IT Security wird immer wichtiger. Als IT-Unternehmen nehmen wir dieses Thema sehr ernst. Seit mehreren Jahren hat die OCOM einen eigenen Bereich, der sich insbesondere um die IT-Sicherheit kümmert. 

Was heisst das aber konkret? Mit was für Themen beschäftigen sich diese Mitarbeitenden? 

Unser CTO Dominik Ruppen interviewt das Security Team.

Im Security Bereich arbeiten aktuell folgende Mitarbeitende:

• Patrick Pfammatter
• Noé Abgottspon

Primär geht es darum die Security Baseline nach best practice weiterzuentwickeln und bei unseren Kunden umzusetzen. Auch die interne IT-Security wird fortlaufend optimiert. 

Sicherheit ist ein laufender Prozess. Auch ISO 27001 verlangt es, die Informationssicherheit zu überwachen und weiterzuentwickeln. Es werden zudem regelmässig interne Awareness Trainings für alle Mitarbeitenden durchgeführt. Bei allfälligen Schwachstellen unserer eingesetzten Produkte, werden sofort Gegenmassnahmen ergriffen und entsprechend umgesetzt. 

Bei den Mitarbeitenden ist das Verständnis für Sicherheit sehr hoch. Da sie täglich damit konfrontiert sind, sind sie sich den Gefahren bewusst. 

Bei den Kunden ist es wichtig Verständnis zu schaffen, damit diese die Risiken für Ihr Unternehmen besser identifizieren und die nötigen Massnahmen umsetzen können. 

Das cyber-safe.ch Label ist ein zweistufiger Prozess (Diagnose und Cybersecurity Audit), der eine solide und pragmatische Grundlage für das Management der digitalen Sicherheit und die Verbesserung der Resilienz bei unseren Kunden unterstützt. Dabei geht es nicht nur um technische, sondern auch organisatorische Massnahmen. 

Durch unsere langjährige Erfahrung und gezielte Ausbildungen im Security Bereich, entwickeln wir uns stetig weiter. Zudem beziehen wir Informationen von verschiedenen Quellen, wie von dem National Cyber Security Center (NCSC), direkt von den Herstellern und von Fachmedien. Diese Erkenntnisse wiederum fliessen direkt in unsere Security Baseline.

Nach wie vor ist der Anwender eines der grössten Risiken. Deshalb ist es wichtig alle Mitarbeitende regelmässig zu schulen und sie über die aktuellen Gefahren und Methoden zu sensibilisieren.

Es gibt verschiedene Angriffsszenarien von breit gestreuten Phishing Kampagnen bis hin zu gezielten “Spear-Phishing” Angriffen. Die Angreifer betreiben heute teils auch grossen Aufwand, um gezielte Angriffe mittels Social-Engineering auf Unternehmen durchzuführen. Deshalb ist es wichtig die Mitarbeitenden über die aktuellen Gefahren zu sensibilisieren. 

Cyberattacken sind nicht nur für Grossunternehmen und Regierungsbehörden ein Problem. Auch KMUs werden immer wieder Opfer von Cyberattacken, was Studien und Umfragen eindrücklich belegen. Jedes dritte kleine Unternehmen war schon einmal Opfer eines Cyberangriffs und das Risiko steigt stetig. Auch Cyberattacken auf Privatpersonen sind vermehrt zu beobachten.  Grundsätzlich gilt, jedes IT-System ist anfällig für Cyberattacken.

Viele Unternehmen vernachlässigen die Sensibilisierung ihrer Mitarbeitenden für IT-Security. Obwohl technische Massnahmen wie Firewalls oder Endpoint-Protection wichtig sind, bleiben Mitarbeitende oft das grösste Sicherheitsrisiko. Ohne regelmässige Schulungen und Bewusstsein für Phishing-Angriffe, sichere Passwörter und den richtigen Umgang mit Daten, können selbst die besten IT-Systeme anfällig für Angriffe sein. 
Ein weiterer wichtiger Punkt ist die Zwei-Faktor-Authentifizierung. Microsofts jüngste Statistiken verdeutlichen die Notwendigkeit, auf eine Zwei-Faktor-Authentifizierung umzusteigen. Denn 99% der kompromittierten Microsoft-Benutzerkonten nutzten gemäss Microsoft keine Multi-Faktor-Authentifizierung! 

Leider ist kein Ende in Sicht, weshalb Cybersecurity ein laufender Prozess bleibt.

Vielen Dank für das Interview und dass ihr uns einen Einblick in eure Arbeit gezeigt habt.