Über die Hälfte aller Schweizer KMU halten sich für gut vorbereitet auf eine Cyberattacke. Aber Notfallpläne und Verantwortlichkeiten für Cybersicherheit sind rar. Das ist das ernüchternde Fazit einer Studie. Denn KMU sind durchaus lohnende Ziele für Attacken von Cyberkriminellen.
Es ist ein Paradox: Zwar gibt eine knappe Mehrheit der KMU an, gut gerüstet für eine Cyberattacke zu sein. Doch gleichzeitig zeigt die Cyberstudie 2024, dass es insbesondere an organisatorischen Massnahmen fehlt. Dazu gehören etwa Notfallpläne, Sicherheitskonzepte oder Security-Awareness-Schulungen für Mitarbeitende. Und bei 44 Prozent der befragten KMU ist niemand für die IT-Sicherheit zuständig – obwohl Betriebsrisiken rechtlich Chefsache sind.
Gleichzeitig steigt die Zahl der Cyberattacken. So berichtet etwa das Bundesamt für Cybersicherheit (BACS), dass sich die Zahl der identifizierten Phishing-Sites 2024 gegenüber dem Vorjahr auf rund 20 000 verdoppelt habe. Gemäss der Cyberstudie wurden letztes Jahr 4 Prozent der befragten KMU Opfer einer schwerwiegenden Cyberattacke, was auf die Schweiz hochgerechnet rund 24 000 Unternehmen entspricht – Dunkelziffer nicht eingerechnet. Drei Viertel der Opfer erlitten dabei substanziellen finanziellen Schaden.
KMU kein Angriffsziel? Irrtum!
Kleine und mittlere Unternehmen gehen oft fälschlicherweise davon aus, keine lohnenden Ziele für Cyberkriminelle zu sein. Ein Blick auf die Vorgehensweise der Angreifer zeigt, dass dies ein Irrtum ist. Viele Cyberattacken zielen auf die Breite. Systeme im Internet werden im grossen Stil auf Sicherheitslücken durchsucht. Und Phishing-Mails in an sämtliche verfügbaren Adressen geschickt, ohne die Identität der Empfänger*innen zu kennen. Cyberkriminelle gehen opportunistisch vor: Oft greifen sie dort an, wo sich eine Möglichkeit bietet.
Und manchmal ist das Ziel der Angreifer auch nur, die Website eines Unternehmens für eigene Zwecke zu missbrauchen. Das zeigen Phishing-Mails, die versuchen, die Zugangsdaten zu Webhosting zu ergaunern. Unverdächtige, aber schlecht geschützte Webauftritte von Unternehmen sind hervorragend geeignet, um Phishing-Seiten unterzubringen und die Glaubwürdigkeit von Phishing-Mails zu verbessern. Dabei handelt es sich um die Zielseiten in Phishing-Links. Auf diesen Missbrauch weisst auch das BACS hin. Das Risiko, ins Visier der Cyberkriminellen zu geraten, ist also nicht direkt von der Unternehmensgrösse abhängig.
Zudem, Attacken auf viele kleine, oft schlechter geschützte Unternehmen lohnen sich in der Summe genauso wie ein Angriff auf ein Grossunternehmen. Kreditkarteninformationen oder Patientendaten lassen sich im Darknet leicht zu Geld machen.
Oder Cyberkriminelle verschlüsseln mittels Ransomware die Daten von KMU und geben sie erst gegen ein Lösegeld wieder frei. Dieses erhalten die Kriminellen oft auch, schliesslich sind die eigenen Daten für ein Unternehmen mitunter das Wichtigste, auch wenn sie objektiv betrachtet keinen Weiterverkaufswert haben. Hinzu kommt, dass Cyberkriminelle KMU und deren Daten auch als Eingangstor nutzen, um die IT-Systeme von Grossunternehmen anzugreifen.
Sicherheitslücken und Schwachstellen bei KMU
Für Cyberkriminelle sind KMU leichte Beute, weil sie ihre geschäftskritischen Daten oft nicht ausreichend sichern oder die Wiederherstellung nicht getestet ist. So haben zwar gegen 90 Prozent der KMU grundlegende Schutzmassnahmen wie Backups und regelmässige Updates etabliert. Aber nur zwei Drittel haben getestet, ob die Wiederherstellung auch funktioniert – ein zentraler Schritt eines Backup-Konzepts.
Dies wäre wichtig, da sonst viele KMU erst im Krisenfall beim Zurückspielen der Daten feststellen, dass Teile des Backups fehlen. Überhaupt scheint die Vorbeugung auf erfolgreiche Cyberattacken – oder sonstige Szenarien, die zu einem Betriebsunterbruch führen können –, erst in wenigen KMU etabliert. Nur ein Drittel verfügt über einen Notfallplan, gar nur ein Viertel über ein Sicherheitskonzept, das (auch) Cybersecurity-Massnahmen enthält.
Organisatorische Massnahmen als Schwachstellen
In der Folge kennen die wenigsten KMU ihre Sicherheits-Schwachstellen. Gemäss Studie hat nur ein Fünftel der befragten KMU je ein IT-Sicherheitsaudit durchgeführt, also eine Prüfung der eigenen Infrastruktur. Solche Audits decken Sicherheitslücken auf und identifizieren Risiken. Sie sollten deshalb regelmässig durchgeführt werden.
Besonders Änderungen in der IT-Landschaft, wie etwa der Umstieg auf Cloud-Umgebungen, schaffen neue Rahmenbedingungen oder Arbeitsweisen. Dadurch können neue Schwachstellen in der IT entstehen, beispielsweise durch mehr Homeoffice. Paradebeispiel: Jemand nutzt das Geschäfts-Notebook, um in der Freizeit zu Hause private Mails zu bearbeiten – was durchaus eine legitime Nutzung darstellen kann. Bloss, klickt die Person dabei auf einen Link in einem Phishing-Mail, kann dies die Sicherheit des Geschäftsrechners gefährden. Die Sensibilisierung der Mitarbeitenden mittels Security-Awareness-Trainings wäre deshalb umso wichtiger. Trotzdem führt gemäss Studie nur ein Drittel der KMU regelmässige Schulungen durch – etwa genauso viele, wie einen Passwortmanager verwenden.
360-Grad-Grundschutz gegen Cyberrisiken
Swisscom unterstützt Sie mit umfassendem IT-Security-Know-how bei der Identifikation von Sicherheitslücken, mit Empfehlungen für Sicherheitsmassnahmen sowie mit passenden technischen Lösungen.
➔ Über Cybersecurity informiert bleiben mit unserem Newsletter
