Gut ein Drittel der Schweizer KMU wurde bereits Opfer von Hackern. Doch nur jedes siebte sieht Cyberangriffe als Gefahr für sich. Was dieser Widerspruch für die Sicherheit Ihres Unternehmens bedeutet, diskutieren Markus Beck, Leiter Zahlungsverkehr Firmenkunden bei Raiffeisen, und Andreas Hölzli, Leiter Kompetenzzentrum Cyber Risk der Mobiliar, im Interview.
Der Zahlungsverkehr wird immer digitaler. Damit steigen auch die Cybergefahren für KMU. Wie verbreitet ist das Problem?
Andreas Hölzli: Gemäss einer repräsentativen Studie sind 36 Prozent der Schweizer KMU bereits einmal Opfer eines Cyberangriffs geworden und haben dadurch substanziellen Schaden erlitten.
Das ist viel. Sind sich die Unternehmerinnen und Unternehmer dieser Gefahr bewusst?
A. H.: Nein, das Risiko wird unterschätzt. In der gleichen Studie gaben bloss 15 Prozent an, dass sie Cyberangriffe als hohe oder sehr hohe Gefahr sähen. Gerade kleinere Unternehmen wiegen sich hier oft in falscher Sicherheit, weil sie denken, es treffe nur «die Grossen».
Markus Beck: Basierend auf meinem Kontakt mit Unternehmerinnen und Unternehmern kann ich aber sagen: Das Bewusstsein für die Gefahr ist in den letzten Jahren gestiegen.
A. H.: Das zeigt sich auch bei uns: Die Nachfrage nach Cyberschutzversicherungen, die wir 2017 lancierten, ist kontinuierliche gewachsen.
Cyberschutzversicherung für Unternehmen
Eine Cyberschutzversicherung ist eine gute Ergänzung zu präventiven Cyberschutzmassnahmen. Sie versichert neben der Datenwiederherstellung und der Entfernung von Schadprogrammen beispielsweise auch einen Ertragsausfall.
Interessiert? Raiffeisen bietet in Zusammenarbeit mit der Mobiliar eine umfassende Cyberschutzversicherung an.
Welchen Gefahren sind KMU konkret ausgesetzt?
A. H.: Am häufigsten werden sie Opfer von sogenannter Ransomware: Angreifer blockieren ihre Computersysteme und fordern Lösegeld, um die Blockade aufzuheben. Doch schon auf Platz zwei folgt der Internetbetrug. Eine häufige Form davon ist der sogenannte CEO-Fraud: Hierbei geben sich Hacker als Vorgesetzte aus und fordern Mitarbeitende unter Zeitdruck dazu auf, Zahlungen zu tätigen.
Das merkt man doch, ob es wirklich der Chef ist, der anruft oder eine Mail schreibt.
M. B.: Das war vielleicht früher so, dass man einen Täuschungsversuch schnell entlarven konnte. Mittlerweile haben wir aber schon von Fällen gehört, wo Stimmimitationssoftware verwendet wurde, um die Mitarbeitenden hinters Licht zu führen.
A. H.: Man darf sich Cyberkriminalität nicht als eine Ein-Mann-Operation vorstellen. Das Bild vom einsamer Hacker, der mit aufgesetzter Kapuze vor dem Bildschirm sitzt, ist veraltet: Heute lancieren hochprofessionelle Callcenter solche Angriffe. Dem eigentlichen Angriff geht in der Regel eine intensive Recherche voraus. E-Mails, die oft auf einem externen Server gehostet werden, können von böswilligen Akteuren relativ leicht abgefangen werden. Diese nutzen sie, um den Schreibstil des Vorgesetzten zu imitieren.
Wie kann ich mich gegen solche Angriffe schützen?
A. H.: Wichtig ist, dass man handelt, bevor etwas passiert. Dabei gibt es vier wesentliche Aspekte: Erstens die IT-Infrastruktur technisch schützen, also mit Anti-Virus-Software und Firewalls. Zweitens Backups erstellen, die vom System getrennt sind. Drittens die Mitarbeitenden schulen. Und viertens einen Notfallplan erstellen, falls trotzdem etwas passiert.
M. B.: Gerade die beiden letzten Punkte sind zentral: Es reicht nicht, den Schutz vor Cyberangriffen nur auf die Technik zu beschränken. Es braucht organisatorische Massnahmen – Regeln und Abmachungen, wie beispielsweise vorzugehen ist, wenn sich der Chef mit einem dringenden Zahlungsauftrag bei einem meldet.
Besteht hier bei den Schweizer KMU noch Handlungsbedarf?
A. H.: Ja, insbesondere im organisatorischen Bereich. Die meisten KMU arbeiten mit IT-Dienstleistern zusammen, die bereits die wichtigsten technischen Sicherheitsstandards erfüllen. «Die schauen dann schon» ist eine weitverbreitete Haltung. Bei allem, was darüber hinausgeht, scheuen viele KMU die Kosten.
M. B.: Dabei wäre die Rechnung recht einfach: Klar ist ein professionelles Sicherheitsaudit nicht gratis. Vergleicht man das aber mit dem Schaden, der entstehen kann, wenn tatsächlich mal alles stillsteht oder unautorisierte Zahlungen erfolgen, ist es eigentlich eine kleine Investition.
Wie weiss ich als KMU, ob meine Massnahmen ausreichen?
A. H.: Eine gute Standortbestimmung ist der KMU Schnell-Check des Bundes und verschiedener Technologiepartner. Dort erhalten Unternehmen nicht nur einen Eindruck davon, wie stark sie Cyberrisiken ausgesetzt sind, sondern auch Tipps, um die Sicherheit zu erhöhen.
Ist Ihr Unternehmen ausreichend geschützt?
KMU sind immer häufiger das Ziel von Cyber-Angriffen. Und diese können schwerwiegende Auswirkungen mit sich ziehen. Schon mit wenigen Massnahmen sorgen Sie dafür, Ihr Unternehmen gegen Cyber-Angriffe zu schützen. Ermitteln Sie mit dem Cyber-Check in wenigen Klicks das Risiko eines Cyberangriffs und erhalten Sie Ratgeber und Hilfsmittel zum Schutz Ihres Unternehmens.
Abgesehen von Fachleuten und Sicherheitstools: Was kann jeder Einzelne zur Sicherheit beitragen?
M. B.: Es ist wichtig, dass jeder Einzelne ein Bewusstsein für die Gefahren entwickelt. Typischerweise sind es E-Mails, von denen die grösste Gefahr ausgeht. Dass man nicht auf unbekannte Links klickt oder keine sensitiven Informationen wie Rechnungsdaten per Mail verschickt, muss jeder wissen. Als Unternehmer hat man die Pflicht, seine Mitarbeitenden entsprechend zu instruieren.
A. H.: Wir entstammen einer analogen Welt. Während es völlig selbstverständlich ist, die Haustüre abzuschliessen, fehlt dieses Bewusstsein, wenn es darum geht, den PC zu sperren, bevor man den Arbeitsplatz verlässt. Dieser Automatismus muss sich einstellen. Auch mit Passwörtern, die nicht «123456» lauten, kann jeder einen grossen Beitrag zur Sicherheit leisten. Wenn es mindestens acht Zeichen lang ist, Grossbuchstaben, Kleinbuchstaben und Sonderzeichen umfasst, ist ein Passwort schon sehr sicher – vorausgesetzt natürlich, dass man es nicht auf ein Post-it schreibt und an den PC-Bildschirm klebt.
Und bezogen auf den Zahlungsverkehr?
A. H.: Hier ist entscheidend, dass jeder User einen eigenen Account hat. Accounts und Passwörter zu teilen, ist ein No-Go.
M. B.: Auf Raiffeisen KMU eServices beispielsweise ist das gar nicht erst möglich.
Sprechen wir über diese Plattform. Sie bietet einen hohen Schutz vor Cyberangriffen. Wie wird das erreicht?
M. B.: Ein wesentlicher Aspekt ist, dass wir die Erfassung einer Zahlung von der Freigabe trennen. Das heisst konkret: Die Zahlungen werden in der Buchhaltungssoftware oder dem ERP-System des Unternehmens erfasst und automatisiert an den Raiffeisen-Bankrechner übermittelt. Um diese Zahlungen dann freizugeben, muss man sich auf KMU eServices einloggen. Dort haben wir als zusätzliches Sicherheitselement die Möglichkeit, eine Mehrfachzeichnung einzurichten – dass es also zwei Personen oder mehr braucht, um die Zahlung freizugeben. Alles zusammen basiert auf dem multibankfähigen EBICS-Standard, der an und für sich bereits sehr sicher ist.
Was muss ein KMU machen, wenn trotz allem etwas passiert? Also etwa, wenn Zahlungen erfolgt sind, die nicht hätten erfolgen dürfen?
M. B.: In dem Fall bleibt einem nichts anderen übrig, als schnellstmöglich mit der Bank Kontakt aufzunehmen. Wenn die Zahlung noch pendent ist, kann die Bank sie unter Umständen stoppen. Man muss aber wissen: Die Personen, die hinter Cyberangriffen stecken, sind gut informiert und wissen ganz genau, wann Banken ihre Zahlungen verarbeiten. Das Geld ist also sehr schnell auf dem Konto der Empfängerbank.
Kann eine Cyberschutzversicherung in diesem Fall Abhilfe schaffen?
A. H.: Ja. Vermögensschäden sind durch die Versicherung abgedeckt – ebenso der Ertragsausfall, wenn Systeme blockiert sind, die Kosten für Datenwiederherstellung und die Systemreinigung, falls Malware eingeschleust wurde. Hierbei gilt aber immer: Als KMU sollte man nicht entweder in eine Versicherung oder in Schutzmassnahmen investieren, sondern sowohl als auch.
Markus Beck ist Leiter Zahlungsverkehr Firmenkunden bei Raiffeisen.
Andreas Hölzli ist Leiter Kompetenzzentrum Cyber Risk der Mobiliar.