Erste Studie zu Homeoffice und Cybersicherheit in Schweizer KMU
2020Die Corona-Pandemie hat das Homeoffice auch in Schweizer KMU etabliert. Das birgt Chancen, aber auch Risiken wie folgenschwere Cyberangriffe. Eine neue Studie zeigt, wo Unternehmen dringend nachbessern müssen.
Das Jahr 2020 hat der Schweiz in Folge der Corona-Pandemie einen Digitalisierungs- und Homeoffice-Schub gebracht. Umso folgenschwerer können Cyberangriffe sein. Doch diese Risiken der neuen Arbeitswelt werden von KMU nach wie vor unterschätzt, wie eine gfs-Umfrage unter 503 Geschäftsführerinnen und Geschäftsführern kleiner Unternehmen zeigt.
Studie zum Downloaden
Cyberangriffe und die Folgen
Bereits ein Viertel der Schweizer KMU sind Opfer eines Cyberangriffs geworden. Sei es in Form von Viren (18 Prozent), Datendiebstahl (5 Prozent) oder einer absichtlich herbeigeführten Überlastung des Netzes (5 Prozent). Die Folgen? Vor allem ein erheblicher finanzieller Schaden. «Solche Angriffe werden immer professioneller», beginnt Andreas Hölzli, Leiter Kompetenzzentrum Cyber Risk bei der Mobiliar. «Das gilt nicht nur für die Art und Weise der Attacke, sondern auch für das Ziel derselben. Vermehrt werden Unternehmen nämlich oft mit der Bezahlung von Bitcoins und teils auch in Kombination mit der Androhung der Veröffentlichung von geheimen Geschäftsdaten erpresst, bevor Daten oder Systeme wieder zugänglich gemacht werden.» Bei dieser Erpressung könne es – je nach Situation – gut und gerne um Zehn- oder Hunderttausende Franken gehen. Für ein KMU rasch eine existenzielle Summe.
Von denjenigen KMU, welche bereits Opfer eines Cyberangriffs wurden, trug ein Drittel einen finanziellen Schaden davon. Das entspricht hochgerechnet auf die Grundgesamtheit ca. 12’930 kleinen Unternehmen (Vertrauensbereich: 12’600 bis 13’250), welche einen finanziellen Schaden erlitten. Jedes zehnte KMU hatte ausserdem mit einem Reputationsschaden zu kämpfen und/oder mit dem Verlust von Kundendaten. Trotzdem werden zu selten Präventivmassnahmen ergriffen. «Viele KMU sind bereits Opfer geworden, viele CEOs geben an, sie seien für das Thema sensibilisiert. Dennoch verhalten sie sich passiv», interpretiert Andreas Hölzli die Studie.
Sicherheitsmassnahmen ausbaufähig
88 Prozent haben laut der Studie im Zuge des Lockdowns keine zusätzlichen Sicherheitsmassnahmen gegen virtuelle Angriffe umgesetzt. Mobiliar-Experte Andreas Hölzli: «Zwei Dinge wären für die Unternehmen wichtig: Sie sollten über einen Notfallplan für solche Situationen verfügen. Und sie sollten die Mitarbeitenden schulen und sensibilisieren.» Solche Weiterbildungen finden jedoch in den wenigsten Unternehmen statt. Zwei Drittel der KMU führen weder regelmässige Mitarbeiterschulungen zum Thema Cybersicherheit durch, noch existiert ein Sicherheitskonzept. Und nur 17 Prozent schliessen eine Cyberversicherung ab. Woran das liegt? 39 Prozent denken, das sei «nicht notwendig», 16 Prozent wissen gar nicht, «dass es das gibt».
Daran hat auch der Lockdown wenig geändert. Während dieser Zeit haben nur 11 Prozent einen Notfallplan für die Sicherstellung der Geschäftsfortführung erstellt, nur 5 Prozent haben eine Cyberversicherung abgeschlossen. «Eine Cyberversicherung gewinnt an Bedeutung. Je mehr Geräte in irgendeiner Form für die Arbeit benutzt werden, desto grösser die Gefahren, denen man ausgesetzt ist. Kurz: Das Risiko, angegriffen zu werden, steigt mit der Digitalisierung des Geschäfts.»
Schwachstelle Mitarbeitende
Aber es geht nicht nur um Virenscanner, Firewalls und dergleichen. Das grösste Sicherheitsrisiko ist und bleibt der Mensch. Mitarbeitende im Homeoffice öffnen Phishing-Mails, laden E-Mail-Anhänge herunter oder versäumen Sicherheits-Updates. Ein falscher Klick genügt, und man öffnet Hackern die virtuelle Tür. «Wir beobachten, dass es während der Corona-Phase eine Zunahme von Phishing-Mails gibt. Das hat nicht direkt mit dem Homeoffice und der Arbeitssituation zu tun. Es gibt zum Beispiel vermehrt gefälschte Mails von Paketdiensten, weil viele Menschen sich derzeit Waren auf diese Art und Weise liefern lassen.» Da im Homeoffice oftmals auf dem persönlichen PC Firmendaten verarbeitet werden, kann ein falscher Klick in einer privaten E-Mail auch fürs KMU Schaden anrichten.
«Phishing ist das grösste Risiko», sagt denn auch Experte Andreas Hölzli. Phishing setzt auch voraus, dass ein Mensch einen falschen Klick tätigt. Hölzli ergänzt: «Wie gesagt: Mit der Digitalisierung steigt die Gefahr einer Attacke via Internet. Und es steigt auch die Wahrscheinlichkeit, dass die Systeme dann nicht nur für eine lange Kaffeepause von einer oder zwei Stunden nicht mehr verfügbar sind. Sondern für Tage, und der finanzielle Schaden mit Umsatzeinbussen und Mehrkosten kann schnell immens werden. Nebst dem monetären Schaden kostet es aber auch Zeit und Nerven, um die IT-Systeme wieder zum Laufen zu bringen.»