die Mobiliar

«Verantwortlich sind immer die anderen»

Claude Messner ist Professor für Consumer Behavior an der Universität Bern. Gemeinsam mit der Marketing- & Unternehmensberatung effex haben er und sein Team letztes Jahr untersucht, warum sich KMU nicht besser vor Cyberangriffen schützen. 

Claude Messner, schon ein Drittel aller KMU wurde Opfer einer Cyberattacke. Sind sich die KMU der Gefahr nicht bewusst? 

Die Entscheiderinnen und Entscheider, die wir interviewt haben, kennen das Problem durchaus. Bei den Mitarbeitenden hingegen sieht es anders aus. Die meisten wissen nicht, dass das Einfallstor bei 70 Prozent der Cyberattacken die Mitarbeitenden sind. Sie sehen den Cyberschutz vor allem als technisches Problem, das die IT-Verantwortlichen betrifft und wiegen sich selbst in Sicherheit, auch aufgrund falscher Vorstellungen wie Cyberattacken funktionieren. Zum Beispiel wird unterschätzt, wie täuschend echt Phishing-Mails sein können. Ausserdem ist die Meinung stark verbreitet, dass Cyberattacken nur die anderen treffen, weil man selber viel zu unwichtig sei. Was natürlich nicht stimmt.  

Aber wenn die Vorgesetzten die Gefahr grundsätzlich kennen, warum werden dann nicht umfassendere Massnahmen ergriffen? 

Das Hauptproblem ist Verantwortungsdiffusion, das hat die Studie erstaunlich deutlich gezeigt. Das bedeutet konkret, die KMU schieben das Thema Cyberschutz den IT-Verantwortlichen zu. Diese setzen dann technische Massnahmen um wie Firewalls, Back-ups oder Passwort-Mindestanforderungen. Sie wissen zwar, dass die Mitarbeitenden die grösste Sicherheitslücke sind, aber sehen dort die KMU-Führung in der Verantwortung. Dessen sind sich die KMU meist gar nicht bewusst. Was herauskommt ist, dass dort, wo das Angriffsrisiko für Cyberattacken am grössten ist – bei den Mitarbeitenden – nichts getan wird, weil sich keiner zuständig fühlt.  

Wie können KMU dieses Problem lösen? 

Zum einen sollte Cyberschutz Chefsache sein und im Unternehmen permanent auf dem Tisch bleiben. Zum anderen geht es um gute Beratung und externe Anbieter. Ein möglicher Weg ist es, sich zusätzlich zum IT-Dienstleister einen unabhängigen Partner zu suchen, der die Gesamtsicht auf das Thema Cyberschutz einnimmt, Sicherheitslücken und Lösungen aufzeigt und allenfalls auch die Sensibilisierung der Mitarbeitenden übernimmt. Oder der IT-Dienstleister nimmt das Thema ins Portefeuille auf und kümmert sich selbst darum.  

Welche Möglichkeiten gibt es, Mitarbeitende zum richtigen Verhalten zu bewegen? 

Es gibt Unternehmen, die verteilen gedruckte Richtlinien oder führen Schulungen durch. Attraktiver wird das Thema Cyberschutz, wenn es interaktiv wird, zum Beispiel mit simulierten Attacken. Oder wenn es sogar einen spielerischen Charakter bekommt wie in Cyber Escape Rooms, in denen man selbst in die Rolle eines Hackers schlüpft. Aber wir alle haben die Tendenz, Unangenehmes von uns weg zu schieben. Zum Beispiel sind lange Passwörter zwar sicher, aber ich kann sie mir nicht merken. Oder jedes Mal die Frage, ob ich nun auf einen Link im Mail klicken soll. All das ist mühsam und hindert mich am effizienten Arbeiten. Deshalb spielt auch die Unternehmenskultur eine grosse Rolle, die sicheres Verhalten unterstützen und fördern kann. 

Portrait Claude Messner

Claude Messner, Professor für Consumer Behavior an der Universität Bern