Andreas Hölzli, Leiter Kompetenzzentrum Cyber Risk bei der Mobiliar

Nachgefragt bei Andreas Hölzli, Leiter Kompetenzzentrum Cyber Risk bei der Mobiliar

Während KMU bei den technischen Massnahmen gegen Cyberattacken mehrheitlich gut unterwegs sind, gehen Massnahmen rund um Prozesse und Organisation gern vergessen. Andreas Hölzli, Leiter Kompetenzzentrum Cyber Risk bei der Mobiliar, zeigt auf, worum es geht. 

Der Trend ist positiv und hat sich mit mehr Mitarbeitenden im Homeoffice verstärkt: Immer mehr Schweizer KMU setzen technische Massnahmen zum Schutz vor Cyberangriffen um, so zum Beispiel zusätzliche Sicherheitssoftware, Firewalls, bessere Passwörter, Daten-Backups etc. Aber reicht das?

Im Jahr 2020 wurde ein Viertel der KMU mindestens einmal Opfer einer Attacke, ein Jahr später sind es bereits ein Drittel. Wie stark Cyberangriffe seit Pandemiebeginn noch einmal zugenommen haben, ist eines der Ergebnisse der repräsentativen Studie von digitalswitzerland, der Fachhochschule Nordwestschweiz, der Schweizerischen Akademie der Technischen Wissenschaften, gfs-zürich und der Mobiliar. Über 500 Geschäftsleitende äusserten sich darin zu den Themen Homeoffice, Cybersicherheit und Datenschutz. Es ist die zweite Studie dieser Art seit Pandemiebeginn.

Lücken im Cyberschutz

«Im organisatorischen Bereich gibt es noch viel Potenzial», sagt Andreas Hölzli. Gerade dort, wo Cyberkriminelle am häufigsten angreifen – bei den Mitarbeitenden – harzt es mit der Planung und Umsetzung von Schutzmassnahmen. Nur knapp die Hälfte der Schweizer KMU verfügt über ein IT-Sicherheitskonzept und nur zwei Fünftel schulen ihre Mitarbeitenden regelmässig oder führen IT-Sicherheitsaudits durch.

Geht es denn bei Cyberschutz nicht in erster Linie um die Technik? «Nein», sagt Andreas Hölzli. «Technische Massnahmen sind sehr wichtig, aber nur ein Teil eines Cybersicherheitskonzepts. Es braucht auch organisatorische Massnahmen und sichere Prozesse.»

Wie sich KMU gemäss der aktuellen Studie vor Cyberattacken schützen – bei den organisatorischen Massnahmen besteht am meisten Handlungsbedarf:

Cyberattacken
Cyberattacken II

Mensch, Prozess, Technik

Andreas Hölzli nennt Beispiele dafür, wo sich Cyberrisiken entwickeln: Zum Beispiel werden neue Schwachstellen in einer Software bekannt, die Hacker ausnützen können. Oder Prozesse sind nicht sauber definiert und ehemalige Mitarbeitende haben noch Zugriff auf die Firmensysteme. Oder dann der menschliche Faktor: Mitarbeitende können im stressigen Alltag schnell einmal vergessen, die Mailabsender genau zu prüfen und fallen auf ein Phishing-Mail herein.

Mitarbeitende fit machen

Was sind geeignete Massnahmen, um auch nicht-technische Cyberrisiken zu senken? «Am wichtigsten ist die regelmässige Sensibilisierung der Mitarbeitenden», sagt Andreas Hölzli. «Es reicht eine unachtsame oder unwissende Person, die ihre Daten am falschen Ort eingibt, und das Unglück ist geschehen.» Ein KMU kann das Thema selber intern angehen oder dafür externe Anbieter wie die Mobiliar einspannen, die solche Trainings inklusive Phishing-Simulationen virtuell durchführen. 
 

Vorbereitet sein

Noch nie wurden so viele Daten übermittelt, archiviert, gespeichert und miteinander vernetzt. Die IT-Sicherheit avanciert zur strategischen Management-Aufgabe. Denn wenn die Technologie nicht funktioniert, muss das Unternehmen unter Umständen schliessen. Für Andreas Hölzli ist im Hinblick auf den Cyberschutz ein vollständiges Inventar der IT-Infrastruktur Pflicht: «Oft wissen Unternehmen gar nicht, was ihre Hard- und Software alles umfasst und ob die ganze IT-Infrastruktur konsequent gewartet wird.» Besonders für den Fall eines Angriffs seien auch klare Zuständigkeiten und Abläufe elementar. «Denn ist die Cyberattacke im Gang und die Systeme blockiert, ist es zu spät, um ein Notfallkonzept zu entwickeln. Es muss vorher definiert werden, wie im Krisenfall das Geschäft weitergeführt werden soll.»
 

KMU bei ihren digitalen Herausforderungen unterstützen und stärken: Das will die zweite Studie zu Homeoffice und Cybersicherheit seit Pandemiebeginn, an der sich über 500 KMU aus der ganzen Schweiz beteiligten. Durchgeführt wurde die Studie von digitalswitzerland, der Fachhochschule Nordwestschweiz, der Schweizerischen Akademie der Technischen Wissenschaften, gfs-zürich und der Mobiliar. Die Studienresultate sind mit Grafiken, ergänzenden Artikeln sowie Ratgebern zum Cyberschutz verfügbar auf mobiliar.ch/kmu-studie.