Information & Cyber Security, Privacy,

Rund ums Departement,

Weiterbildung

Cyber Crime: Wie sich KMU besser schützen

Cyber Crime: Wie sich KMU besser schützen
Cyberkriminalität kann alle Unternehmen treffen – je ungeschützter, desto wahrscheinlicher. Eine Studie zeigt: Viele KMU unterschätzen diese Gefahr (Bildquelle: Pixabay).

Jedes dritte Schweizer KMU wurde schon einmal Opfer eines folgenschweren Cyberangriffs. Versicherungsgesellschaften helfen dabei, dass sich auch kleine und mittlere Unternehmen effektiv schützen können: mit Versicherungsschutz und Cyberrisiko-Management.

Von Gastautor und CAS-Teilnehmer Christoph Clavadetscher

Gerade während der Pandemie investierten Unternehmen viel in die Digitalisierung. Aber wie sah es mit den Investitionen in IT- und Informationssicherheit aus? Weniger gut. Doch je vernetzter unsere Welt ist, desto mehr Angriffspunkte gibt es für Hackerinnen und Hacker. Unternehmen sehen sich konfrontiert mit einer steigenden unsichtbaren Bedrohung durch Cyberkriminalität.

Es kann alle treffen

Grundsätzlich ist jedes Unternehmen ein mögliches Ziel – je ungeschützter, desto wahrscheinlicher. KMU unterschätzen diese Gefahr, wie eine Studie zu Homeoffice und Cybersicherheit ergab. Die vorherrschende Denkweise: Mein Unternehmen ist für Cyberkriminelle nicht interessant. Oder: Ich bin ja vorsichtig im Internet, da kann nichts passieren. Doch der Anteil der Betroffenen stieg von 25 Prozent im Jahr 2020 auf 36 Prozent im Jahr 2021 deutlich an – jedes dritte Schweizer KMU wurde schon Opfer einer folgenschweren Cyberattacke.

Cyberkriminelle greifen oft erfolgreich an, indem sie die IT-Systeme ihrer Opfer mit Schadsoftware infizieren. Regelmässige Software-Updates können davor schützen. (Quelle: KMU-Studie zu Homeoffice und Cybersicherheit 2021)

Die Strategien der Angreifenden

Hackerinnen und Hacker finden immer wieder neue Wege, um anzugreifen. Häufig infizieren sie IT-Systeme mit Schadsoftware. Danach verschlüsseln sie die Daten und stellen eine Lösegeldforderung: für die Datenentschlüsselung und auch für die Nichtveröffentlichung von gestohlenen vertraulichen Daten. Zugang verschaffen sich die Angreifenden meist via betrügerische E-Mails, sogenannte Phishing-Mails. Oder sie nutzen offene Ports im IT-Netzwerk.

Schwerwiegende Folgen

Nach einem Angriff müssen IT-Systeme neu aufgesetzt werden, Daten gerettet und wiederhergestellt, Back-ups aufwendig eingespielt und Notfallorganisationen – falls vorhanden – eingesetzt werden. KMU kommt eine Cyberattacke oft teuer zu stehen. Sie müssen nicht nur die finanziellen Verluste und den Betriebsunterbruch verkraften. Auch die Firmenreputation leidet.

Eine neue Betrachtungsweise

Ein Brand im Betrieb, ein Wasserleck – solche Risiken sind altbekannt. Ganz im Gegensatz zum Cyberrisiko: Die Digitalisierung wirkt in alle Geschäftsprozesse hinein, die Abhängigkeit von der IT ist gross. Ausserdem ist das Cyberrisiko dynamisch und verändert sich laufend, zum Beispiel, wenn eine neue Applikation mit möglichen Schwachstellen installiert wird. Es braucht daher eine ganz andere Betrachtungsweise als klassische Risiken.

Cyberrisiko aktiv managen

Versicherungsgesellschaften helfen KMU dabei, ihr Cyberrisiko aktiv zu steuern. Zum einen übernehmen Cyberversicherungen die Kosten nach einem Angriff und helfen mit erfahrenen Fachpersonen, den Normalbetrieb so rasch wie möglich wiederherzustellen. Zum anderen unterstützen sie die Unternehmen mit Tools und Beratung beim Aufbau eines Cyberrisiko-Managements. Zuerst werden dabei potenzielle Risiken identifiziert, analysiert und bewertet. Danach kann entschieden werden, welche Massnahmen ergriffen werden, um das Risiko zu vermeiden, zu vermindern oder an die Versicherung zu überwälzen.

Grosser Hebel Prävention

Viele KMU haben bereits Antivirenprogramme und Firewalls und machen regelmässige Software-Updates sowie Back-ups. Handlungsbedarf besteht jedoch meist im organisatorischen Bereich: Eine gute Vorbereitung auf einen Cybervorfall – zum Beispiel mit einem Krisenmanagement – hilft nach einem Angriff, schnell wieder produktiv zu sein. Auch die regelmässige Sensibilisierung der Mitarbeitenden für den richtigen Umgang mit Passwörtern, E-Mail und Internet ist sehr wichtig.

Verantwortung klar zuweisen

Zwei Drittel der KMU greifen für ihre digitale Transformation auf IT-Dienstleister zurück, aber nicht immer sind zwischen ihnen Verantwortlichkeiten und Zuständigkeiten für die Cybersicherheit geklärt. IT-Dienstleister sehen sich oft nur fürs Technische verantwortlich, während die KMU organisatorische Massnahmen ergreifen sollten – was ihnen manchmal gar nicht bewusst ist.

Durch Risikodialog resilienter werden

Fazit: Damit ein KMU widerstandsfähiger gegen Cyberrisiken wird, reichen punktuelle Massnahmen nicht aus. Es braucht einen Risikodialog zwischen Unternehmen, IT-Dienstleister und Versicherer. Die Digitalisierung der Geschäftsprozesse nimmt weiter zu und damit die Abhängigkeit von einer funktionierenden IT. Ein Cyberrisiko-Management sollte daher in der Verantwortung der Unternehmensleitung liegen. So können Lücken in der Cyberabwehr gezielt geschlossen werden – und das Unternehmen ist gut vorbereitet, falls es doch zu einem erfolgreichen Angriff kommt.

Quelle: Repräsentative Studien zu Homeoffice und Cybersicherheit in Schweizer KMU unter Beteiligung von digitalswitzerland, Fachhochschule Nordwestschweiz, Schweizerische Akademie der Technischen Wissenschaften, gfs-zürich und Mobiliar: KMU-Studie 2020 und KMU-Studie 2021.

Frage in die Runde: Wie schützen Sie Ihr Unternehmen vor Cyberangriffen? Bitte schreiben Sie dies ganz zuunterst in die Kommentarspalte!

Veröffentlicht am 8. März 2022, aktualisiert am 22. März 2022

Christoph Clavadetscher
Christoph Clavadetscher

Experte für Cyberversicherungen: Christoph Clavadetscher informiert am 17. März 2022 an der Veranstaltung Community im Gespräch über Cyberrisiko- Management für KMU. Er ist seit über drei Jahren im Kompetenzzentrum Cyber Risk bei der Versicherungsgesellschaft Mobiliar tätig. Clavadetscher bringt 22 Jahre Erfahrung in der Assekuranz in Produktentwicklung und Underwriting mit.

Er hat das CAS Information Security – Management an der Hochschule Luzern absolviert. Nun folgt das CAS Information Security – Technology. Clavadetscher strebt mit dem MAS Information & Cyber Security einen Masterabschluss an.

Community im Gespräch: Besuchen Sie unsere nächste Online-Veranstaltung. Oder blicken Sie auf eine Veranstaltung zurück: Am 17. März 2022 referierte Christoph Clavadetscher  über Cyber-Versicherungen. 

Christoph Clavadetscher gibt in diesem Community im Gespräch Einblicke zu aktuellen Fragestellungen und seiner operativen Arbeit. Diese Abendveranstaltung richtet sich an Projektverantwortliche, Führungskräfte und weitere Interessierte, die sich mit Produkt- und Serviceinnovationen im Cyber Risk oder mit Themen im entstehenden Ökosystem Cyber Risk auseinandersetzen. «Community im Gespräch» thematisiert regelmässig wichtige Aspekte und Trends der Digitalisierung. 

Bilden Sie sich weiter: Die Hochschule Luzern bietet zahlreiche Weiterbildungen im Bereich Information & Cyber Security | Privacy.

Welche Weiterbildung passt zu mir? Mit dem neuen Weiterbildungs-Konfigurator verschaffen Sie sich den Durchblick.

? Besuchen Sie unsere (Online-)Info-Veranstaltungen.

Gefällt Ihnen unser Informatik-Blog? Hier erhalten Sie Tipps und lesen über Trends aus der Welt der Informatik. Wir bieten Einsichten in unser Departement und Porträts von IT-Vordenkerinnen, Visionären und spannenden Menschen: Abonnieren Sie jetzt unseren Blog!

Kommentare

0 Kommentare

Kommentar verfassen

Danke für Ihren Kommentar, wir prüfen dies gerne.

Pin It on Pinterest