Zahlreiche aktuelle Beispiele von Angriffen auf bekannte Schweizer Unternehmen zeigen, dass Cyber-Risiken gerade für KMU eine grosse Gefahr darstellen. Gemäss aktuellen Marktforschungsstudien wurde bereits jedes vierte KMU angegriffen – zum Teil mit fatalen Folgen. Dabei haben insbesondere Ransomware-Angriffe zugenommen, bei denen IT-Systeme verschlüsselt werden, um danach Geld für die Freigabe der Daten zu erpressen.
Cyber-Kriminelle konzentrieren sich bei einem Angriff in der Regel auf den einfachsten und effizientesten Zugang: die Mitarbeitenden. Sie starten mit einem Phishing-Mail, das beispielsweise einen Anhang oder einen Link enthält, der geöffnet oder angeklickt werden soll: Unbemerkt wird eine Schadsoftware installiert. «Die besten IT-Sicherheitsvorkehrungen helfen nichts, wenn sie über die Mitarbeitenden umgangen werden», warnt Carlos Casián, Cyber-Risk-Spezialist der Allianz Suisse und Co-Autor der Studie: «Wird der Einbrecher freiwillig ins Haus gelassen, nützt eine Alarmanlage oder Mehrfachverriegelung wenig.» Aufgrund der Covid-19-Massnahmen arbeiten viele Mitarbeitende im Home-Office und sind deshalb noch anfälliger auf Manipulationsversuche als sonst, denn sie können sich weniger gut mit Kolleginnen und Kollegen über verdächtige E-Mails austauschen.
Um herauszufinden, wie es um die Cyber-Sicherheit der Schweizer KMU-Landschaft steht, haben die Zürcher Hochschule für Angewandte Wissenschaften (ZHAW) und die Allianz eine gemeinsame Studie durchgeführt. Im September 2020 wurden exemplarisch Mitarbeitende von drei ausgewählten KMUs aus der Wärme- und Fertigungsindustrie mit der Methode der «Tiefen-Metaphern» interviewt. Die wichtigste Erkenntnis vorweg: Die Haltung der Mitarbeitenden gegenüber Cyber-Angriffen hat eine direkte Auswirkung auf die Cyber-Sicherheit der KMUs.
Positiv ist aufgefallen, dass die Angestellten einen guten Wissensstand hinsichtlich Cyber-Risiken und deren Auswirkungen haben. Sie erkannten auch ihre eigenen Anfälligkeiten. Das ist eine wichtige Grundlage, um bei einem Cyber-Angriff ihre Rolle als Verteidigerinnen und Verteidiger wahrzunehmen. Die Mitarbeitenden zeigten zudem, dass sie bei der Cyber-Sicherheit mitwirken wollen. «Den Interviewpartnern war es wichtig, das Problem rasch zu lösen, damit sie nach einem Cyber-Angriff so schnell wie möglich weiterarbeiten können», erklärt Dr. Carlo Pugnetti, Autor der Studie und Dozent an der ZHAW.
Gleichzeitig waren sie der Ansicht, als Person zu unwichtig zu sein, oder dass ihr Unternehmen zu klein sei, um als Angriffsziel zu gelten. Aufgrund fehlender IT-Kenntnisse neigten sie zudem dazu, die Verantwortung für die Cyber-Sicherheit an Dritte wie zum Beispiel IT-Dienstleister abzugeben. «Dieses systematische Problem muss angegangen werden», rät Dr. Carlo Pugnetti.
Aus dem ganzen Spektrum der Informationen und Beobachtungen wurden schlussendlich drei praxisnahe Empfehlungen für KMUs entwickelt. Im Zentrum stehen dabei das Aktivieren Ihrer Mitarbeitenden und das aktive Adressieren von Cyber-Risiken. Mit wachsamen und befähigten Mitarbeitenden ist Ihr Unternehmen besser auf einen Angriffsversuch vorbereitet. Sollte ein Angriff trotzdem gelingen, sorgen die vorbereiteten Mitarbeitenden und die eingeübten Wiederherstellungspläne zudem dafür, dass der Schaden möglichst gering bleibt.
1. Bewusstsein schärfen
2. Mitarbeitende befähigen
3. Wiederherstellungsmodus üben
Diese Empfehlungen sind eine unterstützende Ergänzung zu den allgemeinen Schutzmassnahmen. Zudem hilft eine Cyber-Risk-Versicherung, Cyber-Risiken kontrollierbar zu machen.
von Carlos Casián und Carlo Pugnetti
Wie ist das Forschungsteam nach dem Ansatz der «Tiefen-Metaphern» vorgegangen?
Die Ergebnisse entstanden durch das Zusammenspiel der einzelnen Interviewten und der Analyse des Forschungsteams. Sie haben nicht den Anspruch, repräsentativ zu sein, erlauben aber ein tieferes Verständnis der Problemstellung.