Fast jedes dritte Schweizer KMU wurde schon einmal Opfer von Cyberattacken. 2022 gaben 31% der Befragten an, schon einmal angegriffen worden zu sein, etwas weniger als im Jahr davor (36%). Während sich Hacker weiter professionalisieren, haben Unternehmen, vor allem KMU, weiterhin Mühe, mit Massnahmen Schritt zu halten. In der dritten Studie zu Homeoffice und Cybersicherheit in Schweizer KMU zeigt sich: Zwar schätzen die KMU das Risiko, durch eine Cyberattacke einen Tag ausser Gefecht gesetzt zu werden, etwas höher ein als im Vorjahr – aber auf tiefem Niveau. Nur etwa 18 Prozent der Befragten halten das Risiko für sehr oder eher hoch.

Das unsichtbare Risiko

Cyberrisiken sind unsichtbar und schwer fassbar. Aber Simon Seebeck, Experte für Cyberschäden der Mobiliar, weiss genau, was Hacker zum Beispiel mit Erpressersoftware anrichten können. «Nach einer Cyberattacke dauert es im Schnitt einen Tag bis zwei Tage, bis wieder gearbeitet werden kann – falls es ein vollständiges Backup gibt», sagt er. «Sonst geht für längere Zeit nichts mehr.» Er und sein Team unterstützen KMU, die eine Cyberversicherung haben, den Schaden einzugrenzen. Aber das Vertrauen der Kund:innen und die Reputation können Schaden nehmen, den auch eine Versicherung nicht kompensieren kann.

Je informierter, desto mehr Schutzmassnahmen

Zum Thema Cybersicherheit fühlen sich die KMU-Geschäftsleitenden weiterhin recht gut informiert, die Hälfte davon eher oder sehr gut. Je höher der selbst eingeschätzte Informationsgrad der KMU-Geschäftsleitenden ist, desto eher werden Massnahmen ergriffen. Dabei werden vor allem technische Massnahmen wie regelmässige Softwareupdates (86%) und die Sicherung von WLAN-Netzwerken mit Passwörtern (82%) umgesetzt. Bei den organisatorischen Massnahmen gibt es jedoch weiterhin viel Potenzial. 

Kein Cyberschutz ohne informierte Mitarbeitende

Dass KMU vor allem im organisatorischen Bereich noch wenig Massnahmen ergreifen, um ihr Unternehmen vor Cyberattacken zu schützen, nimmt Simon Seebeck etwas besorgt zur Kenntnis. «Wir nutzen jede Gelegenheit, um KMU für Cyberschutz zu sensibilisieren, gerade was die organisatorischen Massnahmen angeht», sagt er. «Die meisten Cyberattacken zielen auf die Mitarbeitenden. Diese müssen wissen, wie sie sich und ihr Unternehmen schützen können.»

Viele nützliche Helfer

Die Mobiliar hat zusammen mit einem Partner ein eigenes Sensibilisierungstraining entwickelt, bei dem das Wissen der Mitarbeitenden mit simulierten Attacken getestet und mit Online-Schulungen verbessert wird. Auch zur Unterstützung technischer Massnahmen gibt es Hilfe. «RedBox» heisst ein Schwachstellen-Scanner, der Sicherheitslücken in der IT-Infrastruktur entdeckt und Lösungen empfiehlt, um sie zu schliessen. KMU können den RedBox-Schwachstellen-Scan abonnieren und so in Zusammenarbeit mit ihrem IT-Partner ihre Cyberabwehr stärken. Wie wichtig der IT-Dienstleister für KMU ist, belegt die Studie ebenfalls. Wer einen hat, setzt mehr Schutzmassnahmen um. 

Für Simon Seebeck ist aus Schadensicht noch ein anderes Resultat der Studie interessant. «Unternehmen, die schon einmal eine Cyberattacke erlebt haben, erhöhen ihre Schutzmassnahmen eher als andere», sagt er. «Kein Wunder, das möchte man kein zweites Mal.»