Die Corona-Pandemie hat das Homeoffice auch in Schweizer KMU etabliert. Das birgt Chancen, aber auch Risiken wie folgenschwere Cyber-Angriffe. Eine Studie zeigt, wo Unternehmen dringend nachbessern müssen.
Das Jahr 2020 hat der Schweiz in Folge der Corona-Pandemie einen Digitalisierungs- und Homeoffice-Schub gebracht. Umso folgenschwerer können Cyber-Angriffe sein. Doch diese Risiken der neuen Arbeitswelt werden von KMU nach wie vor unterschätzt, wie eine Umfrage unter 503 Geschäftsführerinnen und Geschäftsführern kleiner Unternehmen zeigt.
Cyber-Angriffe und die Folgen
Bereits ein Viertel der Schweizer KMU sind Opfer eines Cyber-Angriffs geworden. Sei es in Form von Viren (18 Prozent), Datendiebstahl (5 Prozent) oder einer absichtlich herbeigeführten Überlastung des Netzes (5 Prozent). Die Folgen? Vor allem ein erheblicher finanzieller Schaden. «Solche Angriffe werden immer professioneller», beginnt Andreas Hölzli, Leiter Kompetenzzentrum Cyber Risk bei der Mobiliar. «Das gilt nicht nur für die Art und Weise der Attacke, sondern auch für das Ziel derselben. Vermehrt werden Unternehmen nämlich oft mit der Bezahlung von Bitcoins und teils auch in Kombination mit der Androhung der Veröffentlichung von geheimen Geschäftsdaten erpresst, bevor Daten oder Systeme wieder zugänglich gemacht werden.» Bei dieser Erpressung könne es – je nach Situation – gut und gerne um Zehn- oder Hunderttausende Franken gehen. Für ein KMU rasch eine existenzielle Summe.
Von denjenigen KMU, welche bereits Opfer eines Cyber-Angriffs wurden, trug ein Drittel einen finanziellen Schaden davon. Das entspricht hochgerechnet auf die Grundgesamtheit ca. 12’930 kleinen Unternehmen (Vertrauensbereich: 12’600 bis 13’250), welche einen finanziellen Schaden erlitten. Jedes zehnte kleine Unternehmen hatte ausserdem mit einem Reputationsschaden zu kämpfen und/oder mit dem Verlust von Kundendaten. Trotzdem werden zu selten Präventivmassnahmen ergriffen. «Viele kleine Unternehmen sind bereits Opfer geworden, viele CEOs geben an, sie seien für das Thema sensibilisiert. Dennoch verhalten sie sich passiv», interpretiert Andreas Hölzli die Studie.
Sicherheitsmassnahmen ausbaufähig
88 Prozent haben laut der Studie im Zuge des ersten Lockdowns im Frühling 2020 keine zusätzlichen Sicherheitsmassnahmen gegen virtuelle Angriffe umgesetzt. Mobiliar-Experte Andreas Hölzli: «Zwei Dinge wären für die Unternehmen wichtig: Sie sollten über einen Notfallplan für solche Situationen verfügen. Und sie sollten die Mitarbeitenden schulen und sensibilisieren.» Solche Weiterbildungen finden jedoch in den wenigsten Unternehmen statt. Zwei Drittel der KMU führen weder regelmässige Mitarbeiterschulungen zum Thema Cyber-Sicherheit durch, noch existiert ein Sicherheitskonzept. Und nur 17 Prozent schliessen eine Cyber-Versicherung ab. Woran das liegt? 39 Prozent denken, das sei «nicht notwendig», 16 Prozent wissen gar nicht, «dass es das gibt».
Daran hat auch der erste Lockdown wenig geändert. Während dieser Zeit haben nur 11 Prozent einen Notfallplan für die Sicherstellung der Geschäftsfortführung erstellt, nur 5 Prozent haben eine Cyber-Versicherung abgeschlossen. «Eine Cyber-Versicherung gewinnt an Bedeutung. Je mehr Geräte in irgendeiner Form für die Arbeit benutzt werden, desto grösser die Gefahren, denen man ausgesetzt ist. Kurz: Das Risiko, angegriffen zu werden, steigt mit der Digitalisierung des Geschäfts.»
Schwachstelle Mitarbeitende
Aber es geht nicht nur um Virenscanner, Firewalls und dergleichen. Das grösste Sicherheitsrisiko ist und bleibt der Mensch. Mitarbeitende im Homeoffice öffnen Phishing-Mails, laden E-Mail-Anhänge herunter oder versäumen Sicherheits-Updates. Ein falscher Klick genügt, und man öffnet Hackern die virtuelle Tür. «Wir beobachten, dass es während der Corona-Phase eine Zunahme von Phishing-Mails gibt. Das hat nicht direkt mit dem Homeoffice und der Arbeitssituation zu tun. Es gibt zum Beispiel vermehrt gefälschte Mails von Paketdiensten, weil viele Menschen sich derzeit Waren auf diese Art und Weise liefern lassen.» Da im Homeoffice oftmals auf dem persönlichen PC Firmendaten verarbeitet werden, kann ein falscher Klick in einer privaten E-Mail auch fürs KMU Schaden anrichten.
«Phishing ist das grösste Risiko», sagt denn auch Experte Andreas Hölzli. Phishing setzt auch voraus, dass ein Mensch einen falschen Klick tätigt. Hölzli ergänzt: «Wie gesagt: Mit der Digitalisierung steigt die Gefahr einer Attacke via Internet. Und es steigt auch die Wahrscheinlichkeit, dass die Systeme dann nicht nur für eine lange Kaffeepause von einer oder zwei Stunden nicht mehr verfügbar sind. Sondern für Tage, und der finanzielle Schaden mit Umsatzeinbussen und Mehrkosten kann schnell immens werden. Nebst dem monetären Schaden kostet es aber auch Zeit und Nerven, um die IT-Systeme wieder zum Laufen zu bringen.»
Digitalisierung und Cyber-Risiken in Schweizer KMU
Die Mobiliar hat zusammen mit namhaften Partnern (digitalswitzerland, Schweizerische Akademie der Technischen Wissenschaften, Fachhochschule Nordwestschweiz, Bund und gfs-zürich) letztes Jahr 503 KMU zu den Themen Digitalisierung, Homeoffice und Cyber-Sicherheit befragt. Die Resultate zeigen, wie anpassungsfähig Schweizer Unternehmen sind. Aber auch, wo dringend nachgebessert werden sollte. Wie steht Ihr KMU im Vergleich da? Die kompletten Studienergebnisse finden Sie unter mobiliar.ch/kmu-studie.