Die aktuelle Studie zu Cyberschutz und Homeoffice in Schweizer KMU zeigt auf: 2021 und 2022 haben Schweizer KMU ihre Massnahmen zum Cyberschutz nicht ausgebaut – und dies, obwohl Cyberangriffe seit Kriegsbeginn in der Ukraine erneut zugenommen haben und Medien prominent berichten. Wo sehen Sie die Gründe? 
Es gibt sicher verschiedenste Gründe, die KMU davon abhalten, mehr in ihre Cybersicherheit zu investieren: Prioritäten im Kerngeschäft, ein wirtschaftlich schwieriges Umfeld, Fachkräftemangel etc. Viele wissen vielleicht auch nicht, wie sie das Thema anpacken sollen, haben die Ressourcen nicht oder wiegen sich in falscher Sicherheit mit dem Gedanken, dass der IT-Dienstleister schon weiss, was im Fall eines Angriffs zu tun ist.  

Trotzdem schätzen KMU-Geschäftsleitende Massnahmen zur Cybersicherheit gemäss der Studie als wichtig ein. 
Ja, genau. Zwei Drittel der KMU schätzen das Thema als wichtig ein, doch gehandelt wird zu wenig. Die Studie bestätigt damit die Diskrepanz zwischen Wissen und Handeln. Das hat unter anderem damit zu tun, dass Cybergefahren von blossem Auge nicht sichtbar sind und einfacher ignoriert werden können als andere Risiken. Dabei ist die Gefahr grösser, von einem Cybervorfall betroffen zu sein, als einen Wasserschaden im Büro zu haben. Es gibt auch keine Mindeststandards oder vorgeschriebene, regelmässige Kontrollen für eine sichere IT wie zum Beispiel für ein Auto. Ich hoffe, dass das Thema Cybersicherheit eine höhere Priorität in den Chefetagen erhält. 

Je höher der selbst eingeschätzte Informationsgrad zur Cybersicherheit, desto mehr Massnahmen werden umgesetzt, besagt die Studie. Was macht die Mobiliar, um ihre KMU-Kunden für den Cyberschutz stärker zu sensibilisieren? 
Wir unterstützen den Wissensaufbau, indem wir die möglichen Gefahren und Risiken aufzeigen und sie so greifbarer machen. Das tun wir zum Beispiel mit Fachreferaten und Ratgebern, prüfen und entwickeln aber auch neue innovative Formate. Dann bieten wir Services zur Prävention der Angriffe. Dazu gehören die kostenlose Cyber-Kurzbeurteilung als Orientierungshilfe sowie das kostenpflichtige Sensibilisierungstraining für Mitarbeitende. Die Cyberversicherung sichert die Unternehmen finanziell ab, wenn etwas passiert. Zur Versicherung gehört auch die Expertise unserer Partner in Krisenmanagement, Daten- und Systemwiederherstellung etc., damit ein Betrieb so rasch wie möglich weiterarbeiten kann.  

Am häufigsten werden von KMU die beiden Massnahmen «regelmässige Softwareupdates» und «Einsatz einer Firewall» umgesetzt. Geben diese beiden Massnahmen bereits einen brauchbaren Schutz vor Cyberattacken?  
Diese Massnahmen sind gut, aber nur die halbe Miete. Nicht weniger wichtig sind die Sensibilisierung der Mitarbeitenden im Umgang mit Gefahren in der digitalen Welt, Passwortregeln, regelmässige Datensicherung, das Erstellen eines Notfallplans und das stete Simulieren des Ernstfalls. Ein IT-Sicherheitskonzept muss sowohl technische als auch organisatorische Massnahmen beinhalten. Rund 80 % der KMU haben für diese Themen einen IT-Dienstleister. Die genauen Verantwortlichkeiten und die Aufgabenteilung zwischen KMU und IT-Dienstleister müssen klar in einem Zusammenarbeitsvertrag geregelt werden, der technische, organisatorische, prozessuale und rechtliche Themen umfasst. Auch wenn die IT-Security ausgelagert wird: Die Verantwortung dafür bleibt beim Chef oder der Chefin des KMU. 

Wie findet ein KMU den richtigen IT-Dienstleister, der auch auf dem Thema Cyberschutz fit ist? 
Ein guter Richtwert ist die ISO-Zertifizierung für Informationssicherheit (ISO27001). Ferner informiert auch das Gütesiegel «CyberSeal» der Allianz Digitale Sicherheit Schweiz über die Kompetenzen in dem Bereich. Es zeichnet IT-Dienstleister aus, die über das nötige Know-how zu technischen und organisatorischen Cyberschutzmassnahmen verfügen und ihre Kunden entsprechend professionell unterstützen können. 

Wie haben sich die gemeldeten Cyberschäden in den letzten Jahren entwickelt? 
Die Schäden von gestern sind nicht mehr die gleichen wie die von heute oder morgen. Betrügerische E-Mails zum Beispiel lassen sich heute nicht mehr auf den ersten Blick als solche erkennen. Momentan sehen wir am häufigsten Mitarbeitende, die auf Phishing-Versuche und verschiedene Betrugsmaschen hereinfallen und Hackern dadurch ermöglichen, Schadsoftware einzuschleusen. Dann sehen wir auch viele Cyberschäden, weil Hacker technische Mängel wie fehlerhafte Konfigurationen oder Lücken in Software ausnutzen. 

Wie verändern sich die Strategien der Cyberkriminellen?
Sie werden immer raffinierter, die Angreifer geduldiger und professioneller. Die Hacker machen sich künstliche Intelligenz und die unsichere weltpolitische Lage zu Nutze. Sie agieren leiser, nisten sich in Netzwerke ein und verschlüsseln oder stehlen die Informationen erst zu einem späteren Zeitpunkt. So weiss man später nicht genau, welche Daten gestohlen oder verändert wurden. Datendiebstähle werden schwerwiegender und vielschichtiger, der Kreis der erpressbaren Unternehmen wird breiter. Selbst Cloud-Dienstleister sind nicht vor Cyberangriffen gefeit. Daten werden jetzt oft nicht “nur” verschlüsselt, sondern auch öffentlich gemacht. Und nicht nur das Unternehmen wird erpresst, sondern auch diejenigen Personen, deren Daten gestohlen wurden: Kundinnen und Kunden, Mitarbeitende, Geschäftspartner etc. Mit dem neuen Datenschutzgesetz, das am 1. September 2023 in Kraft getreten ist, besteht nun eine Meldepflicht beim Eidgenössischen Datenschützer, wenn Cybervorfälle besonders schützenswerte Personendaten betreffen. 

Wenn ein KMU eine Cyberversicherung abschliesst, braucht es dann keine Cyberschutzmassnahmen mehr zu treffen? 
Doch, unbedingt! Eine Cyberversicherung kann keine Cyberattacke verhindern, sie hilft finanziell im Schadenfall. Eine Cyberversicherung sieht sogar vor, dass der Kunde gewisse Sicherheitsmassnahmen implementiert hat, wie zum Beispiel ein regelmässiges Backup macht, Software aktuell hält und einen Virenscanner einsetzt.  

Wohin geht der Weg der Mobiliar im Thema Cyberschutz? Welche zusätzlichen Angebote und Services sind vorgesehen?
Genauso wie sich die Strategien der Hacker weiterentwickeln, entwickeln auch wir die Unterstützung für unsere Kunden weiter. In Zukunft wollen wir unser Angebot an Cyberservices weiter ausbauen. Wir testen zurzeit ein spezielles Weiterbildungsformat für KMU, mit dem wir Cyberrisiken auf spielerische Art und Weise erlebbar machen. Damit steigern wir die Cyberfitness der KMU.