Cyberkriminalität stellt für KMU ein ernsthaftes Problem dar: Immer häufiger rücken sie in den Fokus der Internetkriminellen und müssen sich mit den schwerwiegenden Folgen eines Cyberangriffs auseinandersetzen. Für Geschäftsführerinnen und Geschäftsführer ist es wichtig zu verstehen, was KMU zu einem solch lukrativen Ziel macht und wie sie sich angemessen gegen die Gefahren im Netz schützen können.
Cyberrisiken haben sich in den vergangenen Jahren zu einer bedrohlichen und ständigen Gefahr für Unternehmen weltweit entwickelt. Mit der zunehmenden Vernetzung von Firmen und ihren Geschäftsbereichen, der Nutzung von verschiedenen Endgeräten und immer kreativer werdenden Internetkriminellen ist es heute keine einfache Aufgabe, sich zu 100% vor einer Cyberattacke zu schützen. Gerade die kleinen und mittleren Unternehmen, rücken immer stärker in den Fokus der Betrüger. Geschäftsleitende und IT-Verantwortliche von KMU sollten daher verstehen, was ihr Unternehmen zu einem attraktiven Angriffsziel macht und wie sie das Risiko von schwerwiegenden Cyberangriffen reduzieren können.
Drei Gründe, die das Cyberrisiko für KMU steigern
Dass KMU immer häufiger Opfer von Cyberkriminalität werden, hat verschiedene Gründe. Zum einen spielen externe Faktoren wie die zunehmende Digitalisierung, die gesteigerte Abhängigkeit von Daten oder die Verbreitung von Remote-Arbeit eine Rolle. Zum anderen finden sich innerhalb von KMU Strukturen wieder, die eine Cyberattacke begünstigen. Die folgenden drei Risikofaktoren tragen massgeblich dazu bei, dass KMU bei Cyberkriminellen als lohnenswerte Ziele gelten:
1. Mangelhafte oder schlecht gewartete Sicherheitssysteme
Eine gute und umfassende Cyberabwehr ist die Grundvoraussetzung einer sicheren Geschäftstätigkeit. Nicht nur der Firmensitz und die Büroarbeitsplätze sind vor IT-Gefahren zu schützen, sondern auch allfällige Home-Office-Standorte und die eingesetzten mobilen Endgeräte. Und das am besten rund um die Uhr. Internetbetrüger nutzen die Schnelllebigkeit der technologischen Entwicklung aus, indem sie ständig neue Angriffsformen entwickeln und Sicherheitslücken in Programmen und Systemen schnell und skrupellos ausnutzen.
Von Unternehmen ist damit ein aktives Handeln gefordert: Sie müssen ihre Sicherheitssysteme, Firewalls und Virenschutzprograme in regelmässigen Abständen prüfen, aktualisieren sowie mit Updates und Patches auf dem neuesten Stand halten. Weiter sind regelmässige Backups durchzuführen, um im Falle von Datenverlust den Schaden so gering wie möglich zu halten. Insbesondere für Unternehmen mit kleinen IT-Abteilungen bedeutet dies oft ein beträchtlicher Aufwand. So kommt es nicht selten vor, dass die internen IT-Fachpersonen mit dringlichen Aufgaben des Alltagsgeschäfts ausgelastet sind und die Cybersicherheit auf der Prioritätenliste nach hinten rutscht. Auch ein knappes Budget für IT-Sicherheit kann der Grund für eine unzureichende Cyberabwehr sein. Die Folgen sind fatal: Wenn Cyberangriffe aufgrund mangelhafter Schutzmassnahmen erfolgreich verlaufen, kann das nicht nur grosse Zusatzkosten zur Folge haben, sondern auch die Reputation und die Zukunft des Unternehmens gefährden.
2. Wertvolle Daten finden sich auch in kleinen Unternehmen
Dass es Cyberkriminelle vorzugsweise auf die grossen, umsatzstarken Unternehmen abgesehen haben, ist eine falsche Vorstellung. Während Grossunternehmen zwar oft wertvolle Firmendaten besitzen, so haben sie auch die Ressourcen, um ihre IT-Systeme gut und aufwendig vor unliebsamen Zugriffen zu schützen. Das Finden von Sicherheitslücken und das Umgehen der platzierten Cyberabwehr ist für Hacker folglich mit grossem Aufwand verbunden.
In kleinen und mittleren Unternehmen gehen Cyberkriminelle davon aus, dass sie die Abwehrstrukturen vergleichsweise einfach und unbeachtet überwinden können. Gleichzeitig lassen sich auch in KMU wertvolle Firmendaten entwenden und verschlüsseln. Selbst wenn die Daten keinen effektiven Verkaufswert aufweisen sollten, so können sie für die Geschäftstätigkeit eines Unternehmens wichtig sein. Dies ermöglicht es, Unternehmen unter Druck zu setzen und eine Erpressung via Ransomware durchzuführen. In der Summe sind daher mehrere Angriffe auf KMU lohnender, als eine Cyberattacke auf eine grosse Firma.
Ein weiterer Grund für einen Cyberangriff auf ein KMU ist dessen Position in der Supply Chain. Nicht selten nutzen Hacker KMU als Sprungbrett, um sich in seine Lieferkette einzuschleichen und Zugang zu Daten von Geschäftspartnern zu erhalten. Wird eine entsprechende Attacke bekannt, so hat das grosse Imageverluste bei Kunden und Lieferanten zur Folge. Je nach Schwere des Zwischenfalls kann eine Anklage folgen oder das Unternehmen muss seinen Betrieb gar komplett einstellen.
3. Fehlendes Bewusstsein für die Wahrscheinlichkeit eines Cyberangriffs
Gemäss Umfragen ist sich die Mehrheit der Mitarbeitenden und Führungspersonen von KMU der generellen Bedrohung durch Cyberkriminalität zwar bewusst, doch sie unterschätzen die Wahrscheinlichkeit eines Angriffs auf das eigene Unternehmen. Auch über die Tricks und Taktiken der Internetkriminellen ist in vielen KMU eher wenig bekannt. Ein risikoreiches Verhalten am Arbeitsplatz ist die Folge.
Dabei ist es besonders mit Blick auf die Mitarbeitenden wichtig, ein Bewusstsein für Cyberrisiken zu schaffen. Aus Sicht der Hacker sind sie das schwächste Glied der Cyberabwehr und damit das bevorzugte Angriffsziel. In regelmässigen Schulungen sollten Führungspersonen sicherstellen, dass sämtliche Mitarbeitenden die häufigsten Gefahren im Netz verstehen und wissen, wie sich risikoreiches Verhalten am Arbeitsplatz vermeiden lässt. Neben passenden Präventionsmassnahmen wie etwa eine 24h-Überwachung sollten auch Mechanismen zur Schadensminderung und zur Wiederinbetriebnahme der Geschäftstätigkeit bereitstehen: Ein Wiederherstellungsplan (Disaster Recovery Plan) oder ein Plan zur Gewährleistung der Betriebskontinuität (Business Continuity Plan) sparen dem KMU im Ernstfall wertvolle Zeit.
Fazit: Im KMU lohnen sich Investitionen in Cybersicherheit
Die Zahlen sprechen eine eindeutige Sprache: Cyberattacken auf KMU nehmen zu. Geschäftsführende sowie Mitarbeitende dürfen das Cyberrisiko daher nicht unterschätzen. Kleine und mittlere Unternehmen verfügen über Eigenschaften, die Internetkriminelle schätzen und ausnutzen – sofern die IT-Systeme nicht ausreichend geschützt sind.
Um der Cyberkriminalität kein Eintrittstor zu bieten, steht besonders die Geschäftsleitung in der Pflicht. Mit Investitionen in eine umfassende, sichere und professionelle Cyberabwehr lässt sich der Grundstein für eine gelungene IT-Abwehr legen. Demgegenüber stehen die hohen Kosten für den Betrieb einer eigenen, spezialisierten Abteilung für Cybersicherheit. Für viele KMU ist es daher empfehlenswert, ein IT-Outsourcing ins Auge zu fassen. Durch den Beizug eines erfahrenen und auf IT-Sicherheit spezialisierten Anbieter von Managed IT Services (auch Managed Service Provider oder MSP) gewinnt ein KMU einen Partner mit dem notwendigen IT-Fachwissen und den richtigen Ressourcen für eine erfolgreiche Cyberabwehr. Ein grosser Vorteil für KMU, denn durch die Zusammenarbeit profitieren sie vom Know-How, einer 24h-Überwachung (Security Monitoring) und einer raschen Reaktionszeit des MSP. Dank Fernwartungsmöglichkeiten kann ein MSP Büroplätze ebenso gut absichern wie mobile Endgeräte und Home-Office-Arbeitsplätze. Darüber hinaus unterstützt er auf Wunsch bei der Erstellung eines sinnvollen Backup-Plans sowie bei der Ausarbeitung von Business-Continuity- und Disaster-Recovery-Plänen. Und schliesslich lohnt sich das IT-Outsourcing via Managed IT Services auch aus finanzieller Sicht: Dank Flatrate-Angeboten mit fixem Kostendach lässt sich die Planungs- und Budgetsicherheit im KMU gewährleisten. Gemeinsam können der MSP und das KMU ihre Systeme, Mitarbeitenden und Geräte vor bösartigen Akteuren schützen.
Titelbild: Pixabay