Cyberkriminelle entwickeln immer wieder neue Strategien, um an Daten und Geld zu gelangen. Die Folgen von Angriffen gleichen sich: ein Betriebsunterbruch, der mehrere Tage dauern kann, verlorene Daten, viel Aufwand und Kosten – vielleicht kommt sogar ein Imageschaden dazu.

Es werden immer mehr

Cyberangriffe auf Unternehmen nehmen weltweit schon seit Jahren zu – erst recht seit Beginn der Covid-19 Pandemie. Denn je mehr Geräte über das Internet verknüpft sind und Betriebsabläufe digitalisiert werden, desto angreifbarer wird ein Unternehmen gegenüber Hackern. Treffen kann es jeden: kleine Firmen genauso wie grosse, hoch digitalisierte Branchen genauso wie handwerkliche Betriebe.

Die meisten Unternehmen sind ungenügend geschützt

Gerade kleine und mittlere Unternehmen unterschätzen gemäss einer aktuellen Schweizer KMU-Studie das Risiko. Damit haben Angreifer oft leichtes Spiel. Denn Back-ups, Antiviren-Software und Firewalls sind nur drei von vielen Massnahmen, die es braucht, um ein Unternehmen wirksam zu schützen.

Wie mache ich mein Unternehmen sicherer?

Massnahmen zum Cyberschutz sollten Sie auf verschiedenen Ebenen angehen: bei den Mitarbeitenden, der IT-Infrastruktur und den Prozessen. Was das konkret heisst, haben wir Ihnen in diesem Ratgeber für mehr Cybersicherheit zusammengestellt.

• Mitarbeitende informieren und sensibilisieren
• Überblick über die IT-Infrastruktur verschaffen
• Sicheres Arbeiten auch auf Distanz
• Zugriffe schützen und verwalten
• Alle Aktualisierungen durchführen
• Automatische Helfer installieren
• Rechte verwalten
• Sicher Geld fliessen lassen
• Richtig Daten sichern
• Risiken überwachen – und bereit sein, falls doch etwas passiert

Mitarbeitende informieren und sensibilisieren

• Die meisten Cyberattacken finden via E-Mail statt. Sensibilisieren Sie Ihre Mitarbeitenden mindestens einmal pro Jahr für den Cyberschutz: Wie läuft eine Cyberattacke ab? Was sind die Folgen? Wie gehe ich sicher mit vertraulichen Daten um, wie mit E-Mail und Internet? Fragen wie diese sollten auch mit neuen Mitarbeitenden frühzeitig besprochen werden. Erfahren Sie mehr dazu in unserem Ratgeber «Cyberschutz: Die fünf wichtigsten Regeln für Mitarbeitende».
• Erstellen Sie Richtlinien für den korrekten Umgang mit Daten, Passwörtern und Datenträgern.
• Bestimmen Sie Verantwortliche für IT-Sicherheit, an die sich die Mitarbeitenden mit Fragen wenden können.

Überblick über die IT-Infrastruktur verschaffen

• Viele Unternehmen sind sich gar nicht bewusst, was ihre IT-Infrastruktur alles umfasst. Dazu gehören zum Beispiel auch der Webshop, die Webseite, Produktionsmaschinen oder das Badge-System. Verschaffen Sie sich einen Überblick über alle Systeme und Geräte sowie deren Anforderungen an die Wartung.
• Legen Sie ein Inventar Ihrer Software an, um alle Sicherheitsupdates regelmässig und vollständig durchzuführen.
• Führen Sie auch ein Register aller Datensammlungen, um den Vorschriften für Datenschutz gerecht zu werden.

Sicheres Arbeiten auch auf Distanz

• Das Homeoffice hat mit der Pandemie an Bedeutung gewonnen. Erstellen Sie Richtlinien für das sichere Arbeiten ausserhalb des Firmenbüros.
• Auch auf privaten Geräten, die für den Zugriff auf das Firmennetzwerk benutzt werden, müssen regelmässig Sicherheitsupdates installiert werden.
• Sorgen Sie ausserdem für sichere digitale Tunnel ins Firmennetzwerk (Remote Access Service, Virtual Private Network VPN), die nur durch Passwort- und zusätzliche Code-Eingabe (2-Faktor-Authentifizierung) zugänglich sind.
• Achten Sie darauf, welche Konferenz-Tools Sie nutzen. Für geschäftliche Online-Meetings sollten nur Plattformen eingesetzt werden, die von Ihren IT-Verantwortlichen als sicher bewertet wurden.

Zugriffe schützen und verwalten

• Schützen Sie den Internetzugang mit Firewalls, das Wifi-Netzwerk mit dem Verschlüsselungsprotokoll WPA2 und Ihre Webseite mit einer Web Application Firewall (WAF).
• Schränken Sie die Nutzung bestimmter Webseiten auf Firmengeräten ein, sofern sie für die Arbeit nicht benötigt werden.
• Segmentieren Sie Ihr Netzwerk in verschiedene Zonen, um die Erreichbarkeit sensibler Daten und Systeme einzuschränken.

Alle Aktualisierungen durchführen

• Je älter eine Software oder ein Betriebssystem, desto mehr Informationen gibt es über deren Schwachstellen. Diese können von Hackern ausgenutzt werden. Führen Sie deshalb laufend Systemaktualisierungen durch und folgen Sie den Empfehlungen der Hersteller.
• Alle Einstellungen für Kennwörter oder Systemkonfigurationen sollten immer auf dem neuesten Stand sein.
• Vergessen Sie auch nicht, das Content Management System Ihres Webauftritts aktuell zu halten.

Automatische Helfer installieren

• Installieren Sie auf allen Geräten professionelle Anti-Schadsoftware (Antivirus, Antispyware). Sie sollte immer aktiviert und automatisch aktualisiert werden, um wirksam zu arbeiten. Dabei sollten vollständige Systemscans durchgeführt werden.
• Falls für Ihr Unternehmen die permanente Verfügbarkeit des Webshops wichtig ist, kann sich der Kauf eines (D)Dos-Schutzes bei einem grossen Provider lohnen. Bei einem (D)Dos-Angriff ((Distributed) Denial of Service) wird ein Internetdienst mit einer Flut von Anfragen gezielt von Hackern überlastet. Dadurch ist der Dienst nur noch verzögert oder gar nicht mehr erreichbar.

Rechte verwalten

• Unterscheiden Sie zwischen normalen IT-Anwendern und Administratoren. Alle IT-Anwenderinnen und Anwender sollten namentlich identifiziert sein und nur auf die Systeme und Ablagen zugreifen können, mit denen sie arbeiten.
• Es darf nur Software installiert werden, die für die Arbeit zwingend notwendig ist.
• Wenige ausgewählte Administratoren verwalten die Benutzerkonten, überwachen die Aktivitäten, geben Zugriffsrechte, machen Software-Aktualisierungen etc.

Sicher Geld fliessen lassen

• Grössere Geldüberweisungen, die über digitale Zahlungssysteme durchgeführt werden, sollten nicht von einer Person allein, sondern nach dem Vier-Augen-Prinzip getätigt werden.
• E-Mails sind für Geldtransfers tabu. Sicherer ist per Post oder in dringenden Fällen und für Rückfragen per Telefon. Die Zahlungen können danach per E-Banking freigegeben werden.
• Deaktivieren Sie Zahlungen in Länder oder Regionen, in denen Ihr Unternehmen geschäftlich gar nicht tätig ist.

Richtig Daten sichern

• Indem Sie die Daten Ihres Unternehmens mindestens einmal pro Woche vollständig sichern, reduzieren Sie den Schaden, den eine Cyberattacke anrichten kann.
• Bewahren Sie diese Back-ups am besten an einem anderen Standort auf und auf jeden Fall getrennt vom Firmen-Netzwerk.
• Testen Sie regelmässig, ob sich die Daten vom Back-up tatsächlich wiederherstellen lassen.
• Noch sicherer ist es, die Daten redundant, also doppelt zu speichern. Die beiden Speicherserver sollten an unterschiedlichen Orten stehen.

Risiken überwachen – und bereit sein, falls doch etwas passiert

• Seien Sie für den Fall, dass es zu einer erfolgreichen Hackerattacke kommt, gut vorbereitet: Machen Sie eine Risikoabschätzung und eine Notfallplanung. Bestimmen Sie, wer für Krisenmanagement, Kommunikation etc. zuständig ist.
• Überlegen Sie sich, wie Sie die Geschäftstätigkeit aufrechterhalten, falls Sie den Zugriff auf die Systeme oder Ihre Daten verlieren.
• Beziehen Sie in Ihr Cyber-Risikomanagement auch Ihre IT-Partner ein und, wenn sinnvoll, weitere Geschäftspartner und Lieferanten.
• Angriffsversuche lassen sich mit einem Netzmonitoring und in den Systemprotokollen (Logdateien) erkennen.
• Vergessen Sie nicht, eine erfolgreiche Cyberattacke der Polizei zu melden.

Weiterführende Informationen:

• Nationales Zentrum für Cybersicherheit mit aktuellen Informationen über Cyberkriminalität in der Schweiz sowie der Meldestelle für Cyberattacken
• Cybercrimepolice.ch: Die Kantonspolizei Zürich publiziert tagesaktuelle Informationen und Warnungen über Cyberkriminalität
• ibarry.ch: die Plattform für Internet-Sicherheit der Schweizer Wirtschaft und Behörden
• Cyberabwehr stärken: Mit dem Cyber-Sensibilisierungstraining der Mobiliar für Mitarbeitende
• Unterstützung, falls doch etwas passiert: Unsere Cyberversicherung für Unternehmen