Swisscom MagazinSo sorgt ein Schweizer KMU für IT-Sicherheit
Swisscom Magazin / Andreas Heer
14.11.2019
Samuel Wyss ist beim Zuger KMU Stadler Form zuständig für die IT und damit auch für die IT-Sicherheit. Im Interview erläutert er, wie er die Mitarbeitenden für einen sicheren Umgang sensibilisiert. Und selbst auf dem aktuellen Stand bleibt.
Stadler Form ist ein typisches Schweizer KMU. Das Zuger Unternehmen entwickelt, produziert und vertreibt gestylte Luftbefeuchter und andere Geräte, die das Raumklima verbessern. Genauso typisch ist die Struktur der Firma. Samuel Wyss ist eigentlich für die digitale Transformation zuständig. Doch wie so häufig in KMU, trägt er verschiedene Hüte. Zusätzlich ist er zusammen mit einem IT-Dienstleister für die Informatik des Unternehmens zuständig. «Reingerutscht», wie er selbst sagt.
Als Gewinner des Swisscom Wettbewerbs «Win a Hacker» hat Stadler Form ein umfangreiches Security Assessment erhalten. Dabei haben IT-Sicherheitsspezialisten die Infrastruktur des Unternehmens gezielt auf Sicherheitslücken untersucht. Dabei hat sich gezeigt, worauf Sicherheitsexperten immer wieder hinweisen: Viele Sicherheitslücken sind nicht technischer Art, sondern entstehen aus Bequemlichkeit oder Unwissenheit der Mitarbeitenden. Ein klassisches Beispiel dafür sind Benutzer, die mit Administratorenrechten am Computer arbeiten und dazu noch ein unsicheres, leicht zu erratendes Passwort verwenden. Und damit einem Angreifer die Arbeit erleichtern. Wir haben Samuel Wyss gefragt, wie er in seinem Unternehmen die Benutzer für die IT-Sicherheitsproblematik sensibilisiert.
Samuel Wyss, was ist Ihre grösste Angst als IT-Verantwortlicher?
Das ist ganz klar, dass ein Mitarbeiter ein Phishing-Mail erhält und auf den Link klickt oder das Attachment öffnet. Dass jemand dadurch verseuchte Software installiert und damit einem Angreifer Tür und Tor öffnet. Meine grösste Angst ist, dass auf diesem Weg Ransomware in unser Unternehmen gelangt und unsere Daten verschlüsselt.
Wie sensibilisieren Sie die Mitarbeitenden, damit sie eben nicht auf Phishing-Mails hereinfallen?
Ich führe regelmässige Schulungen durch. Und wir haben zweiwöchentlich ein Meeting, in dem wir uns auch zu Sicherheitsthemen austauschen und ich über aktuelle Entwicklungen informiere. Die Kunst dabei ist, den richtigen Ton zu finden. Ich nutze deshalb oft Vergleiche aus der analogen Welt, zum Beispiel: «Wenn du aus dem Haus gehst, schliesst du doch die Tür auch ab?» Oder ich diskutiere mit den Mitarbeitenden Situationen wie diejenige, dass jemand das Passwort auf ein Post-It schreibt und an den Bildschirm klebt. Allerdings sind nicht alle Mitarbeitenden gleich empfänglich dafür oder nehmen die Situation gleich ernst.
Und wie gehen Sie mit dieser unterschiedlichen Wahrnehmung um?
Zum einen unterstütze ich Mitarbeitende persönlich, die sich unsicher fühlen. Wir richten beispielsweise gemeinsam ein neues Passwort ein. Dabei will ich aber das Passwort nicht wissen. Die Verantwortung dafür liegt beim Mitarbeiter.
Zum anderen haben die Mitarbeitenden das Versprechen, dass sie sich bei einem Sicherheitsvorfall melden können, ohne dass das Konsequenzen für sie hat. Das erhöht die Chance, dass ich überhaupt rechtzeitig erfahre, wenn etwas passiert.
Das Smartphone kann genutzt werden, um den PC automatisch zu sperren. Wir zeigen, wie das geht.
Bild: iStock
Auf Windows 10 geht man in den Einstellungen zu «Konten» -> «Anmeldeoptionen» und setzt dort das Häkchen unter «Dynamische Sperre». Jetzt kommt erstmal vermutlich eine Fehlermeldung, weil noch kein Smartphone mit dem PC verbunden ist das. Das lässt sich mit Klick auf «Bluetooth- und andere Geräte» ändern.
Bild: dj
Hier wählt man nun «Gerät hinzufügen» -> «Bluetooth».
Bild: dj
Dabei muss natürlich darauf geachtet werden, dass auf dem Smartphone auch Bluetooth aktiviert wurde. Wenn das so ist, sollte das Gerät hier gefunden werden.
Bild: dj
Jetzt muss man nur noch auf dem Smartphone und PC bestätigen, dass der selbe Code auf beiden Geräten angezeigt wird und die Koppelung ist abgeschlossen.
Bild: dj
Der Kopplungsprozess lässt sich alternativ auch von Smartphone aus intialisieren. Hier in den Einstellungen unter «Bluetooth» den PC auswählen.
Bild: dj
Hier muss die Koppelung dann noch bestätigt werden...
Bild: dj
...und der Prozess ist abgeschlossen.
Bild: dj
Die Dynamische Sperre ist nun aktiv. Verlässt man mit dem Smartphone die Bluetooth-Reichweite des Computers, sperrt sich Windows 10 innert von knapp 30 Sekunden. Zur Weiternutzung ist dann, je nach eingerichteter Anmeldeoption, die Eingabe des Passwortes oder des PINs oder der Fingerabdruck nötig.
Bild: dj
Bei macOS kann man übrigens das exakte Gegenteil vornehmen, nämlich den Computer mittels eines weiteren Geräts , der Apple Watch, entsperren,
Bild: dj
Dazu muss in den Einstellungen unter «Sicherheit» -> «Allgemein» der Haken vor «Deiner Apple Watch das Entsperren des Macs erlauben» gesetzt werden. Sind die Zwei-Faktor-Authentisierung aktiviert sowie ein Code auf der Apple Watch eingerichtet, muss man sich mit dieser am Handgelenk nur dem MacBook nähern und das Gerät lässt sich ohne Passworteingabe nutzen.
Bild: dj
Die Bedrohungen und damit die Sicherheitslage ändern sich laufend. Wie halten Sie sich in Sachen IT-Sicherheit auf dem Laufenden?
Ich tausche mich an Konferenzen mit anderen aus und nutze natürlich verschiedene digitale Informationsquellen wie Podcasts, Whitepaper oder Newsletter. Und ich habe Twitter dafür entdeckt, das ist extrem nützlich für Security-News. Generell versuche ich, den relevanten Spezialisten zu folgen. Und ich habe den Vorteil, dass diese Informationsbeschaffung in meinem Stellenbeschrieb festgehalten ist und damit offiziell zu meinen Aufgaben gehört.
Was machen Sie, wenn Sie selbst nicht weiterkommen?
Dann kann ich zum Glück auf die Spezialisten unseres IT-Dienstleisters zurückgreifen. Wir haben da einen sehr direkten Draht. Und natürlich hat mir das Security Assessment weitergeholfen. Das war wirklich phänomenal, welches Know-how die Experten mitbrachten. Ich würde das sofort wieder machen. So ein Audit ist zwar teuer. Aber wenn ein Angreifer die Firma lahmlegt, ist das noch viel teurer.
Nochmals zurück zur Eingangsfrage: Und wie gross schätzen Sie das Risiko ein, dass jemand wirklich ein Phishing-Mail öffnet?
Wir haben einen Test gemacht mit einem unechten Phishing-Mail. Einige Mitarbeitende haben tatsächlich auf den Link geklickt. Und haben es dann auch gemerkt, dass da etwas nicht stimmt. Die Sensibilisierung der Mitarbeitenden ist eine Daueraufgabe.
Über Samuel Wyss
Der Betriebsökonom Samuel Wyss arbeitet seit 2008 bei Stadler Form. Heute ist er verantwortlich für die digitale Transformation des Unternehmens. Dazu gehört, dass er Prozesse digitalisiert und Papier und Medienbrüche aus dem Büroalltag verbannt. Mit Informatik beschäftigt sich Samuel Wyss seit den 80er-Jahren und dem Commodore 64.
Dies ist ein Artikel aus dem Swissscom Magazin. Weitere finden Sie hier.
Mit der Zwei-Faktor-Authentisierung (2FA) lassen sich die eigenen Accounts bei zahlreichen Internet-Diensten zuverlässig vor Eindringlingen schützen.
Bild: iStock
Google bietet zur Sicherung von Konten die «Aufforderung von Google» an. Aktivieren lässt sie sich in den Google-Konto-Einstellungen unter «Sicherheit» --> «Bestätigung in zwei Schritten».
Bild: dj
Nun muss ein Smartphone ausgewählt werden, dass für die Aufforderung verwendet wird.
Bild: dj
Bei jeder neuen Anmeldung in einem Google-Dienst bekommt man nun auf diesen Smartphone etwa in der Gmail-App ein Aufforderung, diese Anmeldung zu bestätigen.
Bild: dj
Google bietet daneben noch eine Reihe weiterer 2FA-Methoden an, die anhand anderer Dienste erklärt werden.
Bild: dj
Facebook etwa bietet bei 2FA ebenfalls den Google Authenticator an. Einrichten lässt sich das in den Einstellungen unter «Sicherheit und Login» --> «Verwende die zweifstufige Authentifizierung».
Bild: dj
Nun muss man mit dem Google Authenticator einen QR-Code einscannen.
Bild: dj
Die App erzeugt nun ständig neue Codes.
Bild: dj
Die man dann zum Anmelden bei Facebook zukünftig eingeben muss.
Bild: dj
Auch Instagram bietet 2FA an. Diese findet sich in den Einstellungen unter «Privatsphäre und Sicherheit» --> «Zweistufige Authentifizierung».
Bild: dj
Bei Instagram kann man etwa SMS nutzen. Einfach die Telefonnummer eingeben und die Einrichtung abschliessen.
Bild: dj
Wichtig bei allen 2FA-Methoden sind die Wiederherstellungscodes. Diese sollte man sich notieren, um auch bei Verlust eines Geräts oder einer Telefonnummer noch auf einen Dienst zugreifen zu können.
Bild: dj
Kurz noch zu Apple. Die 2FA wird bei Einrichtung eines neues iOS-Gerät eingeschaltet und lässt sich in der Regel auch nicht wieder abschalten. Loggt man sich auf einem neuen Gerät in den Apple-Account ein, kommt auf einen bestehenden Gerät ein Popup mit der Bitte um Bestätigung. Die Ortslokalisierung ist hier allerdings nicht immer ganz zuverlässig.
So bastelst du mit KI deine ganz persönliche Weihnachtskarte
Dank KI kann inzwischen jeder noch viel kreativer sein, wenn es um Grusskarten geht. Wir zeigen dir am Beispiel einer persönlichen Weihnachtskarte wie du dabei vorgehst.
13.12.2024
Online-Elternabend: «Sharenting – Umgang mit Kinderbildern im Netz»
«Sharenting» steht für das Phänomen, wenn Eltern, Erziehungsberechtigte oder auch Grosseltern Fotos ihrer Kinder online stellen und teilen. Unter der Leitung von Claudia Lässer diskutierten Expert*innen und Eltern über das Thema.
20.11.2024
Elternabend bei blue Zoom: Die Folgen von Sharenting für die Kinder
Das Teilen von Kinderfotos im Internet birgt Gefahren. Am Online-Elternabend auf blue Zoom und im blue Zoom Livestream am 19. November, 20 Uhr, sprechen Medienexperten und Eltern über Datenmissbrauch, Mobbing und andere Risiken.
08.11.2024
So bastelst du mit KI deine ganz persönliche Weihnachtskarte
Online-Elternabend: «Sharenting – Umgang mit Kinderbildern im Netz»
Elternabend bei blue Zoom: Die Folgen von Sharenting für die Kinder