Wenn ein gestandener Qualitätsmanager einen digitalen Helfer auch nach 18 Jahren Tätigkeit einfach nur top findet, darf man fragen: Was ist so gut an diesem Werkzeug?
Glaubt man den Forschungen der Psychologen Daniel Kahneman und Amos Tversky («Judgement Under Uncertainty»; Cambridge Univ. Press 1982) scheuen Menschen nicht das Risiko, sondern Verluste. Welchen Einfluss hat dieser Verhaltensmechanismus auf Organisationen und den Umgang mit Risiken?
Cybersicherheit bleibt in einer zunehmend vernetzten Welt eine der zentralen Herausforderungen für Unternehmen. Der Bedarf, sie strategisch und ganzheitlich zu denken, ist grösser denn je.
Was sind die vier zentralen Herausforderungen für Unternehmen? Und vor allem: Wie können sie ihre Resilienz konkret stärken?
Die rasante technologische Entwicklung bringt nicht nur Fortschritte, sondern auch neue Bedrohungen mit sich. Generative KI kann einerseits ein leistungsstarkes Werkzeug sein, ermöglicht jedoch auch Cyberkriminellen, extrem überzeugende Phishing-Mails oder Deepfakes zu erstellen, die traditionelle Sicherheitssysteme leicht umgehen können. Zudem zeigt sich bereits heute, dass der Fortschritt von Quantencomputern traditionelle Verschlüsselungsverfahren künftig obsolet machen könnte.
Um diesen Herausforderungen zu begegnen, müssen Unternehmen proaktiv handeln. Ein entscheidender Faktor ist die Modernisierung der IT-Infrastruktur, die sowohl KI-gestützte Sicherheitslösungen als auch quantensichere Verschlüsselungstechnologien umfasst. Der Kyndryl Readiness Report[1] zeigt, dass 86% der Unternehmen ihre KI-Implementierung als erstklassig betrachten, gleichzeitig glauben aber nur 29%, dass ihre KI-Systeme bereit sind, zukünftige Risiken zu bewältigen. Somit ist klar: Strategische Planung und kontinuierliche Innovation sind notwendig, um sowohl aufkommende Bedrohungen zu antizipieren als auch bestehende Technologien optimal einzusetzen.
Eine zentrale Herausforderung für Organisationen ist die Fragmentierung zwischen Sicherheits- und Geschäftsbereichen, die oft zu Ineffizienzen und erhöhten Risiken führt.
Effektive Managementsysteme wie die ISO 27001 bieten einen strukturierten Ansatz, um diese Silos zu überwinden, indem Sicherheitsstrategien mit übergeordneten Geschäftszielen verknüpft werden. Die Etablierung eines Informationssicherheits-Managementsystems (ISMS) hilft, klare Prozesse und Verantwortlichkeiten zu definieren und die Zusammenarbeit zwischen IT-, Sicherheits- und Geschäftsbereichen zu fördern. Gleichzeitig fördert die ISO 27001 eine Kultur der kontinuierlichen Verbesserung, die es Organisationen ermöglicht, flexibel auf neue Bedrohungen zu reagieren und regulatorische Anforderungen effizient zu erfüllen.
Trotz technologischer Fortschritte bleiben aber die Menschen ein wesentlicher Faktor. Strukturierte Schulungsprogramme wie Phishing-Simulationen oder Trainings zur sicheren Passwortnutzung steigern die Cyber-Wachsamkeit auf allen Ebenen der Organisation. Indem das Bewusstsein für Sicherheitsrisiken geschärft und die aktive Beteiligung gefördert wird, können Mitarbeiter potenzielle Bedrohungen besser erkennen und darauf reagieren. Die Kombination aus effektiven Managementsystemen und einer gut informierten Belegschaft stärkt die Fähigkeit von Organisationen, Risiken zu mindern und ihre Resilienz zu erhöhen.
Die Vielzahl an verfügbaren Sicherheitstools kann den Eindruck erwecken, dass mehr Tools automatisch auch mehr Schutz bedeuten. Tatsächlich führt dies jedoch häufig zu einer Überkomplexität, die den Überblick erschwert und Sicherheitslücken begünstigt. Eine konsolidierte Sicherheitsplattform, die verschiedene Funktionen integriert, kann hier Abhilfe schaffen. Durch die Zentralisierung von Sicherheitsdaten und -prozessen können Unternehmen Bedrohungen schneller erkennen und darauf reagieren. Einheitliche Dashboards und automatisierte Workflows verbessern die Effizienz und reduzieren menschliche Fehler. Zusätzlich ermöglicht eine solche Plattform den Sicherheitsverantwortlichen, sich auf strategische Aufgaben zu konzentrieren, anstatt wertvolle Ressourcen in die Verwaltung von Einzellösungen zu investieren. Ferner schafft eine konsolidierte Lösung Transparenz, die sowohl für interne Audits als auch für externe Prüfungen essenziell ist.
Die grösste Hürde für eine ganzheitliche Cybersicherheitsstrategie ist indes häufig organisatorischer Natur: die fehlende Unterstützung durch die Führungsebene. Laut dem Kyndryl Readiness Report berichten 69% der grossen Unternehmen von einem Mangel an kritischer Unterstützung durch ihre Vorstände. Zudem geben 73% der Sicherheitsverantwortlichen an, dass ihre Aufsichtsräte kein aktives Interesse an der Cybersicherheitsbereitschaft ihrer Organisation zeigen. Ohne die aktive Einbindung von Vorstand und C-Level bleibt Cybersicherheit deshalb oft ein isoliertes Thema.
Strategien zur Förderung der Cyber-Awareness in der Führungsebene umfassen regelmässige Berichterstattung zu Sicherheitsrisiken und deren potenziellen geschäftlichen Auswirkungen. Ein verständlicher Überblick über den Return on Investment (ROI) von Sicherheitsinvestitionen kann ebenfalls überzeugend sein. Workshops und Simulationen von Cyberangriffen für das Top-Management können darüber hinaus das Bewusstsein für die Dringlichkeit des Themas schärfen.
Eine weitere wichtige Massnahme ist die Ernennung eines Chief Information Security Officers (CISO), der direkt an die Führungsebene berichtet (siehe auch Artikel auf S. 34). Dies stellt sicher, dass Cybersicherheit als strategisches Ziel verankert wird und nicht nur auf operativer Ebene verharrt.
Cybersicherheit ist eine strategische Geschäftsnotwendigkeit geworden. Angesichts der zunehmend komplexen und dynamischen Bedrohungslandschaft müssen Unternehmen einen ganzheitlichen, langfristigen Ansatz für ihre Sicherheitsstrategien und die Cyberresilienz verfolgen. Die vier beschriebenen Herausforderungen – von neuen Bedrohungen über organisatorische Silos bis hin zu strategischen Lücken auf Führungsebene – verdeutlichen die Vielschichtigkeit dieser Aufgabe.
Unternehmen, die diese Herausforderungen erfolgreich bewältigen, erreichen mehr als nur eine Stärkung ihrer Verteidigungslinien – sie erzielen damit einen starken Wettbewerbsvorteil. Indem sie Cybersicherheit mit übergeordneten Geschäftszielen verknüpfen, schliessen sie nicht nur die Lücke zwischen wahrgenommener und tatsächlicher Sicherheit, sondern positionieren sich für nachhaltigen Erfolg in einer zunehmend digitalisierten Welt.
[1] https://www.kyndryl.com/content/dam/kyndrylprogram/doc/en/2024/kyndryl-readiness-report.pdf
Autorin
Maria Kirschner ist Vice President und General Manager von Kyndryl Alps. Kyndryl ist nach eigenen Angaben einer der weltweit grössten Anbieter von IT-Infrastrukturdiensten für Tausende von Unternehmenskunden in mehr als 60 Ländern.
Die NIS2-Richtlinie in der EU und das neue Informationssicherheitsgesetz (ISG) in der Schweiz bringen neue Anforderungen an die Cybersicherheit. Das ist auch ein Thema für das Qualitätsmanagement.
Die Integration von Cyberrisiken ins unternehmensweite Risikomanagement ist entscheidend, um Unternehmen widerstandsfähig gegen die Herausforderungen der digitalen Transformation zu machen. Der Chief Information Security Officer (CISO) spielt dabei eine zentrale Rolle.
Im Dschungel der digitalen Gefahren braucht es mehr als nur eine Taschenlampe. Cybersicherheit muss zu einer unternehmerischen Kernkompetenz werden.
Der globalen IT-Welt geschuldet sind es primär englische Fachbegriffe, die beim Thema Cybersicherheit, respektive Gefahrenquellen, genutzt werden: KI-basierte Phishing-Angriffe, Credential Stuffing, Web-Scraping, Skewing, DDoS und DNS-Scrubbing, und so weiter mehr. Da löst schon das Einlesen Kopfschmerz aus, mindestens, wenn man sich mit und in der virtuellen Daten- und Kommunikationswelt nicht auskennt. Und das geschieht in kleineren Betrieben häufig. Denn da gibt es weder Sicherheitschef noch IT-Verantwortliche, diese Dienste werden meist an externe Fachleute und Agenturen ausgelagert oder man «wurstelt» sich so günstig es geht durch die Thematik. Beide Vorgehen haben auch Nachteile: Externe Agenturen behalten ihr Fachwissen für sich und kreieren damit Abhängigkeit. Und «selber wursteln» birgt eben solche oben genannten Gefahren, über die man einfach zu wenig weiss und sich dementsprechend nicht schützen kann.
Um die Dimensionen zu erahnen, hier eine kurze Zusammenfassung der angesprochenen Bedrohungen: Unter dem Begriff Phishing (kommt von «fishing»), versteht man Versuche, sich über gefälschte E-Mails oder Webseiten als vertrauenswürdiger Kommunikationspartner auszugeben. Ziel der Betrüger ist, Internet-Nutzer zu bewegen, übers Einloggen in gefälschte Werbewelten einzutreten und dort gegebenenfalls vertrauliche Daten wie Passwörter oder Benutzernamen zu hinterlassen.
Credential Stuffing ist ein automatisierter und häufig sich wiederholender Cyberangriff, bei dem Hacker mithilfe von Bots (kommt vom englischen Wort «robot») weitgehend automatisiert versuchen, auf Hintergrund-Daten einer Website zuzugreifen. Das ist teilweise legal und erwünscht, damit Suchmaschinen, die angeforderten Informationen identifizieren und publizieren können. Aber gibt auch schädliche Methoden des auch Web Scrapings genannten Prozesses: Daten werden missbraucht, verfälscht oder dem Darknet zugeführt.
Dazu passen auch Skewing-Attacken, das englische Verb to skew bedeutet verzerren. Da versuchen Angreifer, die via Web-Analysedaten erhaltenen Informationen und Statistiken, beispielsweise von Google Analytics, zu verfälschen. Es geht also nicht um Datendiebstahl, sondern darum, dass die Ziel-Unternehmen wegen der manipulierten Daten zu falschen Geschäftsentscheidungen verleitet werden. Und letztlich DDoS; es steht für Distributed Denial of Service (wörtlich bedeutet es verteilte Dienstverweigerung) und beschreibt Cyberangriffe, die mittels künstlicher und sich wiederholender Anfragen Ausfälle von Webseiten herbeiführen. Dagegen arbeiten sogenannte Scrubbing Services, die solchen schädlichen Traffic identifizieren und die Überlastung der Systeme verhindern. Und dies sind bei weitem nicht alle Gefahren. Wie kann man sich als Klein- und Mittelständiges Unternehmen dagegen wehren?
Der erste Schritt heisst näher und genauer hinschauen, denn der Diebstahl oder Missbrauch von firmeninternen digitalen Informationen ist mittlerweile der am häufigsten gemeldete Betrug geworden, weit intensiver als physischer Diebstahl. Egal also, ob eine Firma Cloud Computing eingeführt hat oder nur zwei, drei E-Mails pro Woche verschickt, Cybersicherheit ist auch für Kleinstbetriebe eine Kernkompetenz geworden. Die Schlüsselaufgabe für jeden verantwortlichen Manager heisst deshalb, eine Sicherheitskultur zu schaffen.
Schritt 1 wurde in M&Q schon mehrmals angesprochen: unabhängig davon, zu welcher Generation man gehört: Man muss sich einlesen und mit dem Thema auseinandersetzen. Das bedeutet nicht, dass ein Vorgesetzter alles verstehen oder beherrschen muss, sondern dass er einen Überblick über das Thema hat, über die externen und internen Einflüsse, die Chancen und Herausforderungen, und allenfalls budgetmässige Elemente. Wenn dann im Team jüngere und digitalaffinere Menschen gewisse Aufgaben übernehmen, dann ist das völlig in Ordnung. Aber der Chef muss das grosse Ganze kennen.
Als erste Massnahme muss man sein System sauber halten. Das erfordert regelmässige Säuberung von alten Daten, neueste Sicherheitssoftware sowie das Installieren von Softwareupdates, sobald diese verfügbar sind. Antivirensoftware sollte so eingerichtet sein, dass sie nach jedem Update automatisch einen Scan durchführt. Und dazu passt auch die Notwendigkeit, alle Firmendaten mindestens wöchentlich zu sichern und extern abzulegen. Die wichtigsten Dokumente beinhalten Personalakten, Finanzdateien und Debitoren- und Kreditorenbuchhaltung; dann auch Textverarbeitungsdokumente. Wer das nicht tut, handelt letztlich grob fahrlässig.
Mit dem durchs Einlesen erhaltenen Grundverständnis muss ein Vorgesetzter heute in der Lage sein, die grundlegenden Sicherheitspraktiken und -richtlinien für den Betrieb und die Mitarbeitenden festzulegen. Dazu gehören klar definierte Zutrittsrechte zum System und zu Daten, sichere Passwörter, Richtlinien zur Nutzung des Internets (auch in der Freizeit, die man im Büro verbringt), und Verhaltensregeln betreffend Firmendaten und Kundeninformationen.
Ziemlich unterschätzt: auch private Mobilgeräte können erhebliche Sicherheitsprobleme verursachen, insbesondere wenn sie vertrauliche Informationen enthalten oder auf das Unternehmensnetzwerk zugreifen können. Mitarbeitende sollen solche Geräte mittels Passwort schützen, die Daten verschlüsseln oder Sicherheits-Apps installieren. Gleiches gilt für die Laptops, die leicht gestohlen oder verloren werden können. Jeder Angestellte sollte ein separates Benutzerkonto haben; und die entsprechenden Passwörter sollten nur durch fachmännisches IT-Personal zugeteilt werden.
Potenzieller Unruheherd kann auch das firmeninterne WLAN-Netzwerk sein. Es soll verschlüsselt sein, nur mit Passwort zugängig, und mittels Router so eingerichtet, dass der Netzwerkname (SSID, der sogenannte Service Set Identifier) nicht übertragen wird.
So oder so sind sämtliche Passwörter potenzielle Angriffsbereiche: Sie müssen also, erstens, komplex kreiert werden. Das heisst mindestens acht Zeichen lang sein und aus vier verschiedenen Zeichenarten (Gross- und Kleinbuchstaben, Zahlen und Sonderzeichen) bestehen. Zweitens sollten die heiklen Passwörter alle drei Monate verändert werden, auch diejenigen der privaten Geräte der Mitarbeitenden. Und drittens gibt es für sensible Daten die Möglichkeit einer Multi-Faktor-Authentifizierung, die neben dem Passwort noch weitere Informationen erfordert. Gewisse Banken, beispielsweise, bieten ihren Kunden solche Dienstleistungen an.
Cybersicherheit ist Kernkompetenz – und diese kann man nur mit einer starken Taschenlampe richtig ausleuchten.
Autor
Daniel Tschudy ist Publizist, Referent und Berater im Hospitality-Sektor. Er befasst sich aber auch mit anderen Themen rund um die neuen Dimensionen des globalen Zusammenarbeitens.
Die SAQ Swiss Association for Quality hatte die Gelegenheit, ein innovatives KI-Tool zu testen, das darauf ausgelegt ist, integrierte Qualitätssysteme zu verbessern.
Am FOREP 2024 sprach sie darüber, wie die generative KI die Arbeit in Unternehmen verändert: Nina Habicht. Im Interview führt die junge KI-Unternehmerin weiter aus, wie das Zusammenspiel von Mensch und Maschine funktionieren muss.
Die künstliche Intelligenz ist dabei, viele Bereiche unseres Lebens zu verändern. Dank generativer KI-Tools wie ChatGPT können immer mehr Arbeitsabläufe automatisiert und vereinfacht werden, auch in Forschung und Entwicklung. Doch zu welchem Preis?
Eine neue Technologie pusht Just-In-Time und kontextsensitiv Managementsystem-Informationen direkt zu den Mitarbeitenden.
Im Interview teilt ISO-Präsident Dr. Sung Hwan Cho seine Vision für die Rolle der ISO in der Bewältigung globaler Herausforderungen.
Le Forep 2024 a réuni quelque 220 personnes au Swiss Tech Convention Center à Lausanne autour du thème «la Qualité intelligente». Ce seul adjectif, «intelligente», emmène presque naturellement, depuis quelques années, notre esprit vers l’IA. Cette dernière a pris une large place dans cette journée du 7 novembre, mais sans jamais reléguer l’intelligence humaine. Et, ce dans un mouvement perpétuel d’aller-retour.
