Cyberangriffe nehmen zu und KMU sind stark betroffen. Oft sind sie schlechter geschützt als Grossunternehmen. Erfahren Sie:
- Was Cyberresilienz ist
- Warum sie für jedes Unternehmen wichtig ist
- Wie Sie die Cyberresilienz stärken
-
In unserer digitalisierten Welt sind die Unternehmen von einer funktionierenden IT abhängig. Cyberattacken, beispielsweise Ransomware-Angriffe, nehmen jedoch zu. Schlecht geschützte KMU werden schnell zu Opfern.
-
Cybersicherheit allein auf technischer Stufe reicht allerdings nicht. Besser ist ein ganzheitlicher, strategischer Ansatz, der das Unternehmen auf zwei Ebenen widerstandsfähig gegen Cyberbedrohungen macht. Er schützt es einerseits gegen Angriffe und bereitet es andererseits optimal auf das Bewältigen einer erfolgreichen Attacke vor. Diese Widerstandsfähigkeit heisst Cyberresilienz.
-
Eine hohe Cyberresilienz ist wichtig, weil erfolgreiche Attacken für das angegriffene Unternehmen kostspielig sind, und zwar weil sie Geschäftsabläufe zum Stillstand bringen, die Datensicherheit gefährden sowie die Reputation und das Vertrauen der Kundinnen und Kunden aufs Spiel setzen.
-
Cyberresilienz ist kein reines IT-Thema, sondern Teil des strategischen Risikomanagements. Das Thema ist auf der obersten Führungsstufe angesiedelt und umfasst das ganze Unternehmen. Insbesondere geht es um Mitarbeitende (Wissensvermittlung rund um sicheres Arbeiten zum Beispiel), IT-Infrastruktur (darunter Schliessen technischer Schwachstellen) und Prozesse (etwa Zugriffsverwaltung und das Erstellen und Einüben von Notfallkonzepten).
-
Externe Partner wie IT-Dienstleister, IT-Beratungen und Versicherungen können dabei helfen, Cyberrisiken zu identifizieren, zu senken, zu beheben oder in Form einer finanziellen Absicherung zu übernehmen.
Cyberresilienz erlaubt es Unternehmen, Cyberrisiken zu erkennen und abzuwehren. Gleichzeitig werden die Folgen erfolgreicher Angriffe minimiert und die Geschäftskontinuität wird sichergestellt.
Anders formuliert ist Cyberresilienz eine unternehmensweite, risikobasierte Strategie für den bestmöglichen präventiven und reaktiven Umgang mit Cyberrisiken – und eine Chance, aus Angriffen maximal zu lernen.
In der Psychologie steht Resilienz für die Fähigkeit, Krisen erfolgreich zu meistern und sich schnell davon zu erholen. Ein Synonym für Resilienz ist Widerstandskraft oder Widerstandsfähigkeit. Mit dem Begriff der Cyberresilienz wird dieses psychologische Konzept auf die digitale Welt übertragen.
In der Regel wird Cyberresilienz im Zusammenhang mit Cyberkriminalität thematisiert. IT-Ausfälle können jedoch noch andere Ursachen haben. Bei Naturkatastrophen wie Überschwemmungen können beispielsweise Server im Untergeschoss Schaden nehmen. Auch der Vorfall vom 19. Juli 2024, bei dem ein fehlerhaftes Update der IT-Security-Firma Crowdstrike zu globalen IT-Problemen bei Microsoft-Usern geführt hat, zeigt, wie verletzlich unsere vernetzte Welt ist. Wer sich frühzeitig mit dem Thema Cyberresilienz auseinandersetzt, hat auch bei solchen Ereignissen Vorteile und behält die Situation besser unter Kontrolle als unvorbereitete Unternehmen.
Cyberresilienz ist ein wichtiger Teil des strategischen Risikomanagements eines Unternehmens. Sie dient dazu, die Sicherheit zu erhöhen, den Verlust von Geld und Kundenvertrauen zu verhindern und den nachhaltigen Unternehmenserfolg zu sichern.
In den letzten Jahren hat die Anzahl der Cyberangriffe global laufend zugenommen. Oft sind Privatpersonen davon betroffen, aber genauso Unternehmen jeder Grösse. Je weniger Schutzmassnahmen getroffen werden, desto eher hat ein Angriff Erfolg. Beispielsweise durch E-Mails, in denen unter einem Vorwand nach Passwörtern gefragt wird (Phishing), oder durch einen Ransomware-Angriff, bei dem Daten verschlüsselt werden und Geld erpresst wird. Bei den meisten Angriffen sind es nicht technische Schwachstellen, die ausgenützt werden. Vielmehr ist es ein Mitarbeiter, der auf einen Manipulationsversuch falsch reagiert und Zugangsdaten am falschen Ort eingibt. Der Fachbegriff für dieses Vorgehen lautet «Social Engineering» und wird vom Bundesamt für Cybersicherheit (BACS) als häufigste Angriffsmethode genannt.
Mögliche Auswirkungen einer aus Angreifersicht erfolgreichen Cyberattacke sind:
- Absturz und Blockade der Website-Services
- Gefährdung der Datensicherheit durch Datendiebstahl oder Datenverlust
- Ausfall von Systemen, kein Zugriff auf Daten
- Finanzielle Schäden durch Betriebsstillstand und Datenwiederherstellung
- Haftpflichtrechtliche Ansprüche aufgrund von Datenschutzverletzung
- Reputationsschäden
💡 Tipp
Noch besteht in der Schweiz im Gegensatz zu anderen europäischen Ländern keine Meldepflicht für Cyberereignisse. Diese wird per 01. Januar 2025 für kritische Infrastruktur eingeführt, wie im Bundesgesetz über die Informationssicherheit beim Bund festgehalten wird. Unabhängig davon ist es sinnvoll, Cyberattacken dem Bundesamt für Cybersicherheit zu melden, damit andere Unternehmen gewarnt werden können.
Für Cyberresilienz gibt es kein einfaches Rezept, das sich auf alle Unternehmen anwenden lässt. Denn ein kleiner Onlineshop hat andere Voraussetzungen und Bedingungen als eine Buchhaltungsfirma, eine Arztpraxis, ein Kleiderladen, ein Transportunternehmer oder ein landwirtschaftlicher Betrieb. Alle haben sie jedoch eines gemeinsam: Sie arbeiten mit einer digitalen Infrastruktur und mit mehr oder weniger sensiblen Daten, die von Cyberkriminellen mit Cyberangriffen attackiert werden, was den Geschäftsbetrieb massiv zu beeinträchtigen vermag.
Für die Strategie in Sachen Cyberresilienz heisst das:
- Unternehmen müssen ihre individuelle Kombination von Abwehrmassnahmen zusammenstellen, um den Schutz vor Cyberbedrohungen zu erhöhen (präventiv) und im Angriffsfall so gut wie möglich reagieren zu können (reaktiv).
- Die Massnahmen haben das ganze Unternehmen auf Stufe der Mitarbeitenden, der IT-Infrastruktur und der Prozesse zu umfassen.
- Alle Massnahmen zielen darauf ab, Cyberrisiken zu identifizieren, zu senken oder zu beseitigen, auch in Zusammenarbeit mit externen Partnern.
- Die Verantwortung für die Cyberresilienzstrategie liegt nicht bei den Informatikverantwortlichen, sondern sollte auf der obersten Führungsstufe angesiedelt sein.
Ein (unvollständiger) Massnahmenplan könnte am Beispiel eines Dienstleistungsunternehmens so aussehen:
Mitarbeitende/Organisation | IT-Infrastruktur | Prozesse | |
---|---|---|---|
Präventive Massnahmen |
|
|
|
Reaktive Massnahmen (nach einem Angriff) |
|
|
|
Produzierende Unternehmen sollten darüber hinaus beispielsweise auch Ausweichstandorte ins Auge fassen, wo sich notfalls ein Übergangsbetrieb aufziehen lässt und die Produktion weiterlaufen kann. Auf der Website des Bundesamts für Cybersicherheit finden Sie weitere Massnahmen, die speziell auf KMU ausgerichtet sind.
Mit einem wie in der Tabelle skizzierten Massnahmenpaket erhöht ein Unternehmen seine Cyberresilienz und seine Fähigkeit, richtig und schnell zu reagieren. Es bleibt auch im Falle einer erfolgreichen Cyberattacke handlungsfähig. Die Ausfallzeiten und die Auswirkungen eines Angriffs werden minimiert.
Cybersicherheit schützt vor Cyberangriffen. Cyberresilienz hingegen stellt sicher, dass ein Unternehmen auch nach einem erfolgreichen Angriff schnell wieder auf die Beine kommt und seinen Betrieb fortsetzen kann.
Cybersicherheit («cybersecurity») und Cyberresilienz gehen Hand in Hand. Cybersicherheit ist jedoch nur ein Teil davon, was Cyberresilienz ausmacht. Im Gegensatz zur Cybersicherheit, die auf sichere Technologie fokussiert, ist Cyberresilienz eine ganzheitliche Strategie, die neben Technologie auch Mitarbeitende, Prozesse, Know-how etc. umfasst.
Erhöht ein Unternehmen mit diversen Massnahmen seine Cybersicherheit, sinkt zwar die Chance eines erfolgreichen Cyberangriffs. 100% Cyberschutz und Ausfallsicherheit für die Systeme gibt es allerdings nicht. Zu schnell entdecken Cyberkriminelle immer wieder neue Schwachstellen, nutzen sie aus und entwickeln neue Strategien, um an Daten und Geld zu kommen. Deshalb ist die erweiterte Sichtweise der Cyberresilienz die bessere Strategie zum Schutz des eigenen Unternehmens vor Cyberkriminalität – nicht zuletzt um insbesondere dann, wenn die Cyberattacke gelingt, das Richtige zu tun.
Identifizieren Sie zuerst alle internen und externen Beteiligten, die Sie für Ihren Massnahmenplan brauchen. Klären Sie mit ihnen das weitere Vorgehen, den Zeitplan und wer für welche Massnahmen verantwortlich ist. Geeignete Partner wie beispielsweise Ihr IT-Dienstleister oder eine IT-Beratung können Ihnen dabei helfen, diese Analyse durchzuführen und Massnahmen zu entwickeln. Mit einer Cyberversicherung sichern Sie überdies die finanziellen Risiken eines Cyberangriffs ab.
Sie möchten Ihr Unternehmen vor finanziellen Schäden durch Cyberkriminalität schützen. Wir unterstützen Sie gerne mit unserer Cyberversicherung für KMU.
Melden Sie uns Ihren Schaden online: