⏱ 3 min
Die neusten Zahlen sind erschreckend: Über 40 Prozent aller Cyber-Attacken in der Schweiz zielen auf KMU. Trotzdem ergreifen viele Unternehmen keine ausreichenden Massnahmen dagegen, sondern erachten das Thema als erledigt, sobald IT-Dienstleister mit im Boot sind. Ein Trugschluss, denn für ein geschütztes Unternehmen ist nicht nur eine aktive Zusammenarbeit mit Expertinnen und Experten nötig, sondern auch eine klare Rollenverteilung sowie die angemessene Schulung und Information der Mitarbeitenden.
Cyberattacken auf KMU sind im vergangenen Jahr um 60 Prozent gestiegen und stellen für Unternehmen ein massives Sicherheitsrisiko dar. In vielen Fällen setzen Cyberkriminelle bei ihren Angriffen aber gar nicht auf neuste Technologien, sondern nutzen die Trägheit von Unternehmen, Organisationen oder Privatpersonen aus. Die daraus entstehenden Schäden sind besonders bedauerlich, da sie oftmals vermeidbar wären.
Ein Grossteil der Cyberattacken wird durch Massen-E-Mails oder Massenscans lanciert. Gut geschützte KMU sind dabei nicht nur angriffsresistenter, sondern werden auch weniger oft zum Ziel von Attacken. Umso wichtiger ist es daher, dass sich verantwortliche Personen laufend über aktuelle Gefahren rund um Cyberkriminalität und deren Gestaltungsformen informieren und mit dem Thema aktiv auf IT-Dienstleister zugehen.
Doch wie steht es um Ihr Unternehmen? Machen Sie den Selbsttest anhand der folgenden Fragen, um allfällige Risiken zu erkennen.
- Denken Sie, dass die Mitarbeitenden Ihrer Firma einen Cyberangriff, zum Beispiel in der Form einer Phishing-Mail, erkennen würden?
Phishing-Mails sind bei Cyberkriminellen eine beliebte Angriffsart, um sich Zugang zu IT-Systemen zu verschaffen. Sie werden immer raffinierter aufgebaut und bereits heute verwenden die Täter bei mehr als der Hälfte ihrer Angriffe Informationen über die Rezipienten, um deren Vertrauen zu erlangen. Oft braucht es nur einen falschen Klick und schon ist ein KMU kompromittiert. Phishing-Mails und ähnliche Attacken nutzen menschliche Schwächen aus, durch eine effektive Sensibilisierung der Mitarbeitenden kann ihr Risiko aber deutlich gesenkt werden.
- Wissen Ihre Arbeitskolleginnen und -kollegen, was bei einem Angriff zu tun ist?
Das Erkennen von Cyberattacken allein gewährt noch keine Sicherheit. Ein geschulter Umgang mit der Gefahr und eigenen Fehlern ist genauso wichtig. Mitarbeitenden muss klar sein, wie sie im Ernstfall vorgehen und an wen sie sich wenden müssen.
Im Unternehmen sollte ein Bewusstsein für die Abläufe geschaffen werden, indem auf das Thema Cyberkriminalität und den Umgang damit aufmerksam gemacht wird. Empfehlenswert ist es, die Mitarbeitenden mehrmals im Jahr auf aktuelle Trends rund um Cyberkriminalität hinzuweisen.
- Sie starten am Montagmorgen Ihren PC und er ist verschlüsselt. Gibt es für diesen Fall einen Notfallplan?
Zentrale Abläufe werden vielfach über den Computer gesteuert. Dessen Ausfall kann dazu führen, dass gewohnte Vorgehensweisen nicht mehr möglich sind. Ein Notfallplan sorgt primär dafür, dass Zuständigkeiten und Abläufe festgelegt sind, und diese entsprechend kommuniziert werden. Dadurch kann in einer Angriffssituation direkt adäquat reagiert werden.
Da Cyberattacken elektronische Geräte oder Server in vielen Fällen unbrauchbar machen, empfiehlt es sich, die Notfallpläne auch in gedruckter Form zur Hand zu haben.
- Wie sind Ihre Daten gesichert? Haben Sie ein Back-up und sind Sie sich sicher, dass dieses Back-up funktioniert?
Um zu vermeiden, dass Ihr Unternehmen durch eine Cyber-Attacke den Zugang auf die eigenen Daten verliert und dadurch sowohl erpressbar als auch handlungsunfähig gemacht werden kann, ist das Erstellen von Back-ups von immenser Bedeutung. Sie begrenzen so den Schaden von Attacken. Mit regelmässigen Tests der Infrastruktur stellen Sie sicher, dass die Back-ups zuverlässig durchgeführt werden.
- Gibt es in Ihrem Unternehmen eine klar festgelegte Regelung für die Verantwortlichkeit der Sicherheitsmassnahmen?
Eine klare Rollenverteilung ist essenziell, um effiziente Abläufe in der Prävention und Bekämpfung von Attacken zu gewährleisten. Da es sich vielfach um sehr technische Prozesse handelt, muss jemand die Verantwortung übernehmen, der über das nötige Know-how verfügt. Die Aufgabenteilung muss nicht nur intern, sondern auch extern klar geregelt sein. Zudem muss gewährleistet werden, dass die geplanten Massnahmen effektive Mittel gegen Cyberattacken darstellen. Für Laien stellt das Einschätzen der Servicequalität von IT-Dienstleistern eine grosse Herausforderung dar. In diesen Fällen gibt es Hilfsmittel, die mehr Transparenz schaffen können. Dazu zählt etwa das Gütesiegel «Cyberseal», welches bestätigt, dass der zertifizierte Dienstleister geeignete technische und organische Massnahmen umsetzt, um seinen Kunden einen angemessenen Schutz vor Cyberrisiken zu bieten.
Fall Sie die Mehrheit der genannten Fragen mit «Nein» beantwortet haben, empfehlen wir Ihnen dringend, Schritte einzuleiten, um die bestehenden Sicherheitslücken zu schliessen.
Unabhängig vom Ergebnis der Fragen ist zudem ein Test des derzeitigen Sicherheitsniveaus immer eine gute Idee. Wagen Sie die Challenge und stellen Sie Ihr Unternehmen im Bereich Cyber Security auf den Prüfstand.
Hier erfahren Sie mehr über unsere Dienstleistungen im Bereich Cyber Security:
Alles klar beim Thema Cyber Security?
Kontaktieren Sie BDO. Unsere Expertinnen und Experten stehen Ihnen schweizweit beratend zur Seite.
Diese Beiträge könnten Sie auch interessieren: