«Viele KMU denken, dass man Cyberschutzmassnahmen einmalig ergreifen kann und dann ist gut. Aber Cybersicherheit ist für Unternehmen eine permanente Aufgabe. Denn Cyberrisiken sind dynamisch, sie verändern sich laufend.»

Im Jahr 2020 wurde ein Viertel der KMU mindestens einmal Opfer einer Attacke, ein Jahr später sind es bereits ein Drittel. Wie stark Cyberangriffe seit Pandemiebeginn noch einmal zugenommen haben, ist eines der Ergebnisse der repräsentativen Studie von digitalswitzerland, der Fachhochschule Nordwestschweiz, der Schweizerischen Akademie der Technischen Wissenschaften, gfs-zürich und der Mobiliar. Über 500 Geschäftsleitende äusserten sich darin zu den Themen Homeoffice, Cybersicherheit und Datenschutz. Es ist die zweite Studie dieser Art seit Pandemiebeginn.

«Im organisatorischen Bereich gibt es noch viel Potenzial», sagt Andreas Hölzli. Gerade dort, wo Cyberkriminelle am häufigsten angreifen – bei den Mitarbeitenden – harzt es mit der Planung und Umsetzung von Schutzmassnahmen. Nur knapp die Hälfte der Schweizer KMU verfügt über ein IT-Sicherheitskonzept und nur zwei Fünftel schulen ihre Mitarbeitenden regelmässig oder führen IT-Sicherheitsaudits durch. Geht es denn bei Cyberschutz nicht in erster Linie um die Technik? «Nein», sagt Andreas Hölzli. «Technische Massnahmen sind sehr wichtig, aber nur ein Teil eines Cybersicherheitskonzepts. Es braucht auch organisatorische Massnahmen und sichere Prozesse.» Wie sich KMU gemäss der aktuellen Studie vor Cyberattacken schützen – bei den organisatorischen Massnahmen besteht am meisten Handlungsbedarf

Andreas Hölzli nennt Beispiele dafür, wo sich Cyberrisiken entwickeln: Zum Beispiel werden neue Schwachstellen in einer Software bekannt, die Hacker ausnützen können. Oder Prozesse sind nicht sauber definiert und ehemalige Mitarbeitende haben noch Zugriff auf die Firmensysteme. Oder dann der menschliche Faktor: Mitarbeitende können im stressigen Alltag schnell einmal vergessen, die Mailabsender genau zu prüfen und fallen auf ein Phishing-Mail herein.

Was sind geeignete Massnahmen, um auch nicht-technische Cyberrisiken zu senken? «Am wichtigsten ist die regelmässige Sensibilisierung der Mitarbeitenden», sagt Andreas Hölzli. «Es reicht eine unachtsame oder unwissende Person, die ihre Daten am falschen Ort eingibt, und das Unglück ist geschehen.» Ein KMU kann das Thema selber intern angehen oder dafür externe Anbieter wie die Mobiliar einspannen, die solche Trainings inklusive Phishing-Simulationen virtuell durchführen.

Noch nie wurden so viele Daten übermittelt, archiviert, gespeichert und miteinander vernetzt. Die IT-Sicherheit avanciert zur strategischen Management-Aufgabe. Denn wenn die Technologie nicht funktioniert, muss das Unternehmen unter Umständen schliessen. Für Andreas Hölzli ist im Hinblick auf den Cyberschutz ein vollständiges Inventar der IT-Infrastruktur Pflicht: «Oft wissen Unternehmen gar nicht, was ihre Hard- und Software alles umfasst und ob die ganze IT-Infrastruktur konsequent gewartet wird.» Besonders für den Fall eines Angriffs seien auch klare Zuständigkeiten und Abläufe elementar. «Denn ist die Cyberattacke im Gang und die Systeme blockiert, ist es zu spät, um ein Notfallkonzept zu entwickeln. Es muss vorher definiert werden, wie im Krisenfall das Geschäft weitergeführt werden soll.»