Teil 1/3: Deshalb ist das Cyberrisiko bei KMU nicht zu unterschätzen

31.07.2024 08:52 - Von Salomon Häseli

In dieser dreiteiligen Serie beschäftigen wir uns damit, weshalb das Risiko von Cyberangriffen bei KMU nicht zu unterschätzen ist und wie man sein Unternehmen schützen kann. Dieser Beitrag bildet die Grundlage und räumt mit Klischees auf, weshalb KMU "keine interessanten Ziele" seien. Beispiele von erfolgreichen Hacks auf Schweizer firmen gibt es genügend. In diesem Beitrag haben wir bereits eine kleine Übersicht einiger erfolgreichen Hacks in der Schweiz erstellt.


Wie steht es aktuell um Cybersicherheit bei Schweizer KMU?

Die Fachhochschule Nordwestschweiz (FHNW) hat 2023 die vierte Studie zum Thema Homeoffice und Cybersicherheit in Schweizer KMU veröffentlicht. Das Wichtigste in Kürze:

  • 11% aller KMU mussten aufgrund eines Cyberangriffs erheblichen Aufwand betreiben, um Schäden zu beheben
  • 55% aller befragten KMU beklagen finanzielle Schäden aufgrund eines Cyberangriffs
  • 13% gaben an, Kundendaten verloren und Reputationsschäden erlitten zu haben
  • Cyberrisiken und Massnahmen gegen Cyberattacken werden als wichtig angeschaut, wobei technische Lösungen eher umgesetzt werden als organisatorische Massnahmen.
Die Risiken werden von KMU also mehrheitlich erkannt und 52% wollen in den kommenden drei Jahren Massnahmen zum Schutz gegen Cyberrisiken implementieren.

Weshalb ist die Cybersicherheit in KMU häufig schlechter als in grösseren Betrieben?
  • Budget: Das Budget für Schutzmassnahmen geben Cyberkriminalität bei KMU ist meist kleiner als bei Grossunternehmen.
  • IT als "notwendiges Übel": Die IT ist typischerweise nicht das Kerngeschäft der meisten KMU. Deshalb wird ihr häufig weniger Aufmerksamkeit geschenkt, obwohl sie wohl oder übel für die meisten KMU betriebsrelevant ist. Sicherheitslücken sind so vorprogrammiert.
  • Fehlendes Know-How: KMU sind typischerweise keine IT-Spezialisten. Technikaffine User oder externe Dienstleister übernehmen die Aufgabe der IT. Fehlendes internes Wissen führt zu unbewussten Cyberrisiken. Versuchen Sie folgende Fragen für sich zu beantworten: Sind die Netzwerke segmentiert? Werden Systeme regelmässig gesichert? Finden Updates statt? Wird der IT-Dienstleister kontrolliert und gechallenged? Sind unsere User durch Mehrfaktorauthentifizierung geschützt? Findet eine proaktive Systemüberwachung statt? Gibt es einen Desaster-Recovery-Plan? usw... 

Weshalb sind KMU interessante Ziele von Angreifern?
"Mein Unternehmen ist für Angreifer uninteressant" oder "wir sind zu klein" sind zwei wiederkehrende Argumente, die Unternehmer und Unternehmerinnen nennen, wenn es um die Investition in Schutzmassnahmen geht. Hier einige Gründe, weswegen auf KMU interessante Ziele sein können:
  • Einfaches Ziel: Aufgrund der Punkte aus vorherigem Kapitel sind die Abwehrmassnahmen häufig minimal und KMU somit einfachere Ziele für Angreifer.
  • Lieferkette: Ich war überrascht als ich erfahren habe, wie viele Schweizer KMU in regionalen und globalen Lieferketten eine wichtige Rolle spielen. Genau deshalb kann ein KMU ein lukratives Ziel sein. Angreifer nutzen ein KMU als Einstiegspunkt für einen Angriff auf grössere Unternehmen.
  • Relevanz: Wie einleitend beschrieben unterschätzen KMU die Relevanz oder ihr Risiko. Eigene Datenbestände oder schlichtweg die Abhängigkeit von der eigenen Infrastruktur und Daten lassen KMU lukrative Opfer von bspw. Erpressung oder Verschlüsselungstrojaner werden.

Fazit
Schweizer KMU anerkennen, dass Cyberrisiken ein immer grösseres Thema werden. Bei der eigenen Risikoeinschätzung und Implementierung von Schutzmassnahmen besteht aber noch Luft nach oben. Aufgrund fehlendem Know-How, Budget oder IT-Fokus sind KMU häufig schlechter geschützt als grösseren Unternehmen. Genau deshalb sind KMU auch lukrative Ziele: Sie sind einfacher anzugreifen, aber trotzdem abhängig von der eigenen Infrastruktur und somit anfällig für bspw. Erpressung.

Im zweiten Teil dieser Serie gehen besprechen wir, wir sich KMU gegen Cyber-Bedrohungen effektiv schützen können.

Kostenloses Assessment

Möchten Sie wissen, wie hoch das Menschliche Risiko in Ihrem Unternehmen ist? Melden Sie sich an und wir erstellen ein kostenloses Assessment.
Dark Web Scan
Realistische Phishingsimulation
Bericht inkl. Human Risk Score
Aktionsplan