Neue Studie zum Cyberschutz: KMU setzen auf technische Massnahmen – und bleiben angreifbar Immer mehr Schweizer KMU schützen sich vor Cyberangriffen. Dies zeigt eine aktuelle Studie zu Homeoffice und Cybersicherheit. Aber genau dort, wo Hacker am häufigsten angreifen, tut sich noch zu wenig.
Immer mehr Schweizer KMU schützen sich vor Cyberangriffen. Dies zeigt eine aktuelle Studie zu Homeoffice und Cybersicherheit. Aber genau dort, wo Hacker am häufigsten angreifen, tut sich noch zu wenig.
Letztes Jahr wurde ein Viertel der KMU mindestens einmal Opfer einer Attacke, dieses Jahr sind es bereits ein Drittel. Wie stark Cyberangriffe seit Pandemiebeginn noch einmal zugenommen haben, ist eines der Ergebnisse der repräsentativen Studie von digitalswitzerland, der Fachhochschule Nordwestschweiz, der Schweizerischen Akademie der Technischen Wissenschaften, gfs-zürich und der Mobiliar. Über 500 Geschäftsleitende äusserten sich darin zu den Themen Homeoffice, Cybersicherheit und Datenschutz. Es ist die zweite Studie dieser Art seit Pandemiebeginn.
Via Schadsoftware, Online-Betrug, Datendiebstahl, Erpressung und mehr: Cyberattacken werden zwar häufiger, aber das Gefahrenbewusstsein der KMU ist gegenüber dem letzten Jahr nur leicht gestiegen. Je besser die Befragten zum Thema Cyberrisiko informiert sind und je bewusster ihnen die Bedrohung ist, desto mehr setzen sie Schutzmassnahmen um. Technische Massnahmen werden dabei besonders oft ergriffen, während die organisatorischen noch vernachlässigt werden.
Lücken im Cyberschutz
«Im organisatorischen Bereich gibt es noch viel Potenzial», sagt Andreas Hölzli, Leiter Kompetenzzentrum Cyber Risk bei der Mobiliar. Gerade dort, wo Cyberkriminelle am häufigsten angreifen – bei den Mitarbeitenden – harzt es mit der Planung und Umsetzung von Schutzmassnahmen. Nur knapp die Hälfte der Schweizer KMU verfügt über ein IT-Sicherheitskonzept und nur zwei Fünftel schulen ihre Mitarbeitenden regelmässig oder führen IT-Sicherheitsaudits durch.
Geht es denn bei Cyberschutz nicht in erster Linie um die Technik? «Nein», sagt Andreas Hölzli. «Technische Massnahmen sind sehr wichtig, aber nur ein Teil eines Cybersicherheitskonzepts. Es braucht auch organisatorische Massnahmen und sichere Prozesse.» Und einem zweiten Missverständnis begegnet er immer wieder: «Viele denken, dass man einmalig Cyberschutzmassnahmen ergreifen kann und dann ist gut. Aber Cybersicherheit im Unternehmen ist eine permanente Aufgabe. Denn Cyberrisiken sind dynamisch, sie verändern sich laufend.»
Mitarbeitende für die Risiken sensibilisieren
Andreas Hölzli nennt Beispiele dafür, wo sich Cyberrisiken entwickeln: Zum Beispiel werden neue Schwachstellen in einer Software bekannt, die Hacker ausnützen können. Oder Prozesse sind nicht sauber definiert und ehemalige Mitarbeitende haben noch Zugriff auf die Firmensysteme. Oder dann der menschliche Faktor: Mitarbeitende können im stressigen Alltag schnell einmal vergessen, die Mailabsender genau zu prüfen und fallen auf ein Phishing-Mail herein.
KMU-Studie zur Cybersicherheit
KMU bei ihren digitalen Herausforderungen unterstützen und stärken: Das will die zweite Studie zu Homeoffice und Cybersicherheit seit Pandemiebeginn, an der sich über 500 KMU aus der ganzen Schweiz beteiligten. Durchgeführt wurde die Studie von digitalswitzerland, der Fachhochschule Nordwestschweiz, der Schweizerischen Akademie der Technischen Wissenschaften, gfs-zürich und der Mobiliar. Die Studienresultate sind mit Grafiken, ergänzenden Artikeln sowie Ratgebern zum Cyberschutz verfügbar auf mobiliar.ch/kmu-studie.
Was sind geeignete Massnahmen, um auch nicht-technische Cyberrisiken zu senken? «Am wichtigsten ist die regelmässige Sensibilisierung der Mitarbeitenden», sagt Andreas Hölzli. «Es reicht eine unachtsame oder unwissende Person, die ihre Daten am falschen Ort eingibt, und das Unglück ist geschehen.» Ein KMU kann das Thema selber intern angehen oder dafür externe Anbieter wie die Mobiliar einspannen, die solche Trainings inklusive Phishing-Simulationen virtuell durchführen.
Vorbereitet sein
Als weitere wichtige Massnahme im Hinblick auf den Cyberschutz nennt Andreas Hölzli ein vollständiges Inventar der IT-Infrastruktur: «Oft wissen Unternehmen gar nicht, was ihre Hard- und Software alles umfasst und ob die ganze IT-Infrastruktur konsequent gewartet wird. Die RedBox, ein Service der Mobiliar, hilft unter anderem, den Überblick über die IT-Infrastruktur zu behalten.» Besonders für den Fall eines Angriffs seien auch klare Zuständigkeiten und Abläufe elementar. «Denn ist die Cyberattacke im Gang und die Systeme blockiert, ist es zu spät, um ein Notfallkonzept zu entwickeln. Es muss vorher definiert werden, wie im Krisenfall das Geschäft weitergeführt werden soll.»
Trotz aller Vorsicht: Weil sich Cyberrisiken schnell verändern, kann eine Attacke nie ganz ausgeschlossen werden. Dann steht einem Unternehmen der IT-Dienstleister bei. Und die Cyberversicherung: «Eine Cyberversicherung unterstützt, wenn etwas passiert und deckt die Kosten, damit möglichst bald wieder gearbeitet werden kann», sagt Andreas Hölzli. Zumindest der finanzielle Schaden wird damit in Grenzen gehalten.
Dieser Artikel wurde von Martina Schäfer verfasst und von NZZ Content Creation im Auftrag der Mobiliar produziert.