlich gibt es meist auch indirekte Auswirkungen, die sich noch Jahre nach dem Hackerangriff auswirken können, z. B. wenn die Reputation des Unternehmens Schaden nimmt. Und dies ist schnell passiert, wenn sensible Kundendaten im Spiel sind.
27.07.2022
Vedran Pranjic

Als InsurTech-Startup können wir ein Lied davon singen, wie wichtig dieser Aspekt ist. Auch wir haben einmal klein angefangen und unsere IT-Infrastruktur von null an aufgebaut. Gerne teilen wir unsere Erfahrungen mit dir, damit auch du bei der IT-Sicherheit deines KMU die richtige Balance zwischen dem bestmöglichen Schutz und einem realistischen Budget findest.

IT-Sicherheit in Unternehmen – was ist das eigentlich genau?

Der Begriff «IT-Sicherheit» ist in aller Munde, doch was genau versteht man eigentlich darunter?

«IT-security or cybersecurity includes all measures which support a system to work as intended, among others prevention against criminal mind in scenarios such as data theft or its integrity. Having a well constructed IT-security system aims thereby to hinder data loss, but also monitoring of system integrity or system interrupts.» – Vasco Mouta, Chief Technology Officer

So weit, so gut. Bei uns heisst das konkret: Wir haben ein Set von bewährten Vorgehensweisen, mithilfe derer wir das bestmögliche Ergebnis, also die bestmögliche Sicherheit für Helvengo erreichen wollen.

Dieses Set enthält verschiedene Bausteine:

  • Konkrete Schutzmechanismen: Zwei-Faktor-Authentisierung, Passwort-Management-Tool, Firewall usw.
  • Strikte Richtlinien: Nur so viel Zugriff wie nötig (z. B. im Umgang mit Kundendaten)
  • Aufklärung: Sensibilisierung und Schulung der Mitarbeiter:innen
  • Externe Unterstützung: Beratung durch Cybersecurity-Expert:innen und Auslagerung gewisser Prozesse/Services

Anbieter:innen für IT-Security-Lösungen gibt es heutzutage wie Sand am Meer. Aber wie findet man den geeigneten IT-Partner? Für uns waren bei der Auswahl primär persönliche Erfahrungen sowie Empfehlungen entscheidend. Doch auch eine gründliche Internetrecherche und Vergleiche (inkl. Lesen von Erfahrungsberichten anderer Kund:innen) sorgten für eine solide Entscheidungsgrundlage.

IT-Sicherheit im Unternehmen: Was soll geschützt werden?

Wenn es um Cybersecurity in Unternehmen geht, muss man sich erst mal bewusst machen, wie die IT-Infrastruktur überhaupt aufgebaut ist und welche Teile besonders sensibel und damit schützenswert sind.

In den meisten Unternehmen gibt es dabei zwei Teile: die internen IT-Systeme und die externen Kundendaten. Alles bestmöglich schützen zu können, wäre zwar schön, ist in der Praxis – die insbesondere bei kleineren Unternehmen häufig von limitierten finanziellen Mitteln mitbestimmt wird – aber leider nicht immer umsetzbar.

Deshalb ist es wichtig, einen klaren Fokus zu definieren. Für einen Cloud-Anbieter ist wahrscheinlich der wichtigste Aspekt, dass die Server rund um die Uhr erreichbar sind.

«We believe in customer experience – and security is also part of that. This is quite sensitive for us.» – Vasco Mouta, Chief Technology Officer

Für uns als Versicherungsanbieter steht die Kundendatensicherung im Mittelpunkt. Klar, denn die Versicherungsunterlagen enthalten ganz persönliche Daten und Informationen, auch zu den Ängsten und Schwächen unserer Kund:innen. Diese gilt es zu schützen – weil es für uns selbstverständlich (und auch unsere Pflicht) ist, aber auch, weil ein Gefühl von Sicherheit Teil des Kundenerlebnisses ist.

Ein IT-Sicherheitskonzept für kleine Unternehmen – diese 5 Dinge kannst du bereits mit knappen finanziellen Mitteln in Angriff nehmen

1. Sensibilisierung der Mitarbeiter:innen

Eine der grössten Sicherheitslücken von IT-Systemen – das zeigen auch Zahlen – sind die Menschen, die sie nutzen. Deshalb ist ein ganz zentrales Element der IT-Sicherheit in Unternehmen die Sensibilisierung und Schulung der Mitarbeiter:innen.

Bei Helvengo erfolgt diese in zwei Schritten. Zunächst einmal ist Cybersecurity bereits im Onboarding-Prozess ein Fokus: Die neuen Kolleg:innen erhalten schon zu Beginn ihrer Anstellung wichtige Informationen zu Themen wie Umgang mit einer Firewall, Festlegen von sicheren Passwörtern oder woran man Phishing-Mails erkennt.

Ausserdem gibt es bei Helvengo im Rahmen der TGIFs («Thank God it’s Friday»-Treffen) jeden zweiten Monat einen Input seitens IT-Abteilung. Dort werden Neuigkeiten weitergegeben, aber auch Negativbeispiele genannt, damit sich Mitarbeiter:innen der Gefahren wieder etwas (stärker) bewusst werden.

💡 Unser Tipp Eine einfache, aber effektive Massnahme gegen die «Schwachstelle Mensch» ist das Principle of Least Privilege (POLP), auch Principle of Least Access genannt. Das heisst, alle erhalten nur so viel Zugriff, wie sie auch wirklich für ihre tägliche Arbeit benötigen.

2. Know Your System

Wie heisst es so schön: «Wissen ist Macht.» Dies gilt auch für den IT-Bereich. Selbst wenn die IT-Infrastruktur ausgelagert ist, solltest du (oder eine Person deines Vertrauens) detailliert darüber Bescheid wissen, welche Systeme vorhanden sind und was wie läuft. Nur so kann man die Risiken richtig einschätzen, die Prozesse überwachen und im Ernstfall schnell und adäquat reagieren.

3. Monitoring

Mit das Wichtigste ist Monitoring! Heisst konkret: Man muss überwachen und aufmerksam sein. Denn so kann festgestellt werden, ob etwas Ungewöhnliches geschieht – sei das im Tagesgeschäft im Büro oder auf den Servern.

«From time to time, a company needs that one person that does some audits and annoys everybody when they have not set up for example the two-authentificator password.» – Vasco Mouta, Chief Technology Officer

Wenn dich z.B. Melanie von der IT zum dritten Mal auffordert, endlich eine Handynummer für die Zwei-Faktor-Authentisierung zu hinterlegen, sei dankbar für den Beitrag, den sie zur Cybersicherheit deines KMU leistet. Klar, es bedeutet für dich Mehraufwand, jedes Mal dein Handy herauszusuchen, damit du dich einloggen kannst. Aber es lohnt sich – weil du damit dein Unternehmen schützen kannst.

💡 Unser Tipp Besonders das automatisierte Überwachen von IT-Systemen lässt sich sehr gut outsourcen. Bei uns werden beispielsweise einzelne Teilbereiche von Drittfirmen überwacht. Der Vorteil: Die Expert:innen kennen sich da einfach besser aus und wissen genau, was es zu beachten gilt.

4. Resilienz und Backups

Beim Thema IT-Sicherheit geht es auch darum, dass bereits geleistete Arbeit bei einer allfälligen Cyberattacke nicht (oder zumindest nicht vollständig) verloren geht. Dabei helfen Backups. Doch Vorsicht: Ein Backup ist immer nur eine Momentaufnahme. Je nachdem, wie häufig (oder eben selten) Backups erstellt werden, gehen einige Daten möglicherweise trotzdem verloren.

Im Ernstfall ist es für die betroffene Firma ausserdem wichtig, dass die Arbeit so schnell wie möglich wiederaufgenommen werden kann (oder vielleicht gar nicht erst unterbrochen wird). Hier kommt der Begriff Resilienz ins Spiel. Damit sind z. B. sogenannte «redundante» Strukturen gemeint, die einspringen können, wenn das Parallelsystem ausfällt (z. B. eine zweite Internetleitung, die greift, falls die Hauptleitung lahmgelegt wird).

Je nachdem, was in deinem Unternehmen besonders geschützt werden muss, kann es sich also lohnen, eine Parallelstruktur für das entsprechende System (Netzwerk, Server, Datenbank o. ä.) anzulegen.

5. Notfallplan

Falls es doch mal zum Worst Case kommen sollte, ist es wichtig, einen Notfallplan parat zu haben. Darin sollte genau definiert sein, wie in einem solchen Fall vorgegangen wird, also:

  • Was hat oberste Priorität? Was muss als Allererstes getan werden?
  • Wer muss als Erstes (und wer im Anschluss) informiert werden?
  • Wer hat die Verantwortung resp. Entscheidungsgewalt?
  • usw.

Denn letztlich kann man nicht alle Risiken eliminieren, es bleibt immer eine Art «managed risk». Entscheidend ist aber, im Ernstfall schnell handeln zu können. Das hat auch in unserem Unternehmen Priorität:

«Big companies with the best IT systems have been hacked in the past, so we cannot ensure that there is no possibility for such an attack on our company. What we can ensure is that we know how to react and that we can react as fast as possible.» – Vasco Mouta, Chief Technology Officer

Und genau, weil man sich nie 100 % vor einem Angriff schützen kann, lohnt es sich, den potenziellen Schaden einer Cyberattacke zusätzlich zu versichern.

💡 Die Cyberversicherung von Helvengo Bei Helvengo kannst du ganz einfach online eine Cyberversicherung für dein Unternehmen abschliessen. Mit unterschiedlichen Modulen kannst du dein Unternehmen zum Beispiel gegen Betriebsunterbrechung, Erpressung oder Zahlungsmittelschaden versichern. Du möchtest mehr zum Thema Cyberversicherung erfahren? Entdecke jetzt die Cyberversicherung von Helvengo.

Übrigens: Für den Fall der Fälle hat auch Helvengo selbst eine Cyberversicherung abgeschlossen.

IT-Sicherheit und KMU: ein Thema, das man angehen sollte

Als InsurTech-Unternehmen hat Helvengo von Anfang an einen Schwerpunkt auf das Thema Cybersicherheit gelegt. Und das hat sich bezahlt gemacht, denn glücklicherweise waren wir noch nie Opfer eines Hackerangriffs. Wir verstehen aber auch, dass das Thema für viele Selbstständige sowie Entscheidungsträger:innen in Startups und KMU erst mal als weiter weg oder unwichtiger empfunden wird, denn das Digitale ist ja auch irgendwie weniger greifbar als beispielsweise die Büroausstattung oder der Firmenwagen.

Trotzdem sollte man die IT-Sicherheit im Unternehmen nicht auf die lange Bank schieben, denn die Schäden einer potenziellen Cyberattacke können extrem hoch ausfallen, Daten im Worst Case unwiederbringlich verloren sein. Niemand ist komplett vor einem Hackerangriff gefeit. Je mehr Massnahmen man jedoch ergreift, umso unattraktiver ist man für Hacker:innen, da für sie der Aufwand steigt. Deshalb gilt es, sich frühzeitig mit den individuellen Risiken auseinanderzusetzen und entsprechenden Gefahren bestmöglich vorzubeugen.

Doch manchmal reicht selbst das nicht, und man bemerkt erst, dass man gehackt wurde, wenn nichts mehr läuft oder es zur Lösegeldforderung kommt.

«Sometimes you only notice them when they knock on your door and ask for money.» – Vasco Mouta, Chief Technology Officer

In einem solchen Fall ist es Gold wert, die resultierenden Schäden versichert zu wissen und einen zuverlässigen Partner mit dem passenden Know-how an seiner Seite zu haben. Eine Cyberversicherung ist hier die Lösung. Finde heraus, ob sie sich auch für dein Unternehmen lohnt.

Zum Schluss eine gute Nachricht: Es stimmt zwar, dass jeder Betrieb einem Hackerangriff zum Opfer fallen kann und Hacker auch immer gewiefter werden, aber auch die Schutzmechanismen gegen Cyberangriffe entwickeln sich rasant weiter. Das dank neuer technischer Lösungen und vor allem dank mehr Bewusstsein in den Unternehmen.

Loading...