Swisscom MagazinSo sorgt ein Schweizer KMU für IT-Sicherheit
Swisscom Magazin / Andreas Heer
14.11.2019
Samuel Wyss ist beim Zuger KMU Stadler Form zuständig für die IT und damit auch für die IT-Sicherheit. Im Interview erläutert er, wie er die Mitarbeitenden für einen sicheren Umgang sensibilisiert. Und selbst auf dem aktuellen Stand bleibt.
Stadler Form ist ein typisches Schweizer KMU. Das Zuger Unternehmen entwickelt, produziert und vertreibt gestylte Luftbefeuchter und andere Geräte, die das Raumklima verbessern. Genauso typisch ist die Struktur der Firma. Samuel Wyss ist eigentlich für die digitale Transformation zuständig. Doch wie so häufig in KMU, trägt er verschiedene Hüte. Zusätzlich ist er zusammen mit einem IT-Dienstleister für die Informatik des Unternehmens zuständig. «Reingerutscht», wie er selbst sagt.
Als Gewinner des Swisscom Wettbewerbs «Win a Hacker» hat Stadler Form ein umfangreiches Security Assessment erhalten. Dabei haben IT-Sicherheitsspezialisten die Infrastruktur des Unternehmens gezielt auf Sicherheitslücken untersucht. Dabei hat sich gezeigt, worauf Sicherheitsexperten immer wieder hinweisen: Viele Sicherheitslücken sind nicht technischer Art, sondern entstehen aus Bequemlichkeit oder Unwissenheit der Mitarbeitenden. Ein klassisches Beispiel dafür sind Benutzer, die mit Administratorenrechten am Computer arbeiten und dazu noch ein unsicheres, leicht zu erratendes Passwort verwenden. Und damit einem Angreifer die Arbeit erleichtern. Wir haben Samuel Wyss gefragt, wie er in seinem Unternehmen die Benutzer für die IT-Sicherheitsproblematik sensibilisiert.
Samuel Wyss, was ist Ihre grösste Angst als IT-Verantwortlicher?
Das ist ganz klar, dass ein Mitarbeiter ein Phishing-Mail erhält und auf den Link klickt oder das Attachment öffnet. Dass jemand dadurch verseuchte Software installiert und damit einem Angreifer Tür und Tor öffnet. Meine grösste Angst ist, dass auf diesem Weg Ransomware in unser Unternehmen gelangt und unsere Daten verschlüsselt.
Wie sensibilisieren Sie die Mitarbeitenden, damit sie eben nicht auf Phishing-Mails hereinfallen?
Ich führe regelmässige Schulungen durch. Und wir haben zweiwöchentlich ein Meeting, in dem wir uns auch zu Sicherheitsthemen austauschen und ich über aktuelle Entwicklungen informiere. Die Kunst dabei ist, den richtigen Ton zu finden. Ich nutze deshalb oft Vergleiche aus der analogen Welt, zum Beispiel: «Wenn du aus dem Haus gehst, schliesst du doch die Tür auch ab?» Oder ich diskutiere mit den Mitarbeitenden Situationen wie diejenige, dass jemand das Passwort auf ein Post-It schreibt und an den Bildschirm klebt. Allerdings sind nicht alle Mitarbeitenden gleich empfänglich dafür oder nehmen die Situation gleich ernst.
Und wie gehen Sie mit dieser unterschiedlichen Wahrnehmung um?
Zum einen unterstütze ich Mitarbeitende persönlich, die sich unsicher fühlen. Wir richten beispielsweise gemeinsam ein neues Passwort ein. Dabei will ich aber das Passwort nicht wissen. Die Verantwortung dafür liegt beim Mitarbeiter.
Zum anderen haben die Mitarbeitenden das Versprechen, dass sie sich bei einem Sicherheitsvorfall melden können, ohne dass das Konsequenzen für sie hat. Das erhöht die Chance, dass ich überhaupt rechtzeitig erfahre, wenn etwas passiert.
Das Smartphone kann genutzt werden, um den PC automatisch zu sperren. Wir zeigen, wie das geht.
Bild: iStock
Auf Windows 10 geht man in den Einstellungen zu «Konten» -> «Anmeldeoptionen» und setzt dort das Häkchen unter «Dynamische Sperre». Jetzt kommt erstmal vermutlich eine Fehlermeldung, weil noch kein Smartphone mit dem PC verbunden ist das. Das lässt sich mit Klick auf «Bluetooth- und andere Geräte» ändern.
Bild: dj
Hier wählt man nun «Gerät hinzufügen» -> «Bluetooth».
Bild: dj
Dabei muss natürlich darauf geachtet werden, dass auf dem Smartphone auch Bluetooth aktiviert wurde. Wenn das so ist, sollte das Gerät hier gefunden werden.
Bild: dj
Jetzt muss man nur noch auf dem Smartphone und PC bestätigen, dass der selbe Code auf beiden Geräten angezeigt wird und die Koppelung ist abgeschlossen.
Bild: dj
Der Kopplungsprozess lässt sich alternativ auch von Smartphone aus intialisieren. Hier in den Einstellungen unter «Bluetooth» den PC auswählen.
Bild: dj
Hier muss die Koppelung dann noch bestätigt werden...
Bild: dj
...und der Prozess ist abgeschlossen.
Bild: dj
Die Dynamische Sperre ist nun aktiv. Verlässt man mit dem Smartphone die Bluetooth-Reichweite des Computers, sperrt sich Windows 10 innert von knapp 30 Sekunden. Zur Weiternutzung ist dann, je nach eingerichteter Anmeldeoption, die Eingabe des Passwortes oder des PINs oder der Fingerabdruck nötig.
Bild: dj
Bei macOS kann man übrigens das exakte Gegenteil vornehmen, nämlich den Computer mittels eines weiteren Geräts , der Apple Watch, entsperren,
Bild: dj
Dazu muss in den Einstellungen unter «Sicherheit» -> «Allgemein» der Haken vor «Deiner Apple Watch das Entsperren des Macs erlauben» gesetzt werden. Sind die Zwei-Faktor-Authentisierung aktiviert sowie ein Code auf der Apple Watch eingerichtet, muss man sich mit dieser am Handgelenk nur dem MacBook nähern und das Gerät lässt sich ohne Passworteingabe nutzen.
Bild: dj
Die Bedrohungen und damit die Sicherheitslage ändern sich laufend. Wie halten Sie sich in Sachen IT-Sicherheit auf dem Laufenden?
Ich tausche mich an Konferenzen mit anderen aus und nutze natürlich verschiedene digitale Informationsquellen wie Podcasts, Whitepaper oder Newsletter. Und ich habe Twitter dafür entdeckt, das ist extrem nützlich für Security-News. Generell versuche ich, den relevanten Spezialisten zu folgen. Und ich habe den Vorteil, dass diese Informationsbeschaffung in meinem Stellenbeschrieb festgehalten ist und damit offiziell zu meinen Aufgaben gehört.
Was machen Sie, wenn Sie selbst nicht weiterkommen?
Dann kann ich zum Glück auf die Spezialisten unseres IT-Dienstleisters zurückgreifen. Wir haben da einen sehr direkten Draht. Und natürlich hat mir das Security Assessment weitergeholfen. Das war wirklich phänomenal, welches Know-how die Experten mitbrachten. Ich würde das sofort wieder machen. So ein Audit ist zwar teuer. Aber wenn ein Angreifer die Firma lahmlegt, ist das noch viel teurer.
Nochmals zurück zur Eingangsfrage: Und wie gross schätzen Sie das Risiko ein, dass jemand wirklich ein Phishing-Mail öffnet?
Wir haben einen Test gemacht mit einem unechten Phishing-Mail. Einige Mitarbeitende haben tatsächlich auf den Link geklickt. Und haben es dann auch gemerkt, dass da etwas nicht stimmt. Die Sensibilisierung der Mitarbeitenden ist eine Daueraufgabe.
Über Samuel Wyss
Der Betriebsökonom Samuel Wyss arbeitet seit 2008 bei Stadler Form. Heute ist er verantwortlich für die digitale Transformation des Unternehmens. Dazu gehört, dass er Prozesse digitalisiert und Papier und Medienbrüche aus dem Büroalltag verbannt. Mit Informatik beschäftigt sich Samuel Wyss seit den 80er-Jahren und dem Commodore 64.
Dies ist ein Artikel aus dem Swissscom Magazin. Weitere finden Sie hier.
Mit der Zwei-Faktor-Authentisierung (2FA) lassen sich die eigenen Accounts bei zahlreichen Internet-Diensten zuverlässig vor Eindringlingen schützen.
Bild: iStock
Google bietet zur Sicherung von Konten die «Aufforderung von Google» an. Aktivieren lässt sie sich in den Google-Konto-Einstellungen unter «Sicherheit» --> «Bestätigung in zwei Schritten».
Bild: dj
Nun muss ein Smartphone ausgewählt werden, dass für die Aufforderung verwendet wird.
Bild: dj
Bei jeder neuen Anmeldung in einem Google-Dienst bekommt man nun auf diesen Smartphone etwa in der Gmail-App ein Aufforderung, diese Anmeldung zu bestätigen.
Bild: dj
Google bietet daneben noch eine Reihe weiterer 2FA-Methoden an, die anhand anderer Dienste erklärt werden.
Bild: dj
Facebook etwa bietet bei 2FA ebenfalls den Google Authenticator an. Einrichten lässt sich das in den Einstellungen unter «Sicherheit und Login» --> «Verwende die zweifstufige Authentifizierung».
Bild: dj
Nun muss man mit dem Google Authenticator einen QR-Code einscannen.
Bild: dj
Die App erzeugt nun ständig neue Codes.
Bild: dj
Die man dann zum Anmelden bei Facebook zukünftig eingeben muss.
Bild: dj
Auch Instagram bietet 2FA an. Diese findet sich in den Einstellungen unter «Privatsphäre und Sicherheit» --> «Zweistufige Authentifizierung».
Bild: dj
Bei Instagram kann man etwa SMS nutzen. Einfach die Telefonnummer eingeben und die Einrichtung abschliessen.
Bild: dj
Wichtig bei allen 2FA-Methoden sind die Wiederherstellungscodes. Diese sollte man sich notieren, um auch bei Verlust eines Geräts oder einer Telefonnummer noch auf einen Dienst zugreifen zu können.
Bild: dj
Kurz noch zu Apple. Die 2FA wird bei Einrichtung eines neues iOS-Gerät eingeschaltet und lässt sich in der Regel auch nicht wieder abschalten. Loggt man sich auf einem neuen Gerät in den Apple-Account ein, kommt auf einen bestehenden Gerät ein Popup mit der Bitte um Bestätigung. Die Ortslokalisierung ist hier allerdings nicht immer ganz zuverlässig.
Wie sexy meine KI-Freundin ist und wie schnell ich trotzdem Schluss machte
Eine Freundin kann man sich neuerdings auch ganz einfach digital zulegen. Doch für wen eignet sich die KI-Freundin und was sind die Tücken?
30.11.2023
Lockanrufe auf Whatsapp: Konsumenschützer warnen vor Rückrufen
Aktuell häufen sich Warnungen vor sogenannten Ping-Calls, besonders auf WhatsApp. Doch was steckt eigentlich dahinter? Anruferinnen und Anrufer aus verschiedenen Ländern wie Indien, dem Iran oder Mexiko lassen Ihr Handy einmal klingeln und legen dann auf. Ziel ist es, zu einem Rückruf zu verleiten, warnt die Verbraucherzentrale Rheinland-Pfalz.
Hinter diesen Anrufen verbergen sich oft Betrugsversuche. Die Maschen sind vielfältig – von der Aufforderung, sensible Daten preiszugeben, bis hin zu Geldforderungen oder dem Versuch, Ihren WhatsApp-Account zu übernehmen.
Betroffene erkennen Ping-Calls an den Ländervorwahlen etwa für Indien (+91), den Iran (+98) oder Mexiko (+52). In keinem Fall sollte man die unbekannten Nummern zurückrufen.
Verbraucherschützerinnen und -schützer raten Betroffenen dazu, Anrufe von Unbekannt einfach in der App zu blockieren. Das klappt in den Whatsapp-Einstellungen. Danach werden nur noch Anrufe von eingespeicherten Kontakten durchgelassen.
22.02.2024
Elternabend – Das erste Smartphone für mein Kind
Das Smartphone ist für Kinder und Jugendliche ein unverzichtbarer Begleiter. Doch es birgt auch Gefahren wie Cybermobbing, Sucht und der Zugang zu unangemessenem Inhalt. Medienpädagogen diskutieren mit dem Publikum über Chancen und Risiken.
15.11.2023
Wie sexy meine KI-Freundin ist und wie schnell ich trotzdem Schluss machte
Lockanrufe auf Whatsapp: Konsumenschützer warnen vor Rückrufen