Die Zahl der Cyberattacken in der Schweiz steigt Jahr für Jahr an und damit nimmt für KMU auch das Cyberrisiko stetig zu: Erpressungen über Ransomware, Datendiebstahl über Phishing-E-Mails und Schadsoftware-Angriffe stellen eine echte Bedrohung für die Unternehmen dar. Warum aber rücken gerade kleine und mittlere Unternehmen immer stärker in den Fokus der Cyberbetrüger?
Im Jahr 2019 steht der Betrieb eines Schweizer Fensterherstellers auf Grund einer Cyberattacke fast einen Monat lang still – ein halbes Jahr später muss die Firma mit über 150 Mitarbeitenden Konkurs anmelden. Ein Beispiel das eindrücklich zeigt, dass ein einziger erfolgreicher Cyberangriff reicht, um ein ganzes Unternehmen auszulöschen.
Cyberrisiken stellen für kleine und mittlere Unternehmen eine zunehmende Gefahr dar. Gemäss einer aktuellen Umfrage des Markt- und Sozialforschungsinstitut gfs-zürich hat bereits etwa ein Viertel der Schweizer KMU eine folgenschwere Cyberattacke hinter sich. Trotzdem fehlen in vielen Unternehmen wirkungsvolle Massnahmen zum Schutz vor Angriffen. Noch immer unterschätzen Führungspersonen das latent vorhandene Sicherheitsrisiko und nehmen damit schwerwiegende Konsequenzen in Kauf.
Vier hartnäckige Sicherheitsmythen in KMU
Für Cyberbetrüger stellen KMU attraktive Ziele dar: Während sich die Unternehmen oft in falscher Sicherheit wiegen und ihre IT-Abwehr vernachlässigen, nutzen die Kriminellen diese Schwachstellen schamlos für eine Cyberattacke aus. Besonders den folgenden vier Sicherheitsmythen begegnet man im typischen KMU immer wieder. Sie eignen sich, um aufzuzeigen, warum die IT von KMU oftmals schlecht geschützt ist und so für Hacker ein attraktives Ziel darstellt:
Mythos 1: Das KMU ist für Cyberkriminelle uninteressant
Während die Mehrheit der Führungskräfte und Mitarbeitenden von KMU die Gefahr von Cyberangriffen zwar anerkennen, fehlt ihnen oft das Bewusstsein dafür, dass auch das eigene Unternehmen von einem Angriff betroffen sein könnte – nur knapp jedes zehnte KMU fürchtet sich davor, selbst einem Internetkriminellen zum Opfer zu fallen.
Häufig argumentieren Unternehmensvertreter, dass das eigene KMU zu «klein und unbedeutend» für einen Hackerangriff sei. Im Glauben, dass sich ein Angriff nur bei grossen Firmen mit wertvollen Daten lohnt, wähnen sich KMU-Verantwortlichen oft fälschlicherweise in trügerischer Sicherheit – und das mit fatalen Folgen, denn kleine Unternehmen bieten einem Hacker durchaus Anreize:
- Opferselektion: Cyberkriminelle gehen davon aus, dass in KMU eine schwache IT-Abwehr vorzufinden ist, die sich schnell und unbeachtet überwinden lässt.
- Sprungbrett in die Supply Chain: KMU sind oft in verschiedene Lieferketten eingebunden. Durch den Datenklau versprechen sich die Hacker einfachen Zugang zu grösseren Unternehmen.
- Auch Kundendaten und Betriebsgeheimnisse von KMU sind im Darkweb wertvolle Güter.
- In der Summe lohnen sich mehrere Attacken auf kleine Unternehmen genauso wie ein Angriff auf ein Grossunternehmen
- Erpressungen mit Firmendaten ohne effektiven Verkaufswert können KMU dennoch unter Druck setzen.
Mythos 2: Die Sicherheitssysteme des KMU sind gut genug
Viele KMU können nur begrenzt beurteilen, was «gute» und «wirkungsvolle» IT-Sicherheit bedeutet und geben sich folglich mit minimalen Sicherheitsvorkehrungen zufrieden. Cyberbetrüger auf der anderen Seite passen ihr Vorgehen flexibel und schnell an neue Rahmenbedingungen an, erkennen Sicherheitslücken in der IT-Abwehr von Unternehmen und nutzen diese rasch und gezielt aus – oftmals auch unbemerkt. Standardisierte Betriebssysteme, regelmässige Backups, Firewall- und Virenschutzprogramme bieten einen gewissen Schutz, sie benötigen aber auch regelmässige Updates und Aktualisierungen, um funktionstüchtig zu bleiben.
Weiter gilt es zu beachten, dass selbst ein vermeintlich wirksames Abwehrsystem keine Sicherheitsgarantie bieten kann. Für eine gute Cybersicherheit muss ein KMU neben der Präventionsarbeit auch Mechanismen zur Schadensminderung und die Wiederinbetriebnahme der Geschäftstätigkeit ausarbeiten: Ein Wiederherstellungsplan (Disaster Recovery Plan) oder ein Plan zur Gewährleistung der Betriebskontinuität (Business Continuity Plan) spart dem KMU im Ernstfall wertvolle Zeit – und dennoch hat nur knapp jedes fünfte KMU entsprechende Prozesse vorbereitet.
Mythos 3: Ressourcen müssen ins Kerngeschäft fliessen und Umsatz generieren
In gut der Hälfte aller KMU ist die Geschäftsführerin oder der Geschäftsführer auch für die Cyber Security zuständig und längst nicht alle KMU können auf eine spezialisierte IT-Abteilung zurückgreifen. Dazu kommt, dass ihre finanziellen, personellen und zeitlichen Ressourcen häufig limitiert sind und strategisch eingesetzt werden müssen: So stehen in KMU meist die gewinnbringenden Geschäftsbereiche rund um das Kerngeschäft im Fokus, während man die IT zum «Nebengeschäft» degradiert. Investitionen in die IT-Sicherheit kommen auf Grund von mangelndem Sicherheitsbewusstsein und der Komplexität des Fachbereichs oft zu kurz.
Mit der heutigen Vernetzung von Geschäftsbereichen, der fortschreitenden Digitalisierung in Unternehmen und der zunehmenden Arbeit im Home-Office führt die Vernachlässigung der IT zu bedrohlichen Risiken für das KMU. Eine funktionierende IT-Infrastruktur bildet längst eine wichtige Grundlage aller Geschäftstätigkeiten. Diese zunehmende Abhängigkeit von IT-Systemen und mangelhafte Schutzmassnahmen machen KMU zu einem leichten Ziel für Cyberangriffe, denn fehlende Investitionen in die IT-Systeme wirken sich direkt auf die IT-Sicherheit im Unternehmen aus.
Mythos 4: Die KMU-Mitarbeitenden können Cyberbetrug erkennen
Cyberattacken können sich unterschiedlich gestalten und ganz verschiedene Ziele verfolgen. Neben Phishing-Attacken über gefälschte E-Mails lassen sich Hacker auch immer wieder neue Wege einfallen, um Angestellte zu täuschen und zu verhängnisvollen Aktionen zu bewegen.
Nicht nur Führungspersonen, auch Mitarbeitende tendieren dazu, das Cyberrisiko und die Auswirkungen eines Cyberangriffs im eigenen Unternehmen zu unterschätzen. Aus Sicht der Cyberkriminellen sind die Angestellten das schwächste Glied der IT-Abwehr und daher das bevorzugte Angriffsziel im Unternehmen: Ein kleiner Fehler oder eine kurze Unaufmerksamkeit öffnet den Betrügern das Tor zum Unternehmensserver. Für ein KMU ist es daher essenziell, regelmässige Schulungen zum Thema Cybersicherheit durchzuführen und Mitarbeitende für die Risiken zu sensibilisieren.
Auslagern der IT – Cyberrisiko senken
Mit Blick auf die aktuellen Entwicklungen, muss auch das Risikomanagement eines KMU die zunehmende Cyber-Bedrohung in der Schweiz reflektieren: Bei der Gegenüberstellung von Kosten und Risiken der Cyber Security sollten Geschäftsführerinnen und Geschäftsführer auch an die Vorzüge eines IT-Partners denken. Ein externer IT-Spezialist stellt gerade für KMU eine attraktive Alternative zur eigenen IT-Abteilung dar.
Ein Anbieter von Managed IT Services (auch Managed Services Provider oder MSP) bietet skalierbare Leistungen und übernimmt je nach Bedarf einen Teil der IT-Infrastruktur des Unternehmens. Zu einem fixen Preis maximiert er die IT-Sicherheit, unterstützt bei der Schulung der Mitarbeitenden und erkennt Gefahren proaktiv. Ein MSP arbeitet gemeinsam mit dem KMU ein Sicherheitskonzept aus, welches an die Anforderungen und Besonderheiten des Geschäftsmodells angepasst ist und künftige Entwicklungen mitberücksichtigt. So kann die IT-Security nicht nur den Fortbestand des Unternehmens sichern, sondern ist auch eine Investition in die Innovationsfähigkeit des Unternehmens.
Fazit
Cyberattacken sind ein zunehmendes Problem für Unternehmen, und Schweizer KMU sind von dieser Entwicklung nicht ausgenommen. Neben einer gut geplanten und auf dem neuesten Stand gehaltenen IT-Infrastruktur sind das Bewusstsein und ein aufmerksames Online-Verhalten der Mitarbeitenden kritische Elemente jeder Cyber-Abwehr. Gerade für kleine und mittlere Unternehmen mit knappen Ressourcen bietet die Zusammenarbeit mit einem externen Managed-IT-Services-Partner bedeutende Vorteile, um Sicherheitslücken zu schliessen und die Cyber Security bei kalkulierbaren Kosten zu maximieren.
Titelbild: Unsplash
.png){kind=icon}
