So schützen Sie Ihr KMU. Unsere drei Tipps für mehr Cyber-Sicherheit.

  • Die grösste Schwachstelle im Kampf gegen Cyber-Angriffe sind die Mitarbeitenden.
  • Eine Studie der Allianz und der ZHAW erklärt, wie KMU ihre Widerstandsfähigkeit bei einem Cyber-Angriff stärken können.
Die Zahl der Cyber-Angriffe auf Unternehmen steigt rasant an. Die grösste Schwachstelle und gleichzeitig die wichtigste Verteidigungslinie bilden die Mitarbeitenden. Besonders KMU sind in dieser Situation gefordert, um die Widerstandsfähigkeit bei einem Cyber-Angriff zu stärken. Eine Studie der Allianz und der ZHAW erklärt, wie das geht.
Finden Sie in nur 3 Minuten heraus, welche Versicherungen Ihr Unternehmen benötigt. Ganz einfach und direkt online.

Zahlreiche aktuelle Beispiele von Angriffen auf bekannte Schweizer Unternehmen zeigen, dass Cyber-Risiken gerade für KMU eine grosse Gefahr darstellen. Gemäss aktuellen Marktforschungsstudien wurde bereits jedes vierte KMU angegriffen – zum Teil mit fatalen Folgen. Dabei haben insbesondere Ransomware-Angriffe zugenommen, bei denen IT-Systeme verschlüsselt werden, um danach Geld für die Freigabe der Daten zu erpressen.

Cyber-Kriminelle konzentrieren sich bei einem Angriff in der Regel auf den einfachsten und effizientesten Zugang: die Mitarbeitenden. Sie starten mit einem Phishing-Mail, das beispielsweise einen Anhang oder einen Link enthält, der geöffnet oder angeklickt werden soll: Unbemerkt wird eine Schadsoftware installiert. «Die besten IT-Sicherheitsvorkehrungen helfen nichts, wenn sie über die Mitarbeitenden umgangen werden», warnt Carlos Casián, Cyber-Risk-Spezialist der Allianz Suisse und Co-Autor der Studie: «Wird der Einbrecher freiwillig ins Haus gelassen, nützt eine Alarmanlage oder Mehrfachverriegelung wenig.» Aufgrund der Covid-19-Massnahmen arbeiten viele Mitarbeitende im Home-Office und sind deshalb noch anfälliger auf Manipulationsversuche als sonst, denn sie können sich weniger gut mit Kolleginnen und Kollegen über verdächtige E-Mails austauschen.

Um herauszufinden, wie es um die Cyber-Sicherheit der Schweizer KMU-Landschaft steht, haben die Zürcher Hochschule für Angewandte Wissenschaften (ZHAW) und die Allianz eine gemeinsame Studie durchgeführt. Im September 2020 wurden exemplarisch Mitarbeitende von drei ausgewählten KMUs aus der Wärme- und Fertigungsindustrie mit der Methode der «Tiefen-Metaphern» interviewt. Die wichtigste Erkenntnis vorweg: Die Haltung der Mitarbeitenden gegenüber Cyber-Angriffen hat eine direkte Auswirkung auf die Cyber-Sicherheit der KMUs.

Positiv ist aufgefallen, dass die Angestellten einen guten Wissensstand hinsichtlich Cyber-Risiken und deren Auswirkungen haben. Sie erkannten auch ihre eigenen Anfälligkeiten. Das ist eine wichtige Grundlage, um bei einem Cyber-Angriff ihre Rolle als Verteidigerinnen und Verteidiger wahrzunehmen. Die Mitarbeitenden zeigten zudem, dass sie bei der Cyber-Sicherheit mitwirken wollen. «Den Interviewpartnern war es wichtig, das Problem rasch zu lösen, damit sie nach einem Cyber-Angriff so schnell wie möglich weiterarbeiten können», erklärt Dr. Carlo Pugnetti, Autor der Studie und Dozent an der ZHAW.

Gleichzeitig waren sie der Ansicht, als Person zu unwichtig zu sein, oder dass ihr Unternehmen zu klein sei, um als Angriffsziel zu gelten. Aufgrund fehlender IT-Kenntnisse neigten sie zudem dazu, die Verantwortung für die Cyber-Sicherheit an Dritte wie zum Beispiel IT-Dienstleister abzugeben. «Dieses systematische Problem muss angegangen werden», rät Dr. Carlo Pugnetti.

Aus dem ganzen Spektrum der Informationen und Beobachtungen wurden schlussendlich drei praxisnahe Empfehlungen für KMUs entwickelt. Im Zentrum stehen dabei das Aktivieren Ihrer Mitarbeitenden und das aktive Adressieren von Cyber-Risiken. Mit wachsamen und befähigten Mitarbeitenden ist Ihr Unternehmen besser auf einen Angriffsversuch vorbereitet. Sollte ein Angriff trotzdem gelingen, sorgen die vorbereiteten Mitarbeitenden und die eingeübten Wiederherstellungspläne zudem dafür, dass der Schaden möglichst gering bleibt.

 

1. Bewusstsein schärfen

  • Teilen Sie Statistiken (z. B. vom Nationalen Zentrum für Cybersicherheit; ehemals MELANI) und publizierte Fälle aus den Medien regelmässig, direkt und konsistent mit Ihren Mitarbeitenden.
  • Informieren Sie Ihre Mitarbeitenden regelmässig über die Anzahl misslungener Angriffe auf das IT-System Ihres Unternehmens
  • Kommunizieren Sie gleichzeitig getroffene Massnahmen zum Schutz Ihres Unternehmens (z. B. Implementierung neuer Virenerkennungssoftware, Upgrading der Firewalls).
  • Erinnern Sie Ihre Mitarbeitenden regelmässig an einfache Gewohnheiten, die sie verinnerlichen sollten, um das Risiko zu reduzieren, einem Phishing-Versuch zum Opfer zu fallen (z. B. wie ein Phishing-Mail erkannt werden kann).
  • Testen Sie Abwehrmechanismen der IT-Systeme und Anfälligkeiten der Mitarbeitenden – beispielsweise durch vorgetäuschte Phishing-Angriffe – und kommunizieren Sie die Ergebnisse.

 

2. Mitarbeitende befähigen

  • Ermutigen Sie Ihre Mitarbeitenden, sich an der Aufdeckung und Meldung von Angriffen zu beteiligen, um den Stellenwert ihrer Rolle beim Schutz des Unternehmens zu unterstreichen.
  • Bitten Sie externe Dienstleister wie IT-Provider, Mitarbeitende ebenfalls als Kunden einzubinden, anzuleiten, so intensiv wie möglich zu informieren und mitwirken zu lassen.
  • Prüfen Sie zusammen mit externen Dienstleistern, ob hilfreiche Tools implementiert werden können wie zum Beispiel ein einfacher Meldeprozess für verdächtige E-Mails oder dergleichen.
  • Binden Sie Ihre Mitarbeitenden in die Entwicklung von Lösungen mit ein (siehe nächste Empfehlung).

 

3. Wiederherstellungsmodus üben

  • Entwickeln Sie zusammen mit Ihren Mitarbeitenden Prozesse und Tools für den Fall, dass die IT-Infrastruktur nicht zur Verfügung steht. Das ist gleichzeitig eine Möglichkeit für Teambildung und für den Einsatz der Fachkenntnisse jedes Mitarbeitenden.
  • Prüfen Sie dabei, welche Informationen für Ihr Unternehmen entscheidend sind (z. B. Kunden- oder technische Produktdaten) und über Offline-Systeme bereitgestellt werden müssen, welche Aufgaben auf privaten Geräten erledigt werden können und was auf Papier aufbewahrt werden muss.
  • Definieren Sie exakte Trigger für den Betrieb im Wiederherstellungsmodus, die vom betroffenen System und der Ausfalldauer abhängen.
  • Testen und verbessern Sie Prozesse und Tools regelmässig unter realen Notfallbedingungen, und investieren Sie dafür ein bis zwei Tage im Jahr.

 

Diese Empfehlungen sind eine unterstützende Ergänzung zu den allgemeinen Schutzmassnahmen. Zudem hilft eine Cyber-Risk-Versicherung, Cyber-Risiken kontrollierbar zu machen.

von Carlos Casián und Carlo Pugnetti

Wie ist das Forschungsteam nach dem Ansatz der «Tiefen-Metaphern» vorgegangen?

  1. Die Interviewten wurden vorgängig gebeten, drei bis fünf Bilder im Internet zu suchen, die ihre Gefühle zur Frage «Wie fühlen Sie sich, wenn Sie von Cyber-Angriffen hören?» widerspiegelt.
  2. Die Bilder wurden mit den Interviewten besprochen, um den Grund für die Auswahl zu verstehen. Dadurch wurden unbewusste und emotionale Antriebskräfte an die Oberfläche gebracht, die ihr Verhalten und ihre Entscheidungen beeinflussen.
  3. Die Ergebnisse der Interviews wurden durch das Forschungsteam zusammengetragen, um wiederkehrende und zentrale Themen zu erkennen und daraus Empfehlungen abzuleiten.

Die Ergebnisse entstanden durch das Zusammenspiel der einzelnen Interviewten und der Analyse des Forschungsteams. Sie haben nicht den Anspruch, repräsentativ zu sein, erlauben aber ein tieferes Verständnis der Problemstellung.

Eliane, Segmentmanagerin Einzelleben, Allianz Suisse
Eliane
Senior Segmentmanagerin Unternehmenskunden

Eliane hat einen Master in Business Administration und über 14 Jahre Versicherungserfahrung. In Ihrer Freizeit bereitet sie sich auf den nächsten Rugby-Match vor oder cruist auf ihrem Motorrad durch die Schweiz.
EINEN TERMIN, BITTE!
Die optimale Versicherung für Sie? Finden wir bei einem persönlichen Termin. 
DAS KÖNNTE SIE AUCH INTERESSIEREN

Cyber Risk Versicherung
Die Digitalisierung birgt Gefahren. Durch Hacker, Betrug, Datendiebstahl oder Datenschutzklagen. Wir helfen Ihnen sich zu wehren.
Ransomware ist eine der grössten Cyber-Gefahren, von denen Unternehmen aktuell bedroht werden. 
Obwohl jedes dritte Unternehmen bereits Ziel von Viren-Attacken war, scheinen Schweizer KMU die Cyber-Risiken zu unterschätzen.
Folgen Sie uns