Homeoffice in KMU: Cyberrisiken werden unterschätzt
Dank moderner Infrastruktur und ortsunabhängigen Tätigkeiten konnten zwei Drittel der Schweizer KMU rasch auf den Corona-Lockdown reagieren und in vielen Fällen problemlos auf die Arbeit im Homeoffice umstellen. Auch wenn viele Unternehmen in der Arbeit von zu Hause aus auch grosse Chancen sehen, wird ein Aspekt zu wenig beachtet: Die Cyberrisiken. Denn obwohl bereits ein Viertel der Schweizer KMU Opfer eines folgenschweren Cyberangriffs war, führen zwei Drittel der KMU weder regelmässige Mitarbeiterschulungen zum Thema Cybersicherheit durch, noch existiert ein Sicherheitskonzept.
Von August bis Oktober 2020 befragte das Markt- und Sozialforschungsinstitut gfs-zürich in einer repräsentativen Umfrage 503 CEOs von kleinen Unternehmen (4 bis 49 Mitarbeitende) in der deutsch-, französisch- und italienischsprachigen Schweiz zu den Auswirkungen der Corona-Pandemie auf die Digitalisierung. Die Befragung wurde im Auftrag von digitalswitzerland, der Mobiliar, dem Nationalen Zentrum für Cybersicherheit (NCSC), der Hochschule für Wirtschaft der Fachhochschule Nordwestschweiz (FHNW) und der Schweizerischen Akademie der Technischen Wissenschaften (SATW) durchgeführt.
Chancen wahrgenommen – Cyberrisiken unterschätzt
Nachdem Anfang 2020 im Schnitt 10% der Beschäftigten vorwiegend von zuhause aus arbeiteten, taten dies während des Lockdowns fast viermal so viele (38 Prozent). Nach dem Lockdown gingen die Zahlen zwar wieder zurück, mit 16% der Beschäftigten im Homeoffice ist der Anteil im Vergleich zum Beginn des Jahres aber um 60% gestiegen. Während Schweizer KMU Flexibilität beweisen, werden die Risiken von Homeoffice und Digitalisierung von vielen unterschätzt. Einige Resultate der Studie im Einzelnen:
- Online-Konferenztools auf dem Vormarsch: Nach E-Mail und Telefon läuft die Kommunikation in KMU am häufigsten über private Kommunikationskanäle wie WhatsApp oder andere Messengerdienste. Mit dem Lockdown sind vor allem Online-Konferenztools wichtiger geworden: Der Anteil virtueller Sitzungen ist von 9% auf 20% gestiegen und hat sich somit mehr als verdoppelt.
- Ein Viertel der Schweizer KMU war schon Opfer eines folgenschweren Cyberangriffs: Von den schweizweit ca. 38’250 angegriffenen KMU trug rund ein Drittel (12’930 KMU) einen finanziellen Schaden davon und jeder zehnte Angriff hatte einen Reputationsschaden und/oder den Verlust von Kundendaten zur Folge.
- Präventive Massnahmen werden zu selten ergriffen: Trotz der häufigen Cyberattacken hat nur jedes zweite KMU einen Notfallplan für die Sicherstellung der Geschäftsfortführung und rund zwei Drittel führen weder regelmässige Mitarbeiterschulungen durch, noch haben sie ein Sicherheitskonzept im Unternehmen implementiert.
- Der Mensch als Risikofaktor – Cyberrisiken werden häufig unterschätzt: Nur knapp die Hälfte (47%) der CEOs gaben an, über sicherheitsrelevante Themen gut informiert zu sein. Noch drastischer ist das mangelnde Bewusstsein dafür, selbst Opfer eines Cyberangriffes zu werden: Nur gerade 11% schätzen das Risiko, durch einen Cyberangriff einen Tag ausser Gefecht gesetzt zu werden, als gross ein.
Bund will Rahmenbedingungen für Cybersicherheit weiter verbessern
Florian Schütz, Delegierter des Bundes für Cybersicherheit lobt die Anpassungsfähigkeit der Schweizer KMU: «Es ist erfreulich zu sehen, wie fortschrittlich auch die kleineren KMU der Schweiz in Bezug auf ihre IT-Infrastruktur aufgestellt sind und dass die Cybersicherheit immer mehr Beachtung findet. Der Lockdown hat gezeigt, wie wichtig der digitale Wandel ist, um anpassungsfähig zu bleiben. Viele KMU haben dies erkannt und ihre Digitalisierungsbemühungen beschleunigt. Die aktuelle Situation macht aber auch deutlich, wie wichtig es ist, dass wir Rahmenbedingungen schaffen, um die Cybersicherheit in der Schweiz so zu gestalten, dass die Chancen der Digitalisierung möglichst gut genutzt werden können. Der Bund will dazu seine Bemühungen weiter ausbauen und die Bevölkerung und Wirtschaft beim Schutz vor Cyberrisiken aktiv unterstützen.» Konkret hat der Bund in Zusammenarbeit mit digitalswitzerland einen Schnelltest für KMU entwickelt. Damit können kleine Unternehmen schnell und einfach prüfen, wie gut es um ihren Schutz vor Cyberrisiken steht. Auch bei der Verfolgung von Cyber-Straftaten ist mehr Effizienz gefordert. Diesbezüglich wird die Zusammenarbeit unter den Kantonspolizei-Corps verstärkt.
Rund 13000 KMU wurden schon Opfer eines Cyberangriffs
Wie oben erwähnt, wurden fast 13000 KMU schon einmal Opfer eines Cyberangriffs. Am meisten handelte es sich dabei um Fälle von Ransomware: Via Phishing oder offene Ports installierten Kriminelle eine Schadsoftware, welche Daten verschlüsselt und gegen Lösegeld wieder entschlüsselt. Andreas Hölzli, Leiter Kompetenzzentrum Cyber Risk der Mobiliar, bedauert, dass immer noch zu viele KMU denken, dass bei ihnen nichts zu holen sei. Entsprechend schlecht ausgebaut sei das Risikomanagement: «Das Problem ist, dass gerade organisatorische Massnahmen oftmals nicht so stark gewichtet werden. Unternehmen brauchen Massnahmen, die über die technischen Aspekte hinausgehen, dazu gehört zum Beispiel die Sensibilisierung ihrer Mitarbeitenden.» Neben technischen Schutzmassnahmen wie Antivirenprogramme oder Firewalls sind auch funktionierende Backups wichtig. „Wir machen leider oft die Erfahrung, dass Backups nicht richtig zurückgespielt werden können. Entweder sind die Daten ebenfalls verschlüsselt oder es wurden gar nicht alle Daten gesichert“, so Hölzli. Er weist deshalb nachdrücklich darauf hin, dass Backups immer vom System getrennt bleiben müssen. Ebenfalls vermisst er in vielen KMU eine Notfallplanung für den Fall, wenn es wegen eines Cyber-Vorfalls zu einem Betriebsunterbruch kommen sollte.
Homeoffice wird sich weiter etablieren – die Sensibilisierung für Cyberrisiken muss Schritt halten
Prof. Dr. Marc K. Peter von der FHNW ist überzeugt, dass sich das Homeoffice langfristig als Bestandteil der neuen Arbeitsweltstrategie des «Blended Working» etablieren wird: «In vielen Jobs wird ein Mix zwischen Arbeiten im Homeoffice und im Büro zum Alltag gehören. Dabei muss aber dringend berücksichtigt werden, dass dadurch die Anforderungen an wichtige Technologie- und IT-Sicherheitsinvestitionen in Schweizer KMU steigen.»
Die grosse Anzahl der von einem Cyberangriff betroffenen KMU ist für Nicole Wettstein, Programm Managerin Cybersecurity bei SATW, eine zusätzliche Motivation, die laufenden Sensibilisierungsaktivitäten voranzutreiben: «Es ist zentral, den Anteil an KMU, die minimale Massnahmen zum Cybersecurity-Grundschutz umsetzen, weiter zu erhöhen». Andreas W. Kaelin, stellvertretender Geschäftsführer und Leiter des Dossiers Cybersecurity bei digitalswitzerland, ergänzt: „Die Cyber-Resilienz der KMU muss steigen.“ Er spricht in diesem Zusammenhang von „unbewusster Inkompetenz“, die vielerorts noch zu stark verbreitet sei. Das Thema IT-Sicherheit an externe Dienstleister zu delegieren, greift da zu kurz. Kaelin weist darauf hin: «Laut der Umfrage lassen sich rund zwei Drittel der kleinen Unternehmen von externen IT-Dienstleistern unterstützen. Dies zeigt, dass wir dringend Massnahmen ergreifen müssen, die es den Unternehmen einfacher machen, vertrauenswürdige IT-Dienstleister zu identifizieren. Denn mit den Dienstleistern steht und fällt die Sicherheit eines Unternehmens». In Arbeit sei deshalb auch ein Label, das IT-Dienstleister für ihre Kompetenz in Sachen Cyberrisiken zertifiziert.
Quelle und weitere Informationen: ictswitzerland.ch und digitalswitzerland.com
