Unternehmen müssen die Sicherheit ihrer Web-Infrastruktur im Griff haben – das will nicht nur der Datenschutz, sondern ist auch überlebenswichtig. Laut Beraterin Bettina Mindt sollten Unternehmen diese Frage ernst nehmen und am besten mit speziellen Tools direkt in die Hand nehmen.
(CONNECT) „Hat ja gar nicht wehgetan.“ So denkt man nach dem Zahnarztbesuch, wenn endlich alles vorbei ist. Doch genauso denken manche KMU, indem sie sagen: „Ein Hacker? Uns? Ach, das passiert nur den Grossen.“ Spoiler: Das stimmt nicht.
Hacker arbeiten inzwischen mit AI-Tools, automatisierten Schwachstellenscans und nutzen „Lieferketten-Hintertüren“. Wer Teil der Lieferkette ist, ist genauso auf dem Radar der Hacker. Und wenn dann noch die Datenschutzgesetze nDSG, DSGVO, GDPR & NIS2 ins Spiel kommen: Plötzlich wird den „Kleinen“ nicht mehr nur empfohlen, etwas zu tun, es wird verpflichtend.
Warum (und wie) Web-Infrastruktur -Monitoring hilft und wie man’s clever macht
Monitoring heisst: Nicht warten, bis etwas passiert, sondern jederzeit wissen, was extern sichtbar und erreichbar für Hacker ist – Webserver, Webseiten, Mailserver, SSL-Zertifikate, offene Ports… Wenn man dauerhaft regelmässig beobachtet, sieht man:
- neue Schwachstellen früh,
- wie sich die Infrastruktur verändert (etwa Domainumzüge, Zertifikatswechsel, neue Subdomains),
- Risiken in der Lieferkette oder bei extern sichtbaren Partnern.
Aber: Das Ganze darf nicht so kompliziert sein, dass man es inhaltlich nicht versteht oder mehr Zeit fürs Monitoring als für das eigentliche Geschäft aufwendet.
Was fordern die Datenschutzgesetze? Und was sind TOMs?
- Datenschutzgesetze verlangen, personenbezogene Daten zu schützen. Nicht nur das: Sie verlangen auch den Nachweis, dass man weiss, wie sicher die Web-Infrastruktur ist.
- NIS2 erweitert den Rahmen noch weiter und gilt ja auch für Diensteanbieter und Infrastrukturen in Lieferketten. KMUs müssen zunehmend auch für NIS2 Anforderungen Dokumentationen nachweisen.
- Technische und Organisatorische Massnahmen (TOMs) sind in vielen Datenschutzgesetzen und in der Praxis essenziell: zum Beispiel welche Zugriffsrechte sind vorhanden, wie gesichert sind Mail- und Webserver, wie ist der Umgang mit Schwachstellen, wie sind Verantwortlichkeiten definiert …
Die Herausforderung für KMU: personelle Ressourcen sind knapp, Budget ebenso und häufig fehlt das Spezialwissen im Haus.
Wie können KMU darauf reagieren?
„Den Kopf in den Sand stecken?“ Natürlich nicht!
Sondern sich gleich verhalten wie für andere Bereiche im Unternehmen, etwa die Finanzen: das Monitoring der eigenen Buchhaltung erfolgt durch einen externen Treuhänder. Dadurch erhält das KMU-Management eine Situationsbeurteilung durch ausgewiesene Fachexperten im Finanzbereich.
Für Cybersecurity gilt das gleiche Prinzip: einen externen Dienstleister verwenden, entweder direkt als Tool oder via eine IT-Agentur. Wichtig zu beachten ist, dass das Monitoring mittels Scans umfassend ist und nichts vergessen gehen kann. Das heisst, es muss automatisiert und nicht mehr händisch durchgeführt werden (was immer noch geschieht!). Die Resultate des Monitoring müssen einfach verständlich sein, kein „IT-Kauderwelsch“, was ausser IT-Experten niemand versteht. Nur dann kann ein KMU-Management sicher sein, die eigene Risiko-Situation richtig einschätzen zu können.
JOUO: Die Zahnarztbohrer-Prophylaxe für KMU
Was ich gelernt habe: Tools wie JOUO, entwickelt von der [j]Karef GmbH, sind so etwas wie die Prophylaxe im digitalen Mund: Man spürt kurz etwas, aber man spart sich später grosses Brummen und teure Behandlungen.
JOUO bietet eine Überwachung der gesamten Webinfrastruktur, darunter Web- und Mailserver, Domains sowie IP-Adressen. So sieht man dasselbe, was ein Hacker sehen kann. Auch beispielsweise alte, vergessene Testserver, welche weiterhin mit der Webinfrastruktur verbunden sind und als Einfallstor verwendet werden könnten.
Die Überwachung erfolgt durch automatisierte Scanner mit Risiko-Bewertung, die auf mehr als 150 Metriken sowie AI- und Heuristik-Modellen basieren. Dadurch lassen sich Risiken schnell erkennen und gemäss Schweregrad für die Behebung priorisieren.
Ein weiteres Feature ist die Möglichkeit, TOMs und die detaillierte technische Dokumentation der Webinfrastruktur automatisch zu erstellen: Was sonst Tage an juristischer und technischer Arbeit kosten würde, ist mit Knopfdruck erledigt. Somit unterstützt JOUO auch im Bereich Compliance (Datenschutzgesetze und NIS2), indem die relevanten Informationen bereitgestellt werden, ohne dass man sich selbst durch unzählige Paragrafen arbeiten muss.
Abgerundet wird das Ganze durch eine benutzerfreundliche Oberfläche, die Ergebnisse und Erklärungen so aufbereitet, dass sie auch ohne IT-Fachwissen verständlich sind.
Im praktischen Einsatz bedeutet das: Mit der Überwachung der Web-Infrastruktur gibt es kein Rätselraten mehr, Schwachstellen lassen sich frühzeitig erkennen und abfangen. Die automatisierten Scanner mit Risiko-Bewertung sparen nicht nur wertvolle Zeit, sondern ermöglichen auch eine zielgerichtete Investition knapper personeller und finanzieller Ressourcen in die wichtigsten und dringendsten Sicherheitsmassnahmen. Die Funktion, TOMs und technische Webinfrastrukturdokumentation automatisch zu erstellen, sorgt für eine professionelle Dokumentation, die sowohl Geschäftspartner als auch Behörden überzeugt, ohne dass wochenlange Textarbeit nötig wird.
Warum der Zahnarzt und JOUO zusammengehören
Stellen Sie sich vor: Ihr Zahnarzt rät Ihnen, alle sechs Monate zur Kontrolle zu kommen. Zum Putzen, zur Prophylaxe. Sie gehen hin, es tut kaum weh, aber wenn Sie es weglassen: Zahnschmerzen, teure Füllungen, vielleicht schlimmer.
Genauso ist es mit Ihrem Unternehmen und dessen IT-Sicherheit:
- Ein kleines „Unwohlsein“ (eine offene HTTPS-Portierung, ein abgelaufenes SSL, ein nicht geschlossener Patch) merkt man nicht sofort.
- Aber ein paar Monate später kann’s richtig wehtun: Datenverlust, Kundenvertrauen runter, Bussgelder, Reputationsschaden.
Wenn Ihr Zahnarzt JOUO benutzen würde, könnte er sofort sehen, wo’s knirscht und wäre vorbereitet.
Fazit: KMU & JOUO, eine Empfehlung mit Augenzwinkern
Ja, unsere Zahnärztin nutzt tatsächlich JOUO. Für das Monitoring ihrer Praxis-Website, Mailserver, und für die Erstellung TOMs. Nun sogar auch im Rahmen ihrer Nachfolge-Due-Diligence.
Jede Leitung eines kleineren oder mittleren Unternehmens mag denken: „Cybersecurity ist teuer und kompliziert, ich lass das alles meinen IT-Support machen.“ Doch in Wahrheit ist es direkt mit Tools wie JOUO einfacher und weniger schmerzhaft.
Prüfen Sie Tools wie JOUO, gönnen Sie Ihrem Unternehmen die Prophylaxe. Denn ein kleiner Pieks jetzt ist besser als stundenlange Schmerzen später.
Bettina Mindt ist selbstständige Unternehmerin. Sie berät Start-ups und KMUs bei strategischen Projekten, insbesondere in digitalen Transformationsprozessen. Ein besonderer Schwerpunkt liegt dabei auf Themen wie Cybersecurity, Nachhaltigkeit und innovativen Geschäftsmodellen. Mit ihrer Expertise verbindet sie wirtschaftliches Know-how mit praxisnaher Umsetzung und unterstützt Unternehmen dabei, zukunftsfähig zu wachsen.