Der Trend ist positiv und hat sich mit mehr Mitarbeitenden im Homeoffice verstärkt: Immer mehr Schweizer KMU setzen technische Massnahmen zum Schutz vor Cyberangriffen um, so zum Beispiel zusätzliche Sicherheitssoftware, Firewalls, bessere Passwörter, Daten-Backups etc. Aber reicht das?

Lücken im Cyberschutz

«Im organisatorischen Bereich gibt es noch viel Potenzial», sagt Andreas Hölzli, Leiter Kompetenzzentrum Cyber Risk bei der Mobiliar. Gerade dort, wo Internetkriminelle am häufigsten angreifen – bei den Mitarbeitenden – harzt es mit der Planung und Umsetzung von Cyberschutzmassnahmen. Die Studie «Homeoffice und Cybersicherheit in Schweizer KMU» von 2021 zeigt: Nur knapp die Hälfte der Schweizer KMU verfügt über ein IT-Sicherheitskonzept (47% ganz/voll und ganz) und nur zwei Fünftel schulen ihre Mitarbeitenden regelmässig (39%) oder führen IT-Sicherheitsaudits (37%) durch.

Organisatorische Massnahmen zur Erhöhung der Cybersicherheit
 

Technische Massnahmen zur Erhöhung der Cybersicherheit
 

Ein vielfältiges, dynamisches Risiko

Geht es denn bei Cyberschutz nicht in erster Linie um die Technik? «Nein», sagt Andreas Hölzli. «Technische Massnahmen sind sehr wichtig, aber nur ein Teil eines Cybersicherheitskonzepts. Es braucht auch organisatorische Massnahmen und sichere Prozesse.» Und einem zweiten Missverständnis begegnet er immer wieder: «Viele denken, dass man einmalig Cyberschutzmassnahmen ergreifen kann und dann ist gut. Aber Cybersicherheit im Unternehmen ist eine permanente Aufgabe. Denn Cyberrisiken sind dynamisch, sie verändern sich laufend.»

Mensch, Prozess, Technik

Er nennt Beispiele dafür, wo sich Cyberrisiken entwickeln: Zum Beispiel werden neue Schwachstellen in einer Software bekannt, die Hacker ausnützen können. Oder Prozesse sind nicht sauber definiert und ehemalige Mitarbeitende haben noch Zugriff auf die Firmensysteme. Oder dann der menschliche Faktor: Mitarbeitende können im stressigen Alltag schnell einmal vergessen, die Mailabsender genau zu prüfen und fallen auf ein Phishing-Mail («Phishing» im Glossar) herein.

Mitarbeitende fit machen

Was sind geeignete Massnahmen, um auch nicht-technische Cyberrisiken zu senken? «Am wichtigsten ist die regelmässige Sensibilisierung der Mitarbeitenden», sagt Andreas Hölzli. «Es reicht eine unachtsame oder unwissende Person, die ihre Daten am falschen Ort eingibt, und das Unglück ist geschehen.» Ein KMU kann das Thema selber intern aufnehmen oder dafür externe Anbieter wie die Mobiliar einspannen, die solche Trainings inklusive Phishing-Simulationen virtuell durchführen.

Vorbereitet sein

Als weitere wichtige Massnahme im Hinblick auf den Cyberschutz nennt Andreas Hölzli ein vollständiges Inventar der IT-Infrastruktur: «Oft wissen Unternehmen gar nicht, was ihre Hard- und Software alles umfasst und ob die ganze IT-Infrastruktur konsequent gewartet wird. Die RedBox, ein Service der Mobiliar, hilft unter anderem, den Überblick über die IT-Infrastruktur zu behalten.» Besonders für den Fall eines Angriffs seien auch klare Zuständigkeiten und Abläufe elementar. «Denn ist die Cyberattacke im Gang und die Systeme blockiert, ist es zu spät, um ein Notfallkonzept zu entwickeln. Es muss vorher definiert werden, wie im Krisenfall das Geschäft weitergeführt werden soll.»

Externe Unterstützung holen

Trotz aller Vorsicht: Weil sich Cyberrisiken schnell verändern, kann eine Attacke nie ganz ausgeschlossen werden. Dann steht einem Unternehmen der IT-Dienstleister bei. Und die Cyberversicherung: «Eine Cyberversicherung unterstützt, wenn etwas passiert und deckt die Kosten, damit möglichst bald wieder gearbeitet werden kann», sagt Andreas Hölzli. Zumindest der finanzielle Schaden wird damit sicher in Grenzen gehalten.

zurück