Cybersicherheit: KMUs mit IT-Dienstleistern besser aufgestellt
KMUs schützen sich eher vor Cyberangriffen, wenn sie mit einem IT-Dienstleister zusammenarbeiten. Das zeigt die dritte KMU-Studie der Mobiliar und ihrer Partner zu Homeoffice und Cybersicherheit. Viele Hilfsmittel stärken IT-Dienstleister in ihrer Schlüsselrolle bei Unternehmen. Doch bleiben Lücken.
Bereits zum dritten Mal hat die Mobiliar gemeinsam mit Digitalswitzerland, der Fachhochschule Nordwestschweiz, der Schweizerischen Akademie der Technischen Wissenschaften und GFS-Zürich eine repräsentative Umfrage zum Thema Homeoffice und Cybersicherheit durchgeführt. Befragt wurden 2022 über 500 Schweizer KMU-Geschäftsführende aus allen Landesteilen. Die wichtigsten Erkenntnisse der Studie: Das Risikobewusstsein für Cybergefahren ist weiterhin tief. Insbesondere werden organisatorische Cyberschutz-Massnahmen vernachlässigt. Gleichzeitig sinken die Zahlen der Mitarbeitenden im Homeoffice fast auf ein vorpandemisches Niveau.
Gut informiert, aber …
Zum Thema Cybersicherheit fühlen sich die KMU-Geschäftsleitenden recht gut informiert, die Hälfte sogar eher bis sehr gut. Je besser der Informationsstand über Cyberrisiken, desto eher werden Sicherheitsmassnahmen umgesetzt, vor allem technische. Daran hat sich im Vergleich zu den Vorjahren nicht viel geändert. Gerade dort, wo Internetkriminelle am häufigsten angreifen – bei den Mitarbeitenden – harzt es jedoch weiterhin mit der Planung und Umsetzung von Cyberschutzmassnahmen.
(Source: Mobiliar)
Die Schlüsselrolle der IT-Dienstleister
Ein anderes Studienresultat sticht ins Auge: Wer mit einem IT-Dienstleister zusammenarbeitet (30 Prozent der KMUs, aber mit grossen regionalen Unterschieden), setzt mehr Cyberschutzmassnahmen um.
Lücken bleiben
Die Zusammenarbeit zwischen KMU und IT-Dienstleister wirkt sich also positiv auf die Cybersicherheit eines Unternehmens aus. Aber ganz so rosig, wie es klingt, ist die Lage nicht. Andreas W. Kaelin, Geschäftsführer der «Allianz Digitale Sicherheit Schweiz», sagt: «Oft delegieren KMUs das Thema Cybersicherheit blind an ihren IT-Dienstleister. Und klären dabei weder, wer was macht, noch wissen sie, wie kompetent ihr IT-Partner tatsächlich ist.» Die Folge davon seien Lücken im Cyberschutz.
Werkzeugkasten für IT-Dienstleister
Verschiedene Initiativen helfen KMUs und IT-Dienstleistern bei der Abwehr von Cyberattacken. Eine davon ist die digitale Plattform Cybero, unter anderem getragen vom Nationalen Zentrum für Cybersicherheit (NCSC) und der Mobiliar. Die Plattform will KMUs die gleichen Möglichkeiten geben wie Grossunternehmen, um sich vor Cyberkriminellen zu schützen. Cybero stellt kostenlos Wissen und Werkzeuge bereit: unter anderem ein Cyberschutz-Training für Kleinstunternehmen, eine Dienstleisterdatenbank, Audit-Unterstützung sowie ein Cyber-Check zur KMU-Selbstbeurteilung, aus dem IT-Dienstleister Cyberschutz-Massnahmen für ihre Kunden ableiten können.
Cyber-Resilienz der Schweizer KMUs im Blick
Auch das Gütesiegel «CyberSeal» der «Allianz Digitale Sicherheit Schweiz» will die Zusammenarbeit zwischen KMUs und IT-Dienstleistern verbessern. Es bestätigt die Kompetenz eines IT-Dienstleisters, seine Kunden angemessen zu schützen. «Alle profitieren davon», sagt Andreas W. Kaelin. «Der IT-Dienstleister vom zusätzlichen Know-how und einer besseren Marktposition und das KMU von der Gewissheit, gut geschützt zu werden.» So wird die Sicherheit der KMUs im digitalen Raum laufend gestärkt. Und IT-Dienstleister können ihrer wichtigen Schlüsselrolle im Cyberschutz noch besser gerecht werden.
Alle wichtigen Resultate der Studie «Homeoffice und Cybersicherheit in Schweizer KMU» sowie alle Infografiken finden Sie auf: www.mobiliar.ch/kmu-studie
«Bei den organisatorischen Massnahmen gibt es noch viel Luft nach oben»
Viele Schweizer KMUs fühlen sich recht gut informiert, wenn es um Cybersecurity geht. Eine trügerische Sicherheit. Weshalb das Risikobewusstsein zu tief ist und wie man es steigern kann, sagt Andreas Hölzli, Leiter des Kompetenzzentrums Cyber Risk der Mobiliar. Interview: Coen Kaat
Wie steht es um die Cybersecurity der Schweizer KMUs?
Andreas Hölzli: Laut einer Studie aus dem vergangenen Jahr sind bereits ein Drittel der KMUs Opfer von Cyberkriminalität geworden – am häufigsten mittels Malware, Viren und Trojanern. Die Studie belegt, dass bereits von Cyberattacken betroffene Unternehmen ihre Schutzmassnahmen eher erhöhen als andere. Bei den Massnahmen zeigt sich aber eine gewisse Diskrepanz. Technische Massnahmen werden häufig ergriffen. Dazu zählen etwa regelmässige Backups, Software-Updates und die Sicherung von WLAN-Netzwerken mit Passwörtern. Bei den organisatorischen Massnahmen gibt es hingegen noch immer viel Luft nach oben. Notfallpläne, Sicherheitsaudits oder die Schulung der Mitarbeitenden werden noch zu selten in Angriff genommen. Dabei könnten Unternehmen bereits mit einfachen Präventionsmassnahmen das Risiko eines Cyberangriffes deutlich minimieren.
Das Risikobewusstsein ist laut der Studie weiterhin tief. Woran liegt das?
Die Geschäftsleitung in den meisten KMUs fühlt sich einerseits recht gut informiert, wenn es um Cybersicherheit geht. Gerade kleinere Unternehmen wiegen sich jedoch oft in falscher Sicherheit, weil sie glauben, Cyberattacken träfen nur «die Grossen». Aber alle, die einen Zugang zum Internet haben, haben damit auch einen direkten Draht zu Hackern. Wenn man über Nacht die Firmentüre offen lässt, ist das Risiko eines Einbruchs nachvollziehbar. Einem Computer sieht man jedoch nicht an, ob er gehackt wurde. Die Konsequenzen für den Geschäftsalltag mögen zwar einschneidend sein, die Gefahren sind im Vorfeld jedoch nur schwer zu fassen. Während sich in grösseren Unternehmen ganze Abteilungen mit der Abwehr von Cyberattacken beschäftigen, schützen sich viele KMUs zu wenig und sind so für Hacker leichte Beute.
Und wie kann man dieses Bewusstsein steigern?
Durch Wissensaufbau und Sensibilisierung: indem man etwa die möglichen Gefahren und Risiken aufzeigt und sie so greifbarer macht. Bewusstsein allein reicht jedoch nicht aus. Nur durch Handlungen wird das Risiko, Opfer eines Cyberangriffs zu werden, minimiert.
Was raten Sie Unternehmen, die einen IT-Dienstleister suchen, um ihr Sicherheitsniveau zu erhöhen?
Ein guter Richtwert ist die ISO-Zertifizierung für Informationssicherheit (ISO27001). Ferner informiert auch das Gütesiegel «CyberSeal» der Allianz Digitale Sicherheit Schweiz über die Kompetenzen in dem Bereich. Es zeichnet IT-Dienstleister aus, die ihren Kunden mit den nötigen technischen und organisatorischen Massnahmen ein angemessenes Schutzniveau gewährleisten. Auf www.cybero.ch kann man auf Cybersicherheit spezialisierte IT-Dienstleister finden und auch einen ersten kostenlosen Cyber-Check durchführen. Am besten suchen Unternehmen den persönlichen Austausch mit einem potenziellen IT-Dienstleister und erkundigen sich nach relevanten Zertifizierungen, Referenzen und Leistungsnachweisen.
Worauf gilt es zu achten, wenn man die Security an einen IT-Dienstleister auslagert?
Auch wenn die Security ausgelagert wird, die Verantwortung dafür bleibt beim KMU. Die genauen Verantwortlichkeiten und die Aufgabenteilung zwischen KMU und IT-Dienstleister müssen klar in einem Zusammenarbeitsvertrag geregelt werden. Dieser sollte technische, organisatorische, prozessuale und rechtliche Themen beinhalten. In der Vertragsgestaltung sind Regelungen zu vereinbaren, die sicherstellen, dass die datenschutzrechtlichen Bestimmungen und sonstige Sicherheitsanforderungen eingehalten werden.