Was bedeutet die Tatsache, dass Unternehmen organisatorische Massnahmen tendenziell vernachlässigen, für deren Cybersicherheit? 
Ohne organisatorische Schutzmassnahmen ist ein Unternehmen ein einfacheres Ziel für Hacker. Sind die Mitarbeitenden nicht im sicheren Umgang mit IT-Systemen geschult, schützen auch die besten technischen Massnahmen nicht. Deshalb gehören in jedes IT-Sicherheitskonzept nebst technischen auch organisatorische Massnahmen. 

Welche organisatorische Massnahme ist die wichtigste? 
Meist ermöglichen Mitarbeitende kriminellen Hackern den Zugriff auf das Firmennetz. Von dort aus haben diese dann leichtes Spiel, um Schaden anzurichten. Die Sensibilisierung der Mitarbeitenden ist daher enorm wichtig. Sie sollten zu jedem Zeitpunkt fähig sein, Phishing-E-Mails zu erkennen, sichere Passwörter zu nutzen und nicht auf unbekannte, verdächtige Links zu klicken. 

Gibt es Zahlen dazu, wie oft es die Mitarbeitenden sind, die einem Hacker Zugang zum System verschaffen? 
Es gibt etliche Studien – zwischen 70 bis 95 % der erfolgreichen Cyberangriffe sind auf menschliches Versagen zurückzuführen. Unabhängig von der konkreten Zahl ist klar, dass der Mensch das Einfallstor Nummer 1 für Cyberangriffe ist. 

Bei Phishing-Attacken versuchen Cyberkriminelle über SMS, Telefon, E-Mail etc. an sensible Daten zu gelangen, um sich illegal zu bereichern. Mit welcher Art von Phishing-Angriff sind Hacker am erfolgreichsten?  
Am erfolgreichsten sind sie mit Themen, die sofort das Interesse des Opfers wecken: Wie Lohnvergleiche innerhalb der Firma über ein neues Tool, Aufforderung zur Zahlung der Zollgebühr für ein Paket oder Teilnahme an einer Verlosung. Über diese Themen versuchen Hacker mit verbalem Druck – so genanntem Social Engineering – eine schnelle Reaktion des Opfers auszulösen. Unter anderem wird nach Logindaten (Benutzername, Passwort) und Kreditkarteninformationen gefragt. Je weniger jemand Zeit zum Nachdenken hat, desto schneller passiert ein Fehler. Gerade KMU sind häufig Opfer von Phishing, meist per E-Mail, da sie als «einfachere» Opfer im Vergleich zu grösseren Unternehmen gelten. 

Wie können KMU ihre Mitarbeitenden für den Cyberschutz sensibilisieren? 
Eine mögliche Massnahme ist das Erstellen von Richtlinien für den sicheren Umgang mit Daten, Passwörtern und Datenträgern. Es braucht auch eine verantwortliche Person für IT-Sicherheit, an die sich die Mitarbeitenden mit Fragen wenden können. Dann gibt es verschiedene Arten von Sensibilisierungstrainings. Für KMU ideal sind zum Beispiel Videotrainings, die unkompliziert online absolviert werden können. In anschliessenden Phishing-Simulationen wird der Erfolg des Trainings getestet und das Bewusstsein der Mitarbeitenden weiter geschärft. Bei diesen Trainings geht es unter anderem um den Umgang mit E-Mails, das Trennen von Privatem und Beruflichem oder den Schutz sensibler Daten am Arbeitsplatz. 

Reicht ein einmaliges Training?  
Nein. Hacker finden immer raffiniertere und komplexere Angriffsmethoden. Deshalb ist es wichtig, dass die Mitarbeitenden regelmässig geschult und so immer auf dem aktuellen Stand sind. Zudem nimmt das Bewusstsein für Cybersicherheit nur zu, wenn dieses regelmässig thematisiert wird und damit das Verhalten zur Gewohnheit wird. Es braucht eine eigentliche Kultur der Cybersicherheit im Unternehmen. Diese Aus- und Weiterbildung ist nicht nur eine Investition in den Cyberschutz. Ein Unternehmen kann sich damit auch als verantwortungsbewusster Arbeitgeber positionieren. Cyberschutz ist ja nicht nur für Unternehmen wichtig, sondern auch für Privatpersonen. Mitarbeitende profitieren daher doppelt.  

Haben KMU überhaupt die finanziellen Mittel dazu?   
Oft haben KMU nur wenig oder kein Budget für Cybersicherheit reserviert. Wir empfehlen ihnen deshalb, das Thema ins Planungsbudget aufzunehmen, damit ausreichend Ressourcen dafür zur Verfügung stehen und es zuoberst auf der Tagesordnung bleibt. Wir spüren zwar, dass Cyberschutz immer mehr KMU beschäftigt, oft leider erst, nachdem sie schon einmal erfolgreich attackiert wurden.