SWISSCOM – KMU halten sich mehrheitlich für gut vorbereitet auf eine Cyberattacke. Aber Notfallpläne und Verantwortlichkeiten für Cybersicherheit sind rar.
Es ist ein Paradox: Zwar gibt eine knappe Mehrheit der KMU an, gut gerüstet für eine Cyberattacke zu sein. Doch die «Cyberstudie 2024» zeigt, dass es an organisatorischen Massnahmen fehlt. Dazu gehören Notfallpläne, Sicherheitskonzepte und Security-Awareness-Schulungen für Mitarbeitende. Bei 44 Prozent der befragten KMU ist niemand für die IT-Sicherheit zuständig – obwohl Betriebsrisiken rechtlich Chefsache sind.
Gleichzeitig steigt die Zahl der Cyberattacken. Laut Bundesamt für Cybersicherheit (BACS) hat sich die Anzahl der Phishing-Sites 2024 auf rund 20 000 verdoppelt. Gemäss der Cyberstudie wurden 4 Prozent der befragten KMU Opfer einer schwerwiegenden Cyberattacke, was hochgerechnet rund 24 000 Unternehmen in der Schweiz betrifft – Dunkelziffer nicht eingerechnet. Drei Viertel dieser Opfer erlitten substanziellen finanziellen Schaden.
Kleine und mittlere Unternehmen nehmen oft fälschlicherweise an, keine lohnenden Ziele für Cyberkriminelle zu sein. Viele Cyberattacken zielen auf Sicherheitslücken, Systeme im Internet werden auf Sicherheitslücken durchsucht und Phishing-Mails an sämtliche verfügbaren Adressen geschickt. Cyberkriminelle greifen dort an, wo sich eine Gelegenheit bietet. Ihre Ziele können auch schlecht geschützte Webseiten sein, die für Phishing verwendet werden. Das BACS weist auf den Missbrauch von Unternehmens-Websites hin, der darauf abzielt, Zugangsdaten zu Webhosting zu ergaunern und unabhängig von der Grösse der Unternehmen ist.
Attacken auf viele kleine, oft schlechter geschützte Unternehmen lohnen sich genauso wie Angriffe auf grosse. Kreditkarteninformationen oder Kundendaten lassen sich im Darknet leicht zu Geld machen. Cyberkriminelle verschlüsseln mittels Ransomware Daten und fordern Lösegeld. KMU zahlen oft, da ihre Daten für sie unverzichtbar sind. Angreifer nutzen KMU auch als Eingangstor zu grösserer Beute.
KMU sind leichte Beute, weil sie ihre Daten nicht ausreichend sichern oder Wiederherstellungen nicht getestet haben. Zwar haben 90 Prozent grundlegende Schutzmassnahmen wie Back‑ups und Updates, aber nur zwei Drittel testen die Wiederherstellung – ein zentraler Schritt.
Viele Unternehmen erkennen erst im Krisenfall, dass die Back‑ups unvollständig sind. Vorbeugung auf Cyberattacken ist selten etabliert: Nur ein Drittel hat einen Notfallplan, ein Viertel ein Sicherheitskonzept, das Cybersecurity-Massnahmen enthält.
Wenige KMU kennen ihre Sicherheitsschwachstellen. Nur ein Fünftel hat je ein IT-Sicherheitsaudit durchgeführt, bei welchem die eigene Infrastruktur geprüft wird. Regelmässige Audits sind notwendig, um neue Risiken zu identifizieren, besonders bei Änderungen wie beispielsweise dem Umstieg auf Cloud-Umgebungen oder mehr Homeoffice. Ein Paradebeispiel ist die Nutzung des Geschäfts-Notebooks für private Mails, die Phishing-Risiken birgt. Security-Awareness-Schulungen sind daher wichtig, aber nur ein Drittel der KMU führt regelmässige Schulungen durch und benutzt Passwortmanager.
Sponsored Content
Einfach alle und alles, überall und immer sicher mit beem: sicheres Surfen im beemNet, sicherer Zugriff auf Unternehmensdaten, Abwehr von komplexen Cyberangriffen, umfassender Schutz vor Datenabfluss und vieles mehr.
Technologieoffener Energiemix: Kernkraft bleibt für Schweizer KMU zentral
Kommissionsgebühren: sgv begrüsst Einigung des Preisüberwachers mit Worldline
Der präsentierte Fahrplan für AHV 2030 reicht nicht: Wirtschaftsverbände unterstützen den Vorstoss für eine unabhängige Expertengruppe
Juso-Initiative ist ein Angriff auf Schweizer Traditionsunternehmen
Nationalrat stärkt die Sozialpartnerschaft
EU-Dossier: sgv startet breit abgestützten Vernehmlassungsprozess
