Ist meine Firma vor Cyberattacken geschützt? Die 5 grössten Irrtümer
Schweizer KMU irren sich oft, was die Sicherheit ihrer IT angeht. Warum sich Unternehmen mehr darum kümmern sollten, erklärte die Cyber-Expertin Amelie Hergert von Baloise.
Verfasst von Loris Gregorio
Wöchentlich melden Schweizer Unternehmen rund 1000 Cyberangriffe, dazu kommt eine Dunkelziffer von Attacken, die nicht bemerkt oder berichtet werden. Bei einem erfolgreichen Angriff können Hacker Daten eines KMU klauen, manipulieren oder unwiderruflich löschen. Mögliche Folgen für Unternehmen sind Reputationsverlust, finanzielle Schäden oder gar ein Konkurs.
Firmen können jedoch einige Massnahmen treffen, um Cyberrisiken zu minimieren. Das erklärte die Amelie Hergert im Webinar von Gryps. Sie ist Head of Cyber Insurance bei Baloise und beschäftigt sich seit über sieben Jahren mit dem Thema Cybersicherheit. Im Webinar zeigt die Expertin fünf Irrtümer auf, die Schweizer KMU vermeintlich als Schutz vor Hackerangriffen ansehen.
Irrtum 1: «Meine Daten sind in der Cloud sicher.»
Als Beispiel nennt Hergert einen Fall aus dem Jahr 2021: Damals brannte Europas grösstes Rechenzentrum in Strassburg. Einige der dort gespeicherten Daten gingen für immer verloren, sofern die Unternehmen oder Personen ihre Daten nicht auch anderweitig geschützt hatten.
In Strassburg handelte es sich nun um einen Feuerschaden. Doch auch Hacker haben es auf Cloud-Anbieter abgesehen, wie Amelie Hergert erklärt. Sie betont: «Natürlich gehen wir davon aus, dass die Daten in der Cloud möglichst sicher sind. Die Risiken müssen aber nach wie vor berücksichtigt werden.»
Irrtum 2: «Meine Daten sind nicht interessant genug! Mein Unternehmen ist zu klein!»
«Cyberkriminelle wissen, wie wichtig Daten für Unternehmen sind», erklärt die Expertin. Dazu gehören persönliche Daten der Mitarbeitenden, Bankdaten oder Geschäftsgeheimnisse. Daraus wollen Cyberkriminelle Geld machen. Dabei handelt es sich in der Regel um professionelle Organisationen von Hackern, die wissen, wie man aus solchen Daten Geld macht.
Daraus folgt der zweite Irrtum, dass Daten nicht interessant seien für Cyberkriminelle oder ein Unternehmen zu klein sei. Hacker unterscheiden nicht zwischen Einzelunternehmen oder grossen Konzernen.
Gut informiert zur richtigen Versicherungslösung
Mit Webinaren, Fachbeiträgen, Tipps und Ratgebern vermitteln wir wichtiges Versicherungswissen für Ihr Unternehmen – damit Sie fundierte Entscheidungen treffen und Ihre Geschäftsziele erreichen.
Irrtum 3: «Ich habe einen Antivirus-Schutz oder einen IT-Security-Provider und bin geschützt.»
McAfee, Kaspersky oder Norton – es gibt mittlerweile eine lange Liste von Antivirus-Programmen. Diese schützen zwar gut, sie sind jedoch nicht hundertprozentig fehlerfrei beziehungsweise dicht gegen Cyberattacken.
Ein Cybersecurity-Anbieter, dessen Namen in den vergangenen Wochen oft in den Medien war, ist Crowdstrike. Hier war ein Software-Update die Ursache für einen weltweiten IT-Ausfall. Selbst der Flughafen Zürich musste am 19. Juli 2024 132 Flüge streichen, tausende Passagiere sind gestrandet.
Irrtum 4: «Ich habe ein starkes Passwort!»
Cyberkriminelle kommen durch Phishing-Mails, gefälschte QR-Codes oder Fake-Websites an Daten. Wobei die meisten – 91 Prozent – per Mail beginnen. Dabei kann ein Mail täuschend echt aussehen, als ob es von Microsoft kommt, jedoch mit einem falschen Link. Mitarbeitende klicken oft darauf, weil sie zu wenig sensibilisiert sind.
«Das Thema Cyber-Sensibilisierung ist zwar angekommen, aber noch nicht so, wie ich es mir wünschen würde», sagt Hergert. Simple Sachen – wie etwa zu einfache Passwörter – bestätigen diese Aussage der Expertin. Am beliebtesten bleibt auch in der Schweiz das Passwort «123456». Sie empfiehlt hier einen Passwortmanager. Noch besser wäre eine Zwei- oder sogar Drei-Faktor-Authentifizierung.
Cyberversicherung gesucht?
Das KMU-Portal Gryps unterstützt Sie kostenlos bei der Suche nach der passenden Cyberversicherung. Unsere KMU-Einkaufsexperten arbeiten mit über 150 geprüften Anbietern in der Schweiz zusammen und beraten Sie gerne. Füllen Sie dazu einfach unseren Fragebogen aus.
Irrtum 5: «Meine Mitarbeitenden werden regelmässig geschult.»
Es gibt noch eine weitere Möglichkeit, wie Cyberkriminelle Mitarbeitende hinters Licht führen. Diese nennt sich Social Engineering. Hergert: «Es geht primär darum, dass Mitarbeitenden falsche Identitäten vorgetäuscht werden, um sie dann zu einer Handlung zu zwingen.» Dazu gehören: Zahlungen anzuweisen, die umgeleitet werden sowie Daten oder Informationen rauszugeben, die vertraulich sind.
Die Expertin zeigt ein Beispiel aus dem aktuellen Schaden-Portfolio von Baloise. Eine Mitarbeiterin erhält eine E-Mail, die angeblich von ihrem Chef stammt. Sie antwortet darauf. In Wirklichkeit kommt die E-Mail aber von Cyberkriminellen. Auch hier gibt es keine hundertprozentige Sicherheit, doch Unternehmen sollten ihre Mitarbeitenden regelmässig über neue Angriffsmethoden aufmerksam machen und sensibilisieren.
Im Webinar von Gryps zeigte die Baloise-Expertin zudem auf, wie Unternehmen bei einem Cyberangriff handeln müssten und was sie auf keinen Fall tun sollten. Zudem zeigt Hergert auf, wie eine Cyberversicherung im Schadenfall hilft. Schauen Sie sich jetzt die Aufzeichnung an oder laden Sie die Präsentation runter.