Cyber-Attacken auf kleine und mittlere Unternehmen (KMU) sind gemäss der Beratungsgesellschaft BDO im Jahr 2022 um 60% gestiegen. Ein solche Attacke kann die Unternehmensexistenz binnen Minuten gefährden. Es besteht nicht die Frage ob Sie eine Cyber-Attacke trifft, sondern wann.
Cyber-Kriminalität gleicht einem immer schnelleren Katz- und Mausspiel zwischen Hackern und Unternehmen. Doch wie kann ein KMU trotz limitierter Ressourcen dieses Spiel zu seinen Gunsten verbessern?
Wieso sich Geschäftsleitung und Verwaltungsrat mit Cyber-Security auseinandersetzen müssen
Sind Sie sich bewusst, dass immer mehr Geschäftsprozesse stark auf Informationstechnologie (IT) angewiesen sind und teilweise ohne diese nicht mehr funktionieren? Cyber-Angriffe können zum ungewollten Abfluss von vertraulichen Geschäftsinformationen, der Manipulation von Geschäftsdaten und der Nichtverfügbarkeit von IT-Systemen führen. Dies kann unter anderem finanzielle Schäden sowie Kundenverluste aufgrund von Reputationsschäden zur Folge haben. Im schlimmsten Fall muss Ihr Unternehmen Konkurs anmelden.
Cyber-Risiken haben sich zu einem wesentlichen Bestandteil der Geschäftsrisiken entwickelt. Aufgrund der gestiegenen Gefährdungslage gehört das Thema Cyber auf die Traktandenliste von Geschäftsleitung und Verwaltungsrat.
Ein KMU kann sein Sicherheitslevel trotz beschränkter Ressourcen erhöhen
Auch mit begrenzten finanziellen und personellen Mitteln können Sie sehr effektive Massnahmen zur Verbesserung der Cyber-Sicherheit umsetzen. Wir stellen Ihnen nachfolgend ausgewählte einfache, trotzdem effektive und kosteneffiziente organisatorische sowie technische Massnahmen vor, um Ihre Ausgangslage zu verbessern.
Organisatorische Massnahmen
Cyber-Sicherheit ist kein reines IT-Thema. Auch organisatorischen Massnahmen muss eine hohe Bedeutung zukommen. Ausgewählte Ansatzpunkte zur Verbesserung der Cyber-Sicherheit sind:
Awareness / Trainings: Gemäss «The Global Risks Report 2022» des World Economic Forum’s (WEF) werden die Meisten erfolgreichen Cyber-Attacken durch menschliches Fehlverhalten verursacht. Ist Ihren Mitarbeitenden die Bedeutung der Cyber-Sicherheit im Arbeitsalltag bewusst, verfügen sie diesbezüglich über das grundlegende Know-how und kennen sie die wichtigsten Verhaltensweisen? Oft ist der erste Schritt gar nicht so aufwändig. Machen Sie es aktiv zum Thema und geben Sie den Mitarbeitern eine konkrete Orientierung.
Business Continuity Management: Ein Unternehmen sollte seine wichtigsten Prozesse und Daten («Kronjuwelen») inklusive deren Abhängigkeit zur IT kennen. Machen Sie sich Gedanken und dokumentieren Sie, wie Sie für den Fall eines erfolgreichen Cyber-Angriffs Ihre «Kronjuwelen» schützen und zumindest temporär IT-unabhängig weiterführen können. Schaffen Sie sich zusätzlich einen «sicheren Hafen» (Backup) für Ihre wichtigsten Daten, die Sie benötigen, um Ihre Kernsysteme nach einem Cyber-Angriff wieder herzustellen.
Notfallkontakte kennen: Die allerwenigsten KMU können ein eigenes Cyber Defence Center betreiben. Umso wichtiger ist es zu wissen, wer Ihnen notfalls zur Seite stehen kann. Neben Behörden sind dies spezialisierte Dienstleister. Lernen Sie Ihre Ansprechpartner kennen, bevor ein Notfall eintritt. Im Notfall zählt jede Minute!
Technische Massnahmen
Neben organisatorischen Massnahmen sind auch technische Vorkehrungen sehr zu empfehlen. Zwei mögliche Massnahmen möchten wir an dieser Stelle vorstellen:
Security Assessments: Sie haben keinen hochspezialisierten IT-Mitarbeitenden in Ihrem Unternehmen, der sich in allen IT-technischen Themen auskennt, um Schwachstellen zu identifizieren? Nutzen Sie externe Security Assessments. Bereits kleine kostengünstige Security Assessments können Ihnen helfen, die gröbsten Schwachstellen zu identifizieren und Hinweise zu bekommen, wie Sie diese beheben können.
Cloud Strategie: Mit einem Wechsel in die Cloud (geteilte Verantwortlichkeit) erhalten Sie bei den grossen Anbietern wie Microsoft oder Amazon ein erhöhtes Schutzlevel, da sich dort professionelle Teams um die Sicherheit kümmern.
Was Sie nach dem Lesen dieses Beitrags tun sollten
Warten Sie nicht, bis Sie zur gejagten Maus in diesem Spiel werden und die Katze Sie frisst. Machen Sie das Thema Cyber-Sicherheit zur Chefsache, indem Sie es proaktiv angehen und in der Geschäftsleitung und im Verwaltungsrat adressieren. Klären Sie den aktuellen Status, wo Ihr Unternehmen bei der Cyber-Sicherheit steht und ob die notwendigen Rollen und Verantwortlichkeiten klar geregelt sind. Bereits mit wenigen inhaltlich und zeitlich klar geplanten Massnahmen können Sie die Auswirkungen eines Cyber-Angriffs deutlich vermindern und das Risiko senken.