Als der IT-Spezialist Roman Pfund vor 50 Jahren auf die Welt kam gabs den Begriff ‘IT’ noch gar nicht. Heute würde man ihn als ‘Nerd’ bezeichnen, weil er mit 14 Jahre auf seinem ersten Computer nicht Spiele spielte sondern sich selber das Programmieren beibrachte.
Roman Pfund war im ersten Jahrgang als Maschinenzeichner, der seinen Abschluss CAD-basiert (Computer Aided Design) gemacht und in dem Bereich auch seinen ersten Job bekommen hat. Er war im Marketing und Produktmanagement tätig und hat sich zum Marketingplaner und Betriebsökonom weitergebildet. Und alles immer in Verbindung mit IT.
Als selbständiger Unternehmer berät er heute Firmen im Spannungsfeld von IT und Business, speziell was Strategie, Cyber-Security und Datenschutz betrifft.
TRAVEL INSIDE-Journalist Kurt Schaad hat sich mit ihm über die Problematik im Umgang Cyberkriminalität und Datenschutz unterhalten.
Roman Pfund, wenn Sie zurückblicken auf die Zeit von Ihrem ersten Computer bis heute: wie erleben Sie diese Entwicklung?
Wenn ich heute die 3D-Rechenmodelle sehe und sie mit der damaligen Arbeit mit CAD vergleiche, dann hat die Entwicklung meine Vorstellungskraft immer komplett überstiegen. Ein 3D-Drucker? Unvorstellbar. Das sind Riesenentwicklungen. Selbst wenn man diesen Weg über 30 Jahre mitgemacht hat. Es hat mein Denkvermögen immer wieder arg strapaziert.
Das heisst, man ist eigentlich immer im Denkverzug. Ist das im Digitalisierungszeitalter ein generelles Problem?
Das kann man so sagen. Vor allem die KMU sind bezüglich Digitalisierung noch ziemlich rückständig. Vor allem in der Maschinenindustrie könnte man noch viel mehr erreichen, gibt es grosses Verbesserungspotenzial.
Kann man das auch auf andere Branchen übertragen?
Es gibt grosse Unterschiede. Auf der positiven Seite steht die Finanz- und Versicherungsbranche, auch der Handel ist schon ziemlich gut aufgestellt. Aber das sind dann eben schon die grösseren Firmen.
Apropos Grösse: die Reisebranche bietet ja sehr niederschwellige Eintrittsmöglichkeiten. Einfach gesagt: Ich kaufe einen Computer und schon kann ich ein Reisebüro gründen.
Und schon sind wir beim Thema Cyber-Sicherheit. Je kleiner ein Unternehmen, desto weniger Gedanken macht man sich zu diesem Thema. Bei Firmen von einem bis zu etwa 200 Mitarbeitenden wird diesem Thema meistens zu wenig Beachtung geschenkt.
Vor wenigen Tagen habe ich eine Studie von einem Schweizer Versicherungsunternehmen gelesen und was schon sehr erstaunlich ist: nur drei Viertel aller KMU haben überhaupt eine Datensicherung. Das ist ein Durchschnittswert. Vor allem die kleinen und kleineren Unternehmen sind da sehr nachlässig. Dabei ist Datensicherung essentiell. Dasselbe beim Virenschutz und bei der Firewall. Das sind Basics. Das musst du einfach haben, eigentlich auch auf jedem privaten PC.
Ein typischer Fall, den ich gerade erlebt habe: das halbe Unternehmen hat dasselbe Passwort. Da werden PC an neue Mitarbeiter ausgeliefert mit einem Standardpasswort relativ einfacher Natur. Und die Mitarbeiter werden nicht gezwungen, das Passwort zu ändern, werden nicht mal angehalten dazu. Das waren rund die Hälfte aller Angestellten – bei rund 80 Mitarbeitenden. Das ist weit weg von dem, wie es sein sollte.
Das allerschlimmste ist ein schlechtes Passwort auf einem E-Mail-Account. Wenn jemand Zugriff auf deinen E-Mail-Account hat, kann er jedes andere Passwort zurücksetzen. In der Folge kann er dann bei Digitec oder wem auch immer ein neues Passwort eingeben und in deinem Namen so einiges anstellen.
Cyber-Sicherheit müsste also in jeder Firma immer ein Thema sein – auch budgetmässig?
Bei sehr kleinen Unternehmen ist es häufig so, dass man IT-Infrastruktur beschafft und meint, das wars dann. Aber das ist es nicht. Da kommen Kosten für Soft- und Hardware dazu, dann der Punkt Sensibilisierung der Mitarbeitenden, deren Schulung auf Cyber-Security- Themen, damit sie wissen welche Mails sie öffnen dürfen und welche nicht, wie sie bösartige Webseiten oder Mails erkennen. Undsoweiter.
Man braucht Unterstützung. Systeme müssen aktuell gehalten werden, mit Updates von Branchensoftware und Betriebssystemen. Unter dem Strich kostet das alles Geld.
Als wir beide auf die Welt gekommen sind, konnte man sich noch nicht zum Cyber-Security-Manager ausbilden lassen. Scheint inzwischen ein dringend notwendiger Berufszweig zu sein.
Typischerweise haben das aber erst grössere Unternehmen. Die Funktion eines IT-Leiters, eines CIO, eines strategisch Denkenden und einer planerisch und konzeptionell starken IT-Person: sie fehlt oft. Die Rolle wird oft von jemandem in der Geschäftsleitung wahrgenommen, vielfach ist das der CFO.
Zum Glück hat dieser vielfach mehr Ahnung von Finanzen als von IT, das ist schon mal gut, aber man hat dann halt nicht die Ressourcen für die IT und es mangelt an Wissen und dann hast du die Rolle für einen Datensicherheitsverantwortlichen eben nicht. Jemand, der IT-Risikoanalysen machen kann, der weiss, wo das Unternehmen diesbezüglich steht.
Jetzt habe ich aber eben keinen CIO. In meinem kleinen Betrieb fehlt dann dieses IT-Know How. Wie löse ich das Problem?
Sehr wahrscheinlich hast du einen Systemanbieter. Mit drei/vier Mitarbeitenden hast du ein kleines Netzwerk mit einem Server, der auch unterhalten werden muss. Der Systemanbieter kann einen beraten, Empfehlungen abgeben, dass nur schon mal die Basics abgedeckt sind. Dass man ein Backup hat, dass ein Virenschutz im Einsatz ist, dass es eine Firewall gibt, die funktioniert. Damit ist schon mal viel erreicht.
Vielfach mangelt es aber an der Einstellung zum Thema. Bei Kleinunternehmen höre ich öfters: Was wollen die von mir? Wieso sollte ich für Cyber-Kriminelle interessant sein? Was können die bei mir schon holen? Es geht aber nicht ums Holen. Es geht darum, dass sie dich lahmlegen und da bist du extrem empfindlich.
Wie läuft so etwas ab?
Schadsoftware wird wild gestreut, alles ist automatisiert. Dann schauen sie, bei welchen Unternehmen man reinkommt, egal ob gross oder klein. Wenn sie drin sind schauen sie, was das für ein Unternehmen ist, dann wird alles verschlüsselt und du bekommst eine Lösegeldforderung. Dann merkt man, dass sie sich mit dir auseinandergesetzt haben.
Das heisst, ein Reisebüro mit fünf Leuten bekommt nicht eine Lösegeldforderung über eine Million. Die Chance, dass sie nicht zahlen können ist sehr gross. Aber 50’000, vielleicht 100’000? Meistens sind es Beträge, von denen sie annehmen, dass man sie irgendwie zahlen könnte – die aber richtig weh tun. Dann stehst du da mit deiner Geschichte. Nichts geht mehr. Du bist nicht mehr handlungsfähig.
Was macht man dann?
Offiziell heisst es immer: Nie zahlen. Wenn du zahlst, unterstützt du eine ganze Industrie. Das ist heute eine Industrie mit Riesenumsätzen. Man geht davon aus, dass die Hälfte aller Betriebe Lösegeld zahlen. Wenn du das Messer am Hals hast und der Betrieb stillsteht, dann überlegst du dir schon, was günstiger und was schneller ist.
Auch schon erlebt?
Bei einem Kunden von mir hat man den Angriff frühzeitig erkannt. Es gab noch keine Forderungen. Man hat alles abgeschottet, hat alles analysiert, konnte korrigieren. Der Betrieb ist dann 3 oder 4 Tage gestanden, weil man alle Systeme vom Netz nehmen musste.
Was ich schon mehrfach hatte, sind Cyber-Betrugsfälle. Rechnungen mit falschen Bankverbindungen und so. Leider auch ausgeführt. Geld, das, nicht wissentlich, an Betrüger überwiesen worden ist.
Dagegen kann man sich inzwischen aber auch versichern.
Viele machen eine Cyber-Versicherung, in der Meinung, fein raus zu sein. Wenn’s dann aber zum Eintretensfall kommt, dann wird je nachdem deutlich, dass die Police auch gewisse Obliegenheiten hat, die ich erfüllen muss. Und wenn ich die nicht erfülle, dann kommt auch die Versicherung nicht zum Zug. Habe ich auch schon erlebt und die Versicherung hat zu Recht nicht gezahlt.
Wenn man angegriffen wird, dann scheint mir wichtig, dass man ein vom System unabhängiges Backup hat.
Es gibt eine sogenannt 3-2-1-Regel bei den Backups. Du solltest drei Kopien von deinen Daten haben, mit denen du arbeitest. Die sollten auf mindestens zwei unterschiedlichen Medien sein – also nicht alle auf dem gleichen Server oder im Gestell daneben und 1 heisst: eine Kopie deiner Daten muss off-line sein, also nicht in deinem Netzwerk und auch nicht im gleichen Gebäude, falls ein Brand ausbricht.
Einmal im Monat Daten sichern scheint nicht zu reichen.
Ohne eine gewisse Rotation geht es nicht. Monatlich geht sicher nicht. Wenn ich einmal die Woche ein Backup mache, dann ist es eine reine Denkaufgabe, ob das genügend ist. Kann ich das nacharbeiten? Bei einem fünfköpfigen Unternehme könnte es noch funktionieren. Bei einem KMU von 100 Leuten ist es ein NoGo. Da sind soviele Daten geflossen, da hast du keine Chance, wenn du nicht täglich ein Backup machst.
Das heisst, Cybersicherheit ist arbeitsintensiv. Wie kann man den Budgetposten Cybersicherheit berechnen?
Das ist nicht so einfach. Es ist stark vom Unternehmen und von der Branche abhängig. Es gibt eine Richtgrösse, die besagt, dass IT drei bis sechs Prozent vom Umsatz ausmacht. Es ist also nicht exorbitant teuer. Auch als kleines Unternehmen kann man etwas machen. Die Datensicherungsprozesse lassen sich automatisieren, indem täglich oder halbtäglich ein Backup gemacht wird.
Es gibt auch die Möglichkeit des Backups in einer Cloud, damit bei einem Hochwasser nicht alles verloren geht, damit nicht alles am gleichen Ort ist. Da gibt es auch für Kleinstunternehmen attraktive Lösungen. Da reden wir bei fünf Leuten von 100 Franken im Monat für eine Datensicherung. Viele Branchenlösungen sind in der Cloud. Es lohnt sich aber, im Vertrag gut nachzuschauen, wie das genau geregelt ist.
Es ist eigentlich ein Bewusstseinsprozess, den man intus haben muss.
Eine Studie aus diesem Jahr besagt, dass 60 Prozent aller KMUs bis 250 Mitarbeitende die Gefahr als gering erachten, dass sie von einem Cyber-Security-Vorfall betroffen sein könnten. Das ist ein Durchschnittswert und der ist erschreckend, vor allem wenn man sieht, dass bei den Klein- und Kleinstunternehmen dieser Prozentsatz noch einiges höher ist. Da fehlt das Bewusstsein. Bei den grossen KMU sind es noch 39 Prozent.
Eigentlich kennt man die Gefahren, aber das scheint nicht genug zu sein. Wie bringt man die Mitarbeitenden dazu, sicher mit dem Computer umzugehen?
Früher hat man die Leute zusammengenommen, hat ihnen erklärt, wie gefährlich das alles ist, auf was man alles achten muss. Zwei Tage später hat das wieder niemanden mehr interessiert. Heute gibt es verschiedene Tools, die computeranimiert und individuell abgerufen werden müssen.
Zum Beispiel, warum es wichtig ist, ein starkes Passwort zu haben und wie ein starkes Passwort aussieht. Oder es gibt den Themenbereich E-Mail: Worauf muss ich achten oder auch: Worauf achte ich, wenn ich im Web surfe? Das sind Unterrichtseinheiten, die dauern fünf bis zehn Minuten und am Schluss der Lektion werden Fragen gestellt, damit man aufpasst und die Sache nicht nur durchrasseln lässt. Im Idealfall macht man eine Kampagne daraus. Das Thema muss ständig präsent sein, muss auch vertieft werden, damit man immer dranbleibt.
Cyber-Sicherheit ist eigentlich eine ständige Weiterbildung.
So ist es.
Interview: Kurt Schaad
