Cyberattacken: Weshalb bei KMU das Cyberrisiko am höchsten ist

Blogbild_Cyberattacken- Weshalb bei KMU das Cyberrisiko am höchsten ist

Die Zahl der Cyber­attacken in der Schweiz steigt Jahr für Jahr an und damit nimmt für KMU auch das Cyber­risiko stetig zu: Erpres­sungen über Ransom­ware, Daten­dieb­stahl über Phishing-E-Mails und Schad­software-Angriffe stellen eine echte Bedrohung für die Unter­nehmen dar. Warum aber rücken gerade kleine und mittlere Unter­nehmen immer stärker in den Fokus der Cyber­betrüger?



Im Jahr 2019 steht der Betrieb eines Schweizer Fenster­herstellers auf Grund einer Cyber­attacke fast einen Monat lang still – ein halbes Jahr später muss die Firma mit über 150 Mitar­beitenden Konkurs anmelden. Ein Beispiel das eindrücklich zeigt, dass ein einziger erfolgreicher Cyber­angriff reicht, um ein ganzes Unter­nehmen auszulöschen.

Cyberrisiken stellen für kleine und mittlere Unter­nehmen eine zunehmende Gefahr dar. Gemäss einer aktuellen Umfrage des Markt- und Sozial­forschungs­institut gfs-zürich hat bereits etwa ein Viertel der Schweizer KMU eine folgenschwere Cyberattacke hinter sich. Trotzdem fehlen in vielen Unter­nehmen wirkungs­volle Mass­nahmen zum Schutz vor Angriffen. Noch immer unterschätzen Führungs­personen das latent vorhandene Sicherheits­risiko und nehmen damit schwer­wiegende Konsequenzen in Kauf.

Vier hartnäckige Sicherheitsmythen in KMU

Für Cyberbetrüger stellen KMU attraktive Ziele dar: Während sich die Unter­nehmen oft in falscher Sicherheit wiegen und ihre IT-Abwehr vernachlässigen, nutzen die Kriminellen diese Schwach­stellen schamlos für eine Cyber­attacke aus. Besonders den folgenden vier Sicherheits­mythen begegnet man im typischen KMU immer wieder. Sie eignen sich, um aufzuzeigen, warum die IT von KMU oftmals schlecht geschützt ist und so für Hacker ein attrak­tives Ziel darstellt:

Mythos 1: Das KMU ist für Cyberkriminelle uninteressant

Während die Mehrheit der Führungs­kräfte und Mitarbei­tenden von KMU die Gefahr von Cyber­angriffen zwar anerkennen, fehlt ihnen oft das Bewusstsein dafür, dass auch das eigene Unter­nehmen von einem Angriff betroffen sein könnte – nur knapp jedes zehnte KMU fürchtet sich davor, selbst einem Internet­kriminellen zum Opfer zu fallen.

Häufig argumentieren Unter­nehmens­vertreter, dass das eigene KMU zu «klein und unbedeutend» für einen Hacker­angriff sei. Im Glauben, dass sich ein Angriff nur bei grossen Firmen mit wertvollen Daten lohnt, wähnen sich KMU-Verantwort­lichen oft fälschlicherweise in trügerischer Sicherheit – und das mit fatalen Folgen, denn kleine Unter­nehmen bieten einem Hacker durchaus Anreize:

  • Opferselektion: Cyberkriminelle gehen davon aus, dass in KMU eine schwache IT-Abwehr vorzufinden ist, die sich schnell und unbeachtet überwinden lässt.
  • Sprungbrett in die Supply Chain: KMU sind oft in verschiedene Liefer­ketten eingebunden. Durch den Datenklau versprechen sich die Hacker einfachen Zugang zu grösseren Unter­nehmen.
  • Auch Kundendaten und Betriebs­geheimnisse von KMU sind im Darkweb wertvolle Güter.
  • In der Summe lohnen sich mehrere Attacken auf kleine Unter­nehmen genauso wie ein Angriff auf ein Gross­unter­nehmen
  • Erpressungen mit Firmendaten ohne effektiven Verkaufs­wert können KMU dennoch unter Druck setzen.

Mythos 2: Die Sicherheitssysteme des KMU sind gut genug

Viele KMU können nur begrenzt beurteilen, was «gute» und «wirkungsvolle» IT-Sicherheit bedeutet und geben sich folglich mit minimalen Sicher­heits­vorkehrungen zufrieden. Cyber­betrüger auf der anderen Seite passen ihr Vorgehen flexibel und schnell an neue Rahmen­bedingungen an, erkennen Sicherheits­lücken in der IT-Abwehr von Unter­nehmen und nutzen diese rasch und gezielt aus – oftmals auch unbemerkt. Standardisierte Betriebs­systeme, regelmässige Backups, Firewall- und Viren­schutz­programme bieten einen gewissen Schutz, sie benötigen aber auch regel­mässige Updates und Aktualisierungen, um funktions­tüchtig zu bleiben.

Weiter gilt es zu beachten, dass selbst ein vermeintlich wirksames Abwehr­system keine Sicherheits­garantie bieten kann. Für eine gute Cyber­sicherheit muss ein KMU neben der Präventions­arbeit auch Mechanismen zur Schadens­minderung und die Wieder­inbetrieb­nahme der Geschäfts­tätigkeit ausarbeiten: Ein Wieder­herstellung­splan (Disaster Recovery Plan) oder ein Plan zur Gewähr­leistung der Betriebs­kontinuität (Business Continuity Plan) spart dem KMU im Ernst­fall wertvolle Zeit – und dennoch hat nur knapp jedes fünfte KMU entsprechende Prozesse vorbereitet.

Mythos 3: Ressourcen müssen ins Kerngeschäft fliessen und Umsatz generieren

In gut der Hälfte aller KMU ist die Geschäfts­führerin oder der Geschäfts­führer auch für die Cyber Security zuständig und längst nicht alle KMU können auf eine speziali­sierte IT-Abteilung zurück­greifen. Dazu kommt, dass ihre finan­ziellen, per­sonellen und zeitlichen Ressourcen häufig limi­tiert sind und strategisch eingesetzt werden müssen: So stehen in KMU meist die gewinn­bringenden Geschäfts­bereiche rund um das Kern­geschäft im Fokus, während man die IT zum «Neben­geschäft» degradiert. Investitionen in die IT-Sicher­heit kommen auf Grund von mangelndem Sicherheits­bewusst­sein und der Komplexität des Fach­bereichs oft zu kurz.

Mit der heutigen Vernetzung von Geschäfts­bereichen, der fort­schreitenden Digitalisierung in Unter­nehmen und der zunehmenden Arbeit im Home-Office führt die Vernach­lässigung der IT zu bedrohlichen Risiken für das KMU. Eine funktionierende IT-Infra­struktur bildet längst eine wichtige Grundlage aller Geschäfts­tätigkeiten. Diese zunehmende Abhängig­keit von IT-Systemen und mangelhafte Schutz­massnahmen machen KMU zu einem leichten Ziel für Cyber­angriffe, denn fehlende Investitionen in die IT-Systeme wirken sich direkt auf die IT-Sicherheit im Unter­nehmen aus.

Mythos 4: Die KMU-Mitarbeitenden können Cyberbetrug erkennen

Cyberattacken können sich unterschiedlich gestalten und ganz verschiedene Ziele verfolgen. Neben Phishing-Attacken über gefälschte E-Mails lassen sich Hacker auch immer wieder neue Wege einfallen, um Angestellte zu täuschen und zu verhängnis­vollen Aktionen zu bewegen.

Nicht nur Führungspersonen, auch Mitarbei­tende tendieren dazu, das Cyber­risiko und die Aus­wirkungen eines Cyberangriffs im eigenen Unter­nehmen zu unterschätzen. Aus Sicht der Cyberkriminellen sind die Angestellten das schwächste Glied der IT-Abwehr und daher das bevorzugte Angriffs­ziel im Unter­nehmen: Ein kleiner Fehler oder eine kurze Unauf­merksamkeit öffnet den Betrügern das Tor zum Unter­nehmens­server. Für ein KMU ist es daher essenziell, regel­mässige Schulungen zum Thema Cyber­sicherheit durch­zuführen und Mitarbei­tende für die Risiken zu sensi­bilisieren.

Auslagern der IT – Cyberrisiko senken

Mit Blick auf die aktuellen Entwicklungen, muss auch das Risiko­management eines KMU die zunehmende Cyber-Bedrohung in der Schweiz reflektieren: Bei der Gegenüber­stellung von Kosten und Risiken der Cyber Security sollten Geschäfts­führerinnen und Geschäfts­führer auch an die Vorzüge eines IT-Partners denken. Ein externer IT-Spezialist stellt gerade für KMU eine attraktive Alternative zur eigenen IT-Abteilung dar.

Ein Anbieter von Managed IT Services (auch Managed Services Provider oder MSP) bietet skalierbare Leistungen und übernimmt je nach Bedarf einen Teil der IT-Infra­struktur des Unter­nehmens. Zu einem fixen Preis maximiert er die IT-Sicher­heit, unterstützt bei der Schulung der Mitarbeitenden und erkennt Gefahren proaktiv. Ein MSP arbeitet gemeinsam mit dem KMU ein Sicherheits­konzept aus, welches an die Anforderungen und Besonder­heiten des Geschäfts­modells angepasst ist und künftige Entwicklungen mit­berücksichtigt. So kann die IT-Security nicht nur den Fort­bestand des Unter­nehmens sichern, sondern ist auch eine Investition in die Innovations­fähigkeit des Unter­nehmens.

Fazit

Cyberattacken sind ein zunehmendes Problem für Unter­nehmen, und Schweizer KMU sind von dieser Entwicklung nicht ausgenommen. Neben einer gut geplanten und auf dem neuesten Stand gehaltenen IT-Infra­struktur sind das Bewusst­sein und ein aufmerk­sames Online-Verhalten der Mitarbeitenden kritische Elemente jeder Cyber-Abwehr. Gerade für kleine und mittlere Unter­nehmen mit knappen Ressourcen bietet die Zusammen­arbeit mit einem externen Managed-IT-Services-Partner bedeutende Vorteile, um Sicherheits­lücken zu schliessen und die Cyber Security bei kalkulier­baren Kosten zu maxi­mieren.

Sichere IT in Unternehmen: Das 9-Punkte-Programm zur Maximierung der IT-Sicherheit in KMU

Titelbild: Unsplash

Themen: Managed IT Services, Cyber Security, Disaster Recovery, Digitalisierung, Cyber-Risiken, Business Continuity, IT Outsourcing
Autor: Philipp Hollerer | 07.06.2021 | 19:30
Philipp Hollerer
Besuchen Sie mich auf Social Media:

Jetzt IT-Blog für KMU als E-Mail abonnieren.