Cyberattacken: KMU unterschätzen die Gefahr Um Risiken zu senken, braucht es Sensibilisierungsmassnahmen und die Vorbereitung von Notfallszenarien. Das zeigt eine aktuelle Studie der ZHAW und von Allianz Suisse.
Um Risiken zu senken, braucht es Sensibilisierungsmassnahmen und die Vorbereitung von Notfallszenarien. Das zeigt eine aktuelle Studie der ZHAW und von Allianz Suisse.
Geht es um die Sicherheit bezüglich Cyberattacken, hängt hierzulande ein Grossteil des Erfolges von den Mitarbeitenden in den kleinen und mittleren Unternehmen (KMU) ab: Zwar sind sie sich der allgemeinen Risiken und des grossen Schadenpotenzials eines Angriffs bewusst. Allerdings schätzen sie ihr eigenes Unternehmen und sich selbst nicht als wichtig genug ein, um ein lohnendes Ziel darzustellen. Diese Haltung kann Mitarbeitende dazu verleiten, nicht genügend wachsam zu sein. Zu diesen Resultaten kommt eine Studie der ZHAW School of Management and Law in Zusammenarbeit mit Allianz Suisse. Die Forschenden haben dafür im September 2020 vertiefte Interviews mit Mitarbeitenden aus ausgewählten KMU geführt, um ihre Haltungen und die Treiber von Entscheidungen zu verstehen, die hinsichtlich Cyberrisiken getroffen werden.
Aktuell verbreitetes Homeoffice verstärkt Risiken
«Cyberkriminelle zielen in der Regel auf Menschen und versuchen über sie eine Schadsoftware in das Unternehmenssystem einzuschleusen oder an Passwörter zu gelangen. Die Einstellung und das Verhalten der Mitarbeitenden sind daher entscheidend für die Abwehr von Angriffen», sagt Carlos Casián, Co-Autor der Studie und Underwriter Sach / Cyber Risk bei Allianz Suisse. Gerade in der heutigen Zeit, in der viele Mitarbeitende von zu Hause aus arbeiteten, würden die Risiken steigen: «Einerseits spielen technische Aspekte wie externe Zugriffe auf das Unternehmensnetzwerk eine Rolle. Andererseits ist der Ad-hoc-Austausch mit Kolleginnen und Kollegen über verdächtige E-Mails schwieriger, was Mitarbeitende anfälliger für Manipulationsversuche macht.» Gemäss der Studie assoziieren KMU-Mitarbeitende Cyberattacken primär mit geopolitischen Konfrontationen, Terrorismus oder dem organisierten Verbrechen. Die Schweiz hingegen sehen sie als Sphäre, die im Vergleich deutlich sicherer sei. «Das ist jedoch ein Trugschluss. Auch hierzulande waren rund ein Drittel der KMU schon Angriffen ausgesetzt», sagt Studienleiter Carlo Pugnetti, Dozent an der ZHAW School of Management and Law.
Cyberattacken betreffen nicht nur Spezialistinnen und Spezialisten
Bei der Erkennung einer konkreten Attacke auf das eigene Unternehmen und der Reaktion darauf fühlen sich die befragten KMU-Mitarbeitenden relativ hilflos. Sie gehen in einem solchen Fall jedoch davon aus, dass Spezialistinnen und Spezialisten helfen würden. Diese Annahme kann eine gewisse Passivität fördern und Mitarbeitende dazu verleiten, die eigene Rolle bei der Minimierung von Cyberrisiken zu unterschätzen. Gleichzeitig zeigen die Studienresultate, dass KMU über eine Unternehmenskultur mit stark ausgeprägter Lösungsorientierung verfügen. Die Mitarbeitenden agieren entsprechend meist proaktiv und würden in einem konkreten Schadensfall bei dessen Bewältigung mithelfen wollen.
Mitarbeitende auf objektive Bedrohungen sensibilisieren
Um die Risiken und Auswirkung einer Cyberattacke zu reduzieren, geben die Autoren der Untersuchung eine Reihe von Empfehlungen: Diese umfassen unter anderem Informationsmassnahmen innerhalb der KMU, die Mitarbeitende für die objektive Bedrohung sensibilisieren und ihnen aufzeigen, wie sie zu deren Abwehr beitragen können. Weiter sollten die Unternehmen Strategien erarbeiten, um allfällige Attacken und damit verbundene Ausfälle von IT-Systemen zu bewältigen und diese Szenarien trainieren. Bei der Entwicklung entsprechender Lösungsstrategien sollten die Firmen ihre Mitarbeitenden aktiv einbeziehen und deren engagierte Arbeitshaltung nutzen.