KMUs schützen sich besser vor Hackern, doch Lücken bleiben
Immer mehr Schweizer KMUs ergreifen technische Massnahmen wie Sicherheitssoftware, Firewalls und Daten-Backups zum Schutz vor Cyberattacken. Dies zeigt eine repräsentative Studie zu Homeoffice und Cybersicherheit. Aber genau dort, wo Hacker am häufigsten angreifen, tut sich noch zu wenig.
2020 wurde ein Viertel der KMUs mindestens ein Mal Opfer eines Cyberangriffs, 2021 waren es bereits ein Drittel. Wie stark Cyberangriffe seit Anfang 2020 noch einmal zugenommen haben, ist eines der Ergebnisse der repräsentativen Studie von Digitalswitzerland, der Fachhochschule Nordwestschweiz, der Schweizerischen Akademie der Technischen Wissenschaften, GFS-Zürich und der Mobiliar. Über 500 Geschäftsleitende äusserten sich im Sommer 2021 zu den Themen Homeoffice, Cybersicherheit und Datenschutz. Die Ende November erschienene Studie ist die zweite dieser Art seit Pandemiebeginn.
Technische Massnahmen im Vordergrund
Cyberattacken werden zwar häufiger, aber das Gefahrenbewusstsein der KMUs nimmt im Vergleich nur leicht zu. Doch je besser die Befragten zum Thema Cyberrisiko informiert sind und je bewusster ihnen die Bedrohung ist, desto mehr setzen sie Schutzmassnahmen um. Technische Massnahmen werden besonders oft ergriffen, während organisatorische noch vernachlässigt werden. Gerade dort, wo Cyberkriminelle am häufigsten angreifen – bei den Mitarbeitenden – harzt es mit der Planung und Umsetzung von Schutzmassnahmen. Nur knapp die Hälfte der Schweizer KMUs verfügt über ein IT-Sicherheitskonzept und nur zwei Fünftel schulen ihre Mitarbeitenden regelmässig oder führen IT-Sicherheitsaudits durch.
Technische Schutzmassnahmen sind wichtig, aber nur ein Teil eines Cybersicherheitskonzepts. Es braucht auch organisatorische Massnahmen und sichere Prozesse. Viele KMUs sind der Meinung, dass einmalige Cyberschutzmassnahmen genügen. Aber Cybersicherheit im Unternehmen ist eine permanente Aufgabe: Zum Beispiel tauchen neue Schwachstellen auf oder ehemalige Mitarbeitende haben noch Zugriff auf die Firmensysteme.
(Source: zVg)
Mitarbeitende fit machen
Was sind geeignete Massnahmen, um auch nicht-technische Cyberrisiken zu senken? Am wichtigsten ist die regelmässige Sensibilisierung der Mitarbeitenden. Schnell wird im stressigen Alltag vergessen, Mail-Absender genau zu prüfen. Es reicht eine unachtsame oder unwissende Person, die ihre Daten am falschen Ort eingibt, und das Unglück ist passiert. Ein KMU kann das Thema selbst intern angehen oder dafür externe Anbieter einspannen, die solche Trainings inklusive Phishing-Simulationen virtuell durchführen.
Eine weitere wichtige Massnahme ist ein vollständiges Inventar der IT-Infrastruktur. Oft wissen Firmen nicht, was ihre Hard- und Software umfasst und ob die ganze IT-Infrastruktur konsequent gewartet wird. Besonders für den Fall eines Angriffs sind klare Zuständigkeiten und Abläufe elementar. Denn ist die Cyberattacke im Gang und sind die Systeme blockiert, ist es zu spät, um ein Notfallkonzept zu entwickeln. Es muss vorher definiert werden, wie im Krisenfall das Geschäft weitergeführt werden soll. Eine umfassende Vorbereitung hilft, schnell wieder handlungsfähig zu sein. Alle Studienresultate finden Sie auf der Webseite der SATW.
----------
Die Gefahr wird einfach verdrängt
Die Anzahl Cyberattacken nimmt jedes Jahr zu. Das Sicherheitsbewusstsein von KMUs steigt jedoch viel langsamer. Woran das liegt und welche Massnahmen KMUs in Angriff nehmen sollten, sagt Andreas Hölzli, Leiter Kompetenzzentrum Cyber Risk der Mobiliar. Interview: Coen Kaat
Die Studie zu Homeoffice und Cybersecurity zeigt, dass das Gefahrenbewusstsein der KMUs langsamer steigt als die Anzahl Attacken. Warum?
Andreas Hölzli: Zu diesem Thema haben wir eine Zusatzstudie machen lassen. Dort haben wir gesehen, dass KMUs zwar die allgemeine Wahrscheinlichkeit für einen Cyberangriff als hoch einschätzen, aber beim eigenen Unternehmen als klein. Viele glauben, bei ihnen gäbe es nichts zu holen, sie seien für Hacker uninteressant. Die Gefahr wird einfach verdrängt. Dabei ist jedes Unternehmen ein potenzielles Angriffsziel – je weniger gut geschützt, desto mehr.
Wo sehen Sie die Gründe dafür, dass KMUs organisatorische Massnahmen vernachlässigen?
Viele KMUs haben das Thema Cybersicherheit an ihren IT-Dienstleister ausgelagert. Der kümmert sich um die technischen Massnahmen. Für die organisatorischen ist niemand zuständig, weil das Wissen in den KMUs oft zu gering ist und viele IT-Dienstleister das Thema nicht abdecken. Sogar die technischen Massnahmen sind oft lückenhaft. Die meisten Firmen haben kein Inventar ihrer IT-Infrastruktur und daher auch keine Kenntnis darüber, wo überall Hacker angreifen könnten. Ein Schwachstellenscanner leistet gute Dienste, um sowohl ein vollständiges Inventar zu erstellen als auch immer zu wissen, wie exponiert die IT-Infrastruktur gegenüber möglichen Angriffen ist.
Welche organisatorischen Massnahmen sollten KMUs dringend umsetzen?
Wenn es um die Cybersicherheit geht, ist der Mensch der grösste Risikofaktor. Denn auch die besten technischen Massnahmen können nicht verhindern, dass jemand den Internetkriminellen bei einem Phishing-Angriff Tür und Tor öffnet. Deshalb sollten Mitarbeitende unbedingt zum Thema Cyberschutz geschult werden. Und zwar regelmässig, damit ihr Wissen aktuell ist und sie wachsam bleiben. Simulierte Phishing-Attacken und Online-Trainings, wie sie auch die Mobiliar anbietet, sind dafür eine gute Möglichkeit. Darüber hinaus gibt es eine Reihe weiterer Massnahmen: Zum Beispiel sichere Passwörter, das Trennen der privaten und beruflichen Nutzung der IT-Infrastruktur oder ein Notfallkonzept im Falle eines Cyberangriffs.
Worauf sollten KMUs beim Erstellen eines Notfallkonzepts achten?
Sie sollten in Szenarien denken: Was könnte bei einem Cyberangriff alles passieren? Wen muss ich nach einem Angriff in welcher Reihenfolge alarmieren? Welche Informationen brauche ich offline? Dazu gehören zum Beispiel Kontakte und Zugangsdaten zu Systemen und Backups. Ganz wichtig ist es, das Notfallkonzept auf Papier auszudrucken. Der beste Plan nützt nichts, wenn man im entscheidenden Moment nicht darauf zugreifen kann, weil die Systeme blockiert sind.
Wie hilfreich sind Cyberversicherungen für KMUs? Investiert man das Geld nicht lieber in die technische und organisatorische Cyberabwehr?
Das ist keine Frage des Entweder-oder. Es braucht Massnahmen auf unterschiedlichen Ebenen, aber ein Restrisiko wird bleiben. Und wenn etwas passiert, dann wird es schnell teuer. Man sollte daher genau analysieren, welche Cyberrisiken im Unternehmen bestehen, wie man sie senken kann, welche man akzeptiert und welche man auslagert, also versichert. Wenn ein Unternehmen nach einer Cyberattacke stillsteht, kommt die Cyberversicherung ins Spiel. Sie sorgt dafür, dass der Betrieb möglichst rasch wieder aufgenommen werden kann und übernimmt die Kosten, die dabei entstehen. Die schlechteste aller Strategien wäre es, das Risiko auf die leichte Schulter zu nehmen, nichts zu tun und nach einem Angriff einfach das Lösegeld zu zahlen. Denn wer einmal zahlt, wird oft erneut zum Opfer.
Florian Schütz nimmt an CyberUK und Counter Ransomware Initiative teil
Cyberkriminelle hebeln Zwei-Faktor-Authentifizierung aus
Wer um Himmels willen ist der Admin?
Die Swiss Digital Initiative aktualisiert Digital Trust Label
Was die Schweizer IT-Bedrohungslandschaft im April geprägt hat
Mögliches Datenleck bei Amazon bedroht Marketplace-Händler
Netrics ernennt Head of Cyber Security Services
Berner Fachhochschule schliesst Sicherheitslücke
iMath - das Geheimnis hinter Apples Preisberechnung
