Von Hensch zu Mensch: Gömmer Cyber?

Kleinfirmen und Verbände lassen Informationssicherheit ausser Acht. Kolumnist Jean-Marc Hensch will dies ändern.
 
Informationssicherheit ist heute in aller Munde. Wer nichts zu sagen oder zu schreiben weiss, äussert sich heute dazu – oder zu Bitcoins, doch das ist ein anderes, wenn auch nicht völlig anderes Thema. Alle sind sich einig, dass die Gefahren gross sind und unbedingt etwas getan werden muss. An allen Ecken und Enden werden Strategien entwickelt, Konzepte verfasst. Der Bund und seine verschiedenen Amtsstellen machen wacker mit. Nun will ich diesen Papierberg nicht vergrössern (unter anderem darum schreibe ich ja in einem Online-Medium!). Ich möchte mich auch nicht als Experte in diesem Bereich aufspielen. Aber bei einer Diskussion mit Kollegen zu diesem Thema sind mir neulich doch verschiedene Dinge durch den Kopf, welche ich gerne in die Debatte einbringen möchte, weil ich glaube, dass sie zu wenig wahrgenommen werden:
 
90 Prozent aller Unternehmen in der Schweiz (über 500'000 Firmen) beschäftigen weniger als zehn Mitarbeitende. Risk Management und Informationssicherheit sind ihre geringsten Sorgen. Darum kümmert sich der Chef allenfalls am Freitagabend, nachdem er Rechnungen geschrieben und die Buchhaltung nachgeführt hat – falls er noch keine Lust auf den Ausgang mit seiner Frau hat. Also so gut wie nie. Natürlich hat er von den Gefahren gelesen, die in den Weiten des Internets beziehungsweise in der Enge seiner Inbox lauern. Aber er hofft natürlich, dass es ihn nie treffen werde. Zu klein, zu unbedeutend sei sein Unternehmen. Die am Tag der Publikation dieser Kolumne veröffentlichte Studie von Bund, Versicherungs- und ICT-Wirtschaft bestätigt den Befund eindrücklich.
 
Der springende Punkt ist: Erwartet doch nicht von Mikrounternehmen, dass sie Software aktualisieren, Patches einspielen oder Passwörter auswechseln. Das wird ganz einfach nicht passieren. Für diese Unternehmen gibt es nur eine vernünftige Lösung: Nicht mehr selber IT betreiben. Also ab in die Cloud. Regelmässige Backups, aktuelle Software, Virenschutz, Sicherheitsinfrastruktur – mit dem richtigen Partner kann man all das als erledigt abhaken.
 
Damit komme ich zur Rolle der Branchenverbände. Aus Angst, sich auf ungewohntem Terrain die Finger zu verbrennen, lassen sie gerade im gewerblichen Bereich oftmals ihre Mitgliedfirmen im Stich. Der Informationssicherheit wird nicht die Bedeutung beigemessen, die notwendig wäre. Verbände müssten doch eigentlich stabile und insbesondere cloudfähige IT-Lösungen fördern. Nicht indem sie einzelne Anbieter bevorzugen, sondern indem sie aus Sicht der Branche entsprechende Qualitätskriterien definieren und ihre Mitgliedfirmen entsprechend beraten. Gerade im Zusammenhang mit der Steuerung von Geräten und Maschinen, die branchenspezifisch sind, sind sie die einzigen, welche kompetent und neutral zur Seite stehen können.
 
Damit komme ich zu einem weiteren Thema, bei dem Einiges im Argen liegt: Dem Umgang mit IoT, dem Internet of Things. Es ist ja nicht so, dass wir uns alle um IoT-fähige Geräte reissen, aber immer mehr davon kommen mit entsprechenden Funktionalitäten ausgestattet auf den Markt und das ohne, dass es der Nutzer will – zum Beispiel um den Herstellern einen schnelleren Zugriff bei Problemen einräumen zu können. Auch hier sind Kleinstunternehmen besonders verwundbar, weil ihr Beschaffungswesen oft ebenfalls hemdsärmelig und mit viel Spontaneität erfolgt.
 
Womit ich beim letzten Aspekt angelangt wäre: Den Kosten. Es ist ja nicht so, dass die Informationssicherheit durch Standard- und Cloud-Lösungen teurer wäre als die selbstgebastelte IT (selbst wenn nichts passiert!). Mittlerweile sind Cloud-Lösungen oft sogar spürbar günstiger. Hingegen ist die Wahrnehmung eine andere. Denn auch das Konzept der Total Cost of Ownership ist im Kleinbetrieb nicht wirklich verbreitet.
 
Und am Schluss landen wir doch noch beim Bitcoin. Die Cryptowährung lernt der brave Handwerksmeister blitzartig kennen, wenn die unternehmensrelevanten Daten verschlüsselt sind und ihm nette Helfer aus dem Internet ihre "Unterstützung" anbieten. Gegen entsprechende Entschädigung, natürlich. (Jean-Marc Hensch)
 
Jean-Marc Hensch (58) vertritt als Geschäftsführer von Swico die Interessen der Anbieterfirmen aus den Bereichen Hardware, Software, ICT-Dienstleistungen und Unterhaltungselektronik. Er äussert als Kolumnist für inside-it.ch und inside-channels.ch seine persönliche Meinung und twittert als @sosicles.