Samuel Wyxx, beschäftigt sich mit IT-Security und Risiken bei Stadler Form
6 min

«Es kommt auf den richtigen Ton an»

Samuel Wyss ist beim Zuger KMU Stadler Form zuständig für die IT und damit auch für die IT-Sicherheit. Im Interview erläutert er, wie er die Mitarbeitenden für einen sicheren Umgang sensibilisiert. Und selbst auf dem aktuellen Stand bleibt.

Stadler Form ist ein typisches Schweizer KMU. Das Zuger Unternehmen entwickelt, produziert und vertreibt gestylte Luftbefeuchter und andere Geräte, die das Raumklima verbessern. Genauso typisch ist die Struktur der Firma. Samuel Wyss ist eigentlich für die digitale Transformation zuständig. Doch wie so häufig in KMU, trägt er verschiedene Hüte. Zusätzlich ist er zusammen mit einem IT-Dienstleister für die Informatik des Unternehmens zuständig. «Reingerutscht», wie er selbst sagt.

Als Gewinner des Swisscom Wettbewerbs «Win a Hacker» hat Stadler Form ein umfangreiches Security Assessment erhalten. Dabei haben IT-Sicherheitsspezialisten die Infrastruktur des Unternehmens gezielt auf Sicherheitslücken untersucht. Dabei hat sich gezeigt, worauf Sicherheitsexperten immer wieder hinweisen: Viele Sicherheitslücken sind nicht technischer Art, sondern entstehen aus Bequemlichkeit oder Unwissenheit der Mitarbeitenden. Ein klassisches Beispiel dafür sind Benutzer, die mit Administratorenrechten am Computer arbeiten und dazu noch ein unsicheres, leicht zu erratendes Passwort verwenden. Und damit einem Angreifer die Arbeit erleichtern. Wir haben Samuel Wyss gefragt, wie er in seinem Unternehmen die Benutzer für die IT-Sicherheitsproblematik sensibilisiert.

Samuel Wyss, was ist Ihre grösste Angst als IT-Verantwortlicher?

Das ist ganz klar, dass ein Mitarbeiter ein Phishing-Mail erhält und auf den Link klickt oder das Attachment öffnet. Dass jemand dadurch verseuchte Software installiert und damit einem Angreifer Tür und Tor öffnet. Meine grösste Angst ist, dass auf diesem Weg Ransomware in unser Unternehmen gelangt und unsere Daten verschlüsselt.

Samuel Wyss, IT-Verantwortlicher Stadler Form, sensibilisiert die Mitarbeitenden für IT-Sicherheit.
Samuel Wyss: «Es gehört zu meinem Jobprofil, auf dem Laufenden zu bleiben.»

Wie sensibilisieren Sie die Mitarbeitenden, damit sie eben nicht auf Phishing-Mails hereinfallen?

Ich führe regelmässige Schulungen durch. Und wir haben zweiwöchentlich ein Meeting, in dem wir uns auch zu Sicherheitsthemen austauschen und ich über aktuelle Entwicklungen informiere. Die Kunst dabei ist, den richtigen Ton zu finden. Ich nutze deshalb oft Vergleiche aus der analogen Welt, zum Beispiel: «Wenn du aus dem Haus gehst, schliesst du doch die Tür auch ab?» Oder ich diskutiere mit den Mitarbeitenden Situationen wie diejenige, dass jemand das Passwort auf ein Post-It schreibt und an den Bildschirm klebt. Allerdings sind nicht alle Mitarbeitenden gleich empfänglich dafür oder nehmen die Situation gleich ernst.

Und wie gehen Sie mit dieser unterschiedlichen Wahrnehmung um?

Zum einen unterstütze ich Mitarbeitende persönlich, die sich unsicher fühlen. Wir richten beispielsweise gemeinsam ein neues Passwort ein. Dabei will ich aber das Passwort nicht wissen. Die Verantwortung dafür liegt beim Mitarbeiter.

Zum anderen haben die Mitarbeitenden das Versprechen, dass sie sich bei einem Sicherheitsvorfall melden können, ohne dass das Konsequenzen für sie hat. Das erhöht die Chance, dass ich überhaupt rechtzeitig erfahre, wenn etwas passiert.

 In einem Test bei uns haben einige Mitarbeitende den Phishing-Link angeklickt.

Samuel Wyss, Stadler Form

Die Bedrohungen und damit die Sicherheitslage ändern sich laufend. Wie halten Sie sich in Sachen IT-Sicherheit auf dem Laufenden?

Ich tausche mich an Konferenzen mit anderen aus und nutze natürlich verschiedene digitale Informationsquellen wie Podcasts, Whitepaper oder Newsletter. Und ich habe Twitter dafür entdeckt, das ist extrem nützlich für Security-News. Generell versuche ich, den relevanten Spezialisten zu folgen. Und ich habe den Vorteil, dass diese Informationsbeschaffung in meinem Stellenbeschrieb festgehalten ist und damit offiziell zu meinen Aufgaben gehört.

Was machen Sie, wenn Sie selbst nicht weiterkommen?

Dann kann ich zum Glück auf die Spezialisten unseres IT-Dienstleisters zurückgreifen. Wir haben da einen sehr direkten Draht. Und natürlich hat mir das Security Assessment weitergeholfen. Das war wirklich phänomenal, welches Know-how die Experten mitbrachten. Ich würde das sofort wieder machen. So ein Audit ist zwar teuer. Aber wenn ein Angreifer die Firma lahmlegt, ist das noch viel teurer.

Nochmals zurück zur Eingangsfrage: Und wie gross schätzen Sie das Risiko ein, dass jemand wirklich ein Phishing-Mail öffnet?

Wir haben einen Test gemacht mit einem unechten Phishing-Mail. Einige Mitarbeitende haben tatsächlich auf den Link geklickt. Und haben es dann auch gemerkt, dass da etwas nicht stimmt. Die Sensibilisierung der Mitarbeitenden ist eine Daueraufgabe.

Samuel Wyss

Der Betriebsökonom Samuel Wyss arbeitet seit 2008 bei Stadler Form. Heute ist er verantwortlich für die digitale Transformation des Unternehmens. Dazu gehört, dass er Prozesse digitalisiert und Papier und Medienbrüche aus dem Büroalltag verbannt. Mit Informatik beschäftigt sich Samuel Wyss seit den 80er-Jahren und dem Commodore 64.


Fünf «Quick Wins» für die IT-Sicherheit

Mit diesen Tipps sorgen Sie für einen sicheren Umgang der Benutzer mit Informatik und erhöhen die IT-Sicherheit im Unternehmen.

1. Sichere Passwörter verwenden

Passwörter sind das Sicherheitsproblem Nummer Eins. Aus Bequemlichkeitsgründen arbeiten viele Menschen mit einem leicht merkbaren Standard-Passwort für alle Konten. Das ist genauso verständlich wie gefährlich, weil es Angreifern den Zugriff auf verschiedene Konten erleichtert. Erstellen Sie Regeln für Passwörter:

  • Benutzerpasswörter sollten mindestens 12 Zeichen lang sein, Administratorenpasswörter für die Systemverwaltung 16 Zeichen.
  • Passwörter sollten mindestens Gross- und Kleinbuchstaben und Zahlen enthalten.
  • Jedes Konto – Anmeldung am Computer, am Cloud-Speicher, am ERP, CRM etc. – benötigt ein eigenes Passwort.

Nutzen Sie einen Passwort-Manager. Dort können die Mitarbeitenden alle Passwörter speichern, nicht nur für webbasierte Konten. Und können sich sichere, zufällige Passwörter generieren lassen. Dadurch müssen sich die Mitarbeitenden nur noch zwei Passwörter merken: dasjenige für die Anmeldung am Computer und natürlich dasjenige für den Passwort-Manager.

2. Sensibilisieren und schulen Sie die Mitarbeitenden in IT-Sicherheit

Gerade die Passwortregeln werden scheitern, wenn Sie sie «von oben herab» vorschreiben. Sensibilisieren Sie die Mitarbeitenden darauf, dass diese Massnahme aus Gründen der IT-Sicherheit erforderlich und für die Betriebssicherheit nötig ist. Erklären und unterstützen Sie, insbesondere diejenigen Mitarbeitenden, die sich damit schwertun. Das ist zeitintensiv, aber nötig.

Geben Sie Hackern keine Chance!

Das kurze E-Learning gibt drei grundlegende Verhaltenstipps für Mitarbeitende, etwa, wie sie sich vor Phishing schützen und sichere Passwörter erstellen. Und damit die Sicherheit im Unternehmen verbessern helfen.

3. Mitarbeitende für die Gefahren von Phishing-Mails sensibilisieren

Phishing-Mails, die Zugangsdaten ergaunern oder Malware installieren wollen, gehören leider zum Alltag. Sensibilisieren Sie die Mitarbeitenden darauf, kritisch zu sein – lieber einmal zu viel als zu wenig nachfragen. Schulen Sie das Unternehmen darin, Phishing-Mails zu erkennen.

4. Keine lokalen Admin-Rechte

In der täglichen Arbeit sollten alle Mitarbeitenden mit einem Standard-Benutzerkonto arbeiten und nicht mit Administratorrechten. Damit sorgen Sie für zusätzlichen Schutz, falls ein Rechner ein Virus einfängt: Denn, damit sich eine Malware im System einnisten kann, muss sie zuerst Administratorenrechte erlangen.

5. Minimale Zugriffsrechte auf Dateiablagen im lokalen Netz und in der Cloud

Regeln Sie die Zugriffsrechte auf Dateien in gemeinsamen Ablagen so, dass Mitarbeitende nur auf Daten zugreifen können, die im Arbeitsalltag benötigt werden. Arbeiten Sie mit Gruppen und legen Sie Verzeichnisse für Produktion, Verkauf, Administration, Buchhaltung etc. an. Beschränken Sie den Zugriff der Gruppen auf die jeweiligen Ordner und legen Sie Backup- und Archivdaten an einem separaten Ort ab. Im Idealfall verhindern Sie damit auch, dass Ransomware sämtliche Daten verschlüsseln kann.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht.

Jetzt lesen