Die beiden Gründer, Marco und Roger Hiestand, im Interview!

Warum braucht es den Service der BREVIT AG?

Die digitale Transformation der Wirtschaft führt dazu, dass schon heute jedes Unternehmen von ihrer IT abhängig ist. Diese Abhängigkeit birgt Risiken in sich. So war bereits jedes vierte Schweizer KMU von einem Cyberangriff betroffen. Der durchschnittliche Schaden einer Cyberattacke kostet ein KMU rund CHF 80’000. Cyberangriffe sind in der Regel zufällig und automatisiert und treffen kleine Firmen genauso wie grosse. Für ein KMU ist das Risiko von einer Cyberattacke getroffen zu werden, sogar höher als für grosse Unternehmen. Das liegt zum einen am tiefen Risikobewusstsein der KMU und zum anderen an den limitierten Cybersecurity-Kompetenzen klassischer IT-Dienstleister, die sich um die IT der KMU kümmern. Das wollen wir ändern. BREVIT hilft ihren Kunden das Cyberrisiko als ein Geschäftsrisiko zu adressieren und wie bei jedem anderen Geschäftsrisiko auch, geeignete Massnahmen umzusetzen – einfach, umfassend und bezahlbar. Cybersecurity ist kein notwendiges Übel, sondern ein Wettbewerbsvorteil und muss zwingend in die Unternehmensstrategie einfliessen. Nur KMU die sorgfältig mit Daten umgehen können, sind zukunftsfähig.

Was genau ist eigentlich Cybersecurity?

Cybersecurity umfasst alle technischen, organisatorischen und menschlichen Massnahmen eines Unternehmens, um die Vertraulichkeit, Integrität und Verfügbarkeit ihrer Daten, ihrer Hardware und ihrer Software zu gewährleisten. Der Hauptzweck der Cybersicherheit besteht darin, sich vor Cyberangriffen zu schützen bzw. sich darauf vorzubereiten:

  1. Cyberangriffe präventiv abwehren
  2. Bei einem erfolgten Cyberangriff richtig reagieren

Was sind die Elemente der Cybersicherheit und worauf ist die BREVIT AG insbesondere spezialisiert?

Bei der Digitalisierung ist nicht die Schnelligkeit, sondern die Sicherheit entscheidend. Die Dienstleistungen von BREVIT sind einzig darauf ausgelegt, die Cybersecurity von Schweizer KMU zu erhöhen und ihnen somit eine belastbare und zuverlässige IT-Infrastruktur zur Verfügung zu stellen – ohne dabei die operative Geschäftstätigkeit zu stören. BREVIT hat ein einzigartiges, modulares 360° Cybersecurity-Modell für Schweizer KMU zu Festpreisen entwickelt, mit welchem wir zehn verschiedene Cybersecurity-Themenbereiche abdecken – von technischen (z.B. Endgeräte- und Infrastrukturschutz, Patch-Management, Backup etc.) über organisatorische (z.B. Zugriffsrechte, Passwortmanagement, Notfallplan, etc.) bis zu menschlichen Massnahmen. Damit schützen wir KMU auf einem Industrie-Level, wie es sich sonst nur grosse Unternehmen leisten können. Ganz wichtig ist, dass neben den technischen und organisatorischen Massnahmen der Mensch, also der IT-Nutzer selbst, nicht vergessen geht. Über 80% aller Cybersecurity-Vorfälle sind auf menschliche Fehler zurückzuführen. Diesbezüglich bieten wir unseren Kunden automatisierte Cybersecurity Awareness-Trainings. Dabei werden individuelle Schulungspläne für Mitarbeitende bis zur Geschäftsleitung zusammengestellt. Die Schulungen sind webbasiert und werden als kontinuierliches Mikrolernen mit einem wöchentlichen Aufwand von ca. 10 Minuten umgesetzt. Durch die Integration solcher Awareness-Programme in die Unternehmenskultur, wird das Sicherheitsbewusstsein aller Mitarbeitenden nachweislich erhöht und damit die Anfälligkeit des Menschen als schwächstes Glied in der Verteidigungslinie gegen Cyberangriffe signifikant gesenkt.

Was sind derzeit die grössten Bedrohungen für die Cybersicherheit?

Die Bedrohungslage ist vielfältig. Das Nationale Zentrum für Cybersicherheit NCSC verzeichnet in der Schweiz wöchentlich mehrere hundert Meldungen von Unternehmen bezüglich Cyberangriffen. Das ist nur die Spitze des Eisbergs – die Dunkelziffer ist um ein Vielfaches höher. Weit verbreitet ist das sogenannte Social Engineering, mit dem Ziel, bei Personen bestimmte Verhaltensweisen hervorzurufen. Dazu gehören z.B. Phishing-Mailings oder der Überweisungsbetrug. Auch direkte Angriffe auf die IT-Infrastruktur sind an der Tagesordnung. Hierbei dringen die Angreifer über Geräte wie Computer, Server etc. die mit dem Internet verbunden sind, direkt ins Netzwerk eines Unternehmens ein. Durch Sicherheitslücken veralteter Software gelingt ihnen das ohne grossen Aufwand. Deshalb ist das Patch-Management eine so wichtige präventive technische Massnahme gegen Cyberangriffe.

Konkrete Beispiele für Cyberattacken gegen Schweizer KMU finden sich regelmässig in der Medienberichterstattung. Erst gerade wurde publik, dass die beiden Schweizer Industrieunternehmen WESCO und Griesser im März respektive April 2021 von einem Ransomware-Angriff betroffen waren, der den Betrieb beider Unternehmen für mehr als eine Woche lahmlegte.

Ich greife grad ein paar Begriffe aus den obigen Aussagen heraus. Was genau bedeutet Phishing, Ransomware oder Überweisungsbetrug?

Bei Phishing sprechen wir von Mailings, bei denen sich der Absender als vertrauenswürdige Person oder als vertrauenswürdiges Unternehmen tarnt, mit der Absicht an sensible Informationen wie Benutzernamen, Passwörter oder Kreditkartendetails zu gelangen oder er versucht eine Malware (bösartige Software) zu installieren, die es den Angreifern erlaubt Zugriff auf die Unternehmensnetzwerke zu erhalten. Einmal im System drin, können dann Unternehmensdaten verschlüsselt, gelöscht, verändert, entwendet oder verkauft werden. Ransomware ist eine spezifische Form von Malware, die darauf ausgelegt ist, alle Unternehmensdaten zu verschlüsseln, oft auch die Daten in den Backups, um dann ein Lösegeld für den Schlüssel zu erpressen, damit die Daten wieder entschlüsselt werden können.

Beim Überweisungsbetrug werden oft Personen aus der Buchhaltungsabteilungen z.B. von einer vermeintlichen E-Mail des Geschäftsführers aufgefordert, eine bestimmte Zahlung auf ein bestimmtes Konto auszulösen. Alternative Formen sind fingierte Rechnungen von bestehenden Lieferanten, bei denen eine andere Kontonummer für das Zahlungskonto angegeben werden.

Insgesamt stellen wir fest, dass die Social Engineering Methoden immer besser werden. Phishing Mailings oder falsche Zahlungsaufforderungen sind z.T. nur noch sehr schwierig als solche zu erkennen. Umso wichtiger ist es für Unternehmen in Awareness-Programme der Mitarbeitenden zu investieren.

Und was ist im Vergleich dazu hacking?

Beim Hacking im Sinne von Hackerangriffen geht es prinzipiell darum z.B. via Social Engineering oder via IT-Schwachstellen Zugang zu einem Netzwerk zu erlangen. Dabei kann zwischen White, Gray und Black Hat Hackern unterschieden werden. Während White-Hats sich innerhalb der Gesetze bewegen (z.B. professionelle Penetrationtests), veröffentlichen Grey-Hats beispielsweise Sicherheitslücken von Software, um die Hersteller dazu zu zwingen Sicherheitsupdates zu programmieren. Black-Hats sind die kriminellen Hacker. Sie handeln mit krimineller Energie und versuchen durch den unbefugten Zugang zu Unternehmensnetzwerken Geld zu verdienen.

Hört ihr oft: Ich habe ja nur ein kleines Unternehmen, ich bin kein Ziel von Cyberattacken. Und wie reagiert ihr dann?

Das ist eine der Standardantworten, die wir in Erstgesprächen oft hören. Oder ein anderer Klassiker: Bei uns kümmert sich unser IT-Dienstleister um die IT-Sicherheit, wir sind bestens aufgestellt. Die erste Aussage versuchen wir durch ein erstes kostenloses Beratungsgespräch aufzufangen. Wir vermitteln den Geschäftsführern mehr Wissen zum Thema Cybersecurity und zeigen auf, dass es sich bei Cyberangriffen in der Regel um automatisierte, zufällige Attacken handelt, bei denen jeder Computer und jedes Gerät, das mit dem Internet oder einem Netzwerk verbunden ist, ein potenzielles Einfallstor darstellt – unabhängig von Unternehmensgrösse und Branche. Bei der zweiten Aussage versuchen wir mehr über die bereits implementierten Cybersecurity-Massnahmen zu erfahren. Es stellt sich oft und schnell heraus, dass die Geschäftsleitung gar nicht genau weiss, welche Massnahmen sie zurzeit umsetzen. Hier bieten wir gerne unsere unabhängige Schwachstellenanalyse an, welche die Frage beantwortet, wie gut das KMU wirklich gegen Cyberangriffe geschützt ist. In unserem Analysebericht stellen wir dann klare Handlungsempfehlungen für eine Verbesserung ihrer Cyber-Resilienz auf.

Kurz zusammengefasst: Was bietet BREVIT genau den KMU Kunden:

Unsere Mission ist es Schweizer KMU branchenübergreifend für das Thema Cybersecurity zu sensibilisieren. Wir helfen KMU das Risiko von Cyberangriffen als solches zu erkennen und in das Portfolio ihres Risikomanagements zu integrieren. Eines ist heute unbestritten, für jedes KMU ist es heute nicht mehr die Frage ob, sondern wann es von einem Cyberangriff betroffen sein wird. Die gute Nachricht ist, dass man sich darauf vorbereiten kann und es auch tun sollte.

Herzlichen Dank für das spannende Gespräch und viel Erfolg für die BREVIT AG!