Cyberattacken gehören heute zu den grössten Geschäftsrisiken. Wie können sich Unternehmen schützen und wie sollten sie sich im Falle eines Angriffs verhalten?

Häufig verfügen KMU nicht über das nötige Spezialwissen im Bereich der Informationssicherheit, die Gefahr eines Cyberangriffes wird unterschätzt. Aufgrund der fortschreitenden Digitalisierung werden Unternehmen zunehmend verwundbarer.

Laut der Studie «Homeoffice und Cybersicherheit in Schweizer KMU» stieg in den vergangenen Jahren die Anzahl der von Cyberangriffen schwer betroffenen KMU stark an. Trotzdem gab nur jeder vierte befragte Geschäftsführer an, während der Homeoffice-Pflicht in zusätzliche Massnahmen investiert zu haben. Die Studie zeigt auch, dass 65 Prozent der Befragten die grosse Bedeutung von Cybersicherheit sehen, sich aber nur ein Fünftel zum Thema Cybersicherheit ausreichend informiert fühlt.

Um die Gefahren eines Cyberangriffes zu minimieren, sollten Unternehmen deshalb in einem ersten Schritt die Verhaltensregeln für Mitarbeitende festlegen sowie in die IT-Sicherheit und den Zahlungsprozess investieren. Nach der Nutzung von E-Banking muss sich der User immer korrekt abmelden.

Schwachstelle Mensch

Ein Unternehmen kann an verschiedenen Stellen und auf unterschiedliche Art angegriffen oder manipuliert werden. Das schwächste Glied in der Kette ist dabei aber in den meisten Fällen der Mensch. Es werden Phishing-Mails geöffnet, E-Mail-Anhänge heruntergeladen oder Sicherheits-Updates versäumt. Da genügt ein Klick am falschen Ort und Hackern wird die virtuelle Tür zu heiklen Daten geöffnet.

Die Studie zur Cybersicherheit zeigt auf, dass zwar knapp die Hälfte der Schweizer KMUs über ein IT-Sicherheitskonzept verfügen, aber nur wenige ihre Mitarbeitenden regelmässig ausbilden oder IT-Sicherheitsaudits durchführen. Es ist deshalb wichtig, die Mitarbeitenden zu sensibilisieren und regelmässig zu schulen.

Notfallplanung

Neben der Investition in Schulung und IT-Sicherheit ist eine gezielte Vorbereitung auf einen allfälligen Ernstfall essenziell. Dazu gehören unter anderem das Durchführen von getrennt aufbewahrten, regelmässigen Sicherungskopien und eine Notfallplanung, um die Geschäftstätigkeit des Betriebs vorübergehend auch ohne IT aufrechterhalten zu können und die Systeme neu aufsetzen zu lassen.

Cyberschutzversicherung

Um den finanziellen Schaden für das Unternehmen möglichst gering zu halten, ist der Abschuss einer Cyberschutzversicherung zu prüfen. Diese stellt eine sinnvolle Ergänzung zu den präventiven Cyberschutzmassnahmen dar und versichert die Wiederherstellung der Daten sowie das Entfernen von Schadprogrammen, die bis zu einem Betriebsausfall führen können.

Was tun, wenn’s trotzdem passiert

Stellt ein Unternehmen fest, dass es trotz aller Vorsichtsmassnahmen zu einem Cyberangriff gekommen ist, müssen als Erstes alle Systeme vom Netzwerk getrennt sowie das WLAN ausgeschaltet werden.

Fazit

Mit einer regelmässigen Sensibilisierung und Schulung aller Mitarbeitenden, einer sinnvollen Investition in die IT-Sicherheit sowie einer gezielten Notfallplanung können KMU die Risiken und Folgen eines Cyberangriffes minimieren. Einen wichtigen ersten Schritt machen Unternehmen, wenn sie die Gefahr von Cyberangriffen nicht unterschätzen und sich dabei Unterstützung von Experten holen.

Felix Röthlin, Firmenkundenberater