DE EN FR IT Schadenmeldung Link öffnet in einem neuen Tab BVG Dokumente Partnerbetriebe Berater oder Standorte finden Bankkonditionen Magazin Jobs KMU Betriebsrechtsschutz Cyber-Versicherung Haftpflichtversicherung
Kundenservice
24h Hotline 00800 24 800 800
Aus dem Ausland: +41 58 285 28 28
Kontakt & Services
myBaloise E-Banking Link öffnet in einem neuen Tab Logout
Nachhaltigkeitsplattform für KMU So stärken Sie die Cyberresilienz Ihres Unternehmens

Cyberangriffe nehmen zu und KMU sind stark betroffen. Oft sind sie schlechter geschützt als Grossunternehmen. Erfahren Sie:

  • Was Cyberresilienz ist 
  • Warum sie für jedes Unternehmen wichtig ist 
  • Wie Sie die Cyberresilienz stärken
Zur Zusammenfassung
23. Oktober 2024
Eine erfolgreiche Cyberattacke auf ein Unternehmen kann hohe Kosten nach sich ziehen. Denn sie gefährdet nicht nur die Datensicherheit. Im schlimmsten Fall steht das Unternehmen tagelang still und erleidet einen Reputationsschaden. Erfahren Sie, wie Sie Ihr Unternehmen cyberresilient machen.
Zusammenfassung
  • In unserer digitalisierten Welt sind die Unternehmen von einer funktionierenden IT abhängig. Cyberattacken, beispielsweise Ransomware-Angriffe, nehmen jedoch zu. Schlecht geschützte KMU werden schnell zu Opfern.  

  • Cybersicherheit allein auf technischer Stufe reicht allerdings nicht. Besser ist ein ganzheitlicher, strategischer Ansatz, der das Unternehmen auf zwei Ebenen widerstandsfähig gegen Cyberbedrohungen macht. Er schützt es einerseits gegen Angriffe und bereitet es andererseits optimal auf das Bewältigen einer erfolgreichen Attacke vor. Diese Widerstandsfähigkeit heisst Cyberresilienz

  • Eine hohe Cyberresilienz ist wichtig, weil erfolgreiche Attacken für das angegriffene Unternehmen kostspielig sind, und zwar weil sie Geschäftsabläufe zum Stillstand bringen, die Datensicherheit gefährden sowie die Reputation und das Vertrauen der Kundinnen und Kunden aufs Spiel setzen. 

  • Cyberresilienz ist kein reines IT-Thema, sondern Teil des strategischen Risikomanagements. Das Thema ist auf der obersten Führungsstufe angesiedelt und umfasst das ganze Unternehmen. Insbesondere geht es um Mitarbeitende (Wissensvermittlung rund um sicheres Arbeiten zum Beispiel), IT-Infrastruktur (darunter Schliessen technischer Schwachstellen) und Prozesse (etwa Zugriffsverwaltung und das Erstellen und Einüben von Notfallkonzepten). 

  • Externe Partner wie IT-Dienstleister, IT-Beratungen und Versicherungen können dabei helfen, Cyberrisiken zu identifizieren, zu senken, zu beheben oder in Form einer finanziellen Absicherung zu übernehmen.

Was ist Cyberresilienz?

Cyberresilienz erlaubt es Unternehmen, Cyberrisiken zu erkennen und abzuwehren. Gleichzeitig werden die Folgen erfolgreicher Angriffe minimiert und die Geschäftskontinuität wird sichergestellt.

Anders formuliert ist Cyberresilienz eine unternehmensweite, risikobasierte Strategie für den bestmöglichen präventiven und reaktiven Umgang mit Cyberrisiken – und eine Chance, aus Angriffen maximal zu lernen.  

In der Psychologie steht Resilienz für die Fähigkeit, Krisen erfolgreich zu meistern und sich schnell davon zu erholen. Ein Synonym für Resilienz ist Widerstandskraft oder Widerstandsfähigkeit. Mit dem Begriff der Cyberresilienz wird dieses psychologische Konzept auf die digitale Welt übertragen. 

In der Regel wird Cyberresilienz im Zusammenhang mit Cyberkriminalität thematisiert. IT-Ausfälle können jedoch noch andere Ursachen haben. Bei Naturkatastrophen wie Überschwemmungen können beispielsweise Server im Untergeschoss Schaden nehmen. Auch der Vorfall vom 19. Juli 2024, bei dem ein fehlerhaftes Update der IT-Security-Firma Crowdstrike zu globalen IT-Problemen bei Microsoft-Usern geführt hat, zeigt, wie verletzlich unsere vernetzte Welt ist. Wer sich frühzeitig mit dem Thema Cyberresilienz auseinandersetzt, hat auch bei solchen Ereignissen Vorteile und behält die Situation besser unter Kontrolle als unvorbereitete Unternehmen.

Warum ist Cyberresilienz wichtig?

Cyberresilienz ist ein wichtiger Teil des strategischen Risikomanagements eines Unternehmens. Sie dient dazu, die Sicherheit zu erhöhen, den Verlust von Geld und Kundenvertrauen zu verhindern und den nachhaltigen Unternehmenserfolg zu sichern.

In den letzten Jahren hat die Anzahl der Cyberangriffe global laufend zugenommen. Oft sind Privatpersonen davon betroffen, aber genauso Unternehmen jeder Grösse. Je weniger Schutzmassnahmen getroffen werden, desto eher hat ein Angriff Erfolg. Beispielsweise durch E-Mails, in denen unter einem Vorwand nach Passwörtern gefragt wird (Phishing), oder durch einen Ransomware-Angriff, bei dem Daten verschlüsselt werden und Geld erpresst wird. Bei den meisten Angriffen sind es nicht technische Schwachstellen, die ausgenützt werden. Vielmehr ist es ein Mitarbeiter, der auf einen Manipulationsversuch falsch reagiert und Zugangsdaten am falschen Ort eingibt. Der Fachbegriff für dieses Vorgehen lautet «Social Engineering» und wird vom Bundesamt für Cybersicherheit (BACS) als häufigste Angriffsmethode genannt. 

Mögliche Auswirkungen einer aus Angreifersicht erfolgreichen Cyberattacke sind:

  • Absturz und Blockade der Website-Services  
  • Gefährdung der Datensicherheit durch Datendiebstahl oder Datenverlust 
  • Ausfall von Systemen, kein Zugriff auf Daten 
  • Finanzielle Schäden durch Betriebsstillstand und Datenwiederherstellung 
  • Haftpflichtrechtliche Ansprüche aufgrund von Datenschutzverletzung 
  • Reputationsschäden 

💡 Tipp

Noch besteht in der Schweiz im Gegensatz zu anderen europäischen Ländern keine Meldepflicht für Cyberereignisse. Diese wird per 01. Januar 2025 für kritische Infrastruktur eingeführt, wie im Bundesgesetz über die Informationssicherheit beim Bund festgehalten wird. Unabhängig davon ist es sinnvoll, Cyberattacken dem Bundesamt für Cybersicherheit zu melden, damit andere Unternehmen gewarnt werden können.  

So stärken Sie die Cyberresilienz in Ihrem Unternehmen

Für Cyberresilienz gibt es kein einfaches Rezept, das sich auf alle Unternehmen anwenden lässt. Denn ein kleiner Onlineshop hat andere Voraussetzungen und Bedingungen als eine Buchhaltungsfirma, eine Arztpraxis, ein Kleiderladen, ein Transportunternehmer oder ein landwirtschaftlicher Betrieb. Alle haben sie jedoch eines gemeinsam: Sie arbeiten mit einer digitalen Infrastruktur und mit mehr oder weniger sensiblen Daten, die von Cyberkriminellen mit Cyberangriffen attackiert werden, was den Geschäftsbetrieb massiv zu beeinträchtigen vermag.

Für die Strategie in Sachen Cyberresilienz heisst das:

  • Unternehmen müssen ihre individuelle Kombination von Abwehrmassnahmen zusammenstellen, um den Schutz vor Cyberbedrohungen zu erhöhen (präventiv) und im Angriffsfall so gut wie möglich reagieren zu können (reaktiv).  
  • Die Massnahmen haben das ganze Unternehmen auf Stufe der Mitarbeitenden, der IT-Infrastruktur und der Prozesse zu umfassen. 
  • Alle Massnahmen zielen darauf ab, Cyberrisiken zu identifizieren, zu senken oder zu beseitigen, auch in Zusammenarbeit mit externen Partnern.
  • Die Verantwortung für die Cyberresilienzstrategie liegt nicht bei den Informatikverantwortlichen, sondern sollte auf der obersten Führungsstufe angesiedelt sein. 

Ein (unvollständiger) Massnahmenplan könnte am Beispiel eines Dienstleistungsunternehmens so aussehen:

  Mitarbeitende/Organisation IT-Infrastruktur Prozesse
Präventive
Massnahmen 
  • Alle Mitarbeitenden
    regelmässig in der
    sicheren Abwehr
    eines Cyberangriffs
    schulen 

  • Sichere Passwörter
    wählen und geschützt
    aufbewahren 

  • Falls Homeoffice:
    sicheren Zugriff für
    Benutzerinnen und
    Benutzer auf die
    Systeme garantieren 

  • Private und berufliche
    Daten trennen 

  • Keine persönlichen
    Daten auf der Website
    oder in den sozialen
    Medien veröffentlichen 

  • Mögliche Schwachstellen
    identifizieren  

  • Sicherheitsmassnahmen
    installieren (Firewall,
    Virenschutz, Spamfilter,
    Cloud etc.) 

  • Software laufend auf
    dem neusten Sicherheits-
    standard halten 

  • Mit geeigneten Massnahmen
    die Sicherheit und Integrität
    vertraulicher Daten (Geschäfts-
    prozesse, Kunden etc.) zu
    jedem Zeitpunkt sicherstellen 

  • Back-ups erstellen, richtig
    aufbewahren und testen

  • Verantwortung zwischen
    Unternehmen und dem
    IT-Dienstleister klären 
  • Notfallorganisation
    aufstellen 
  • Notfallplan erstellen
    und einüben 
  • Notfallplan physisch
    aufbewahren, darin unter
    anderem alle Notfallkontakte
    esthalten, wie jene des
    IT-Dienstleisters etc. 
  • Zugriffsrechte auf dem
    aktuellen Stand halten 
  • Weitere geeignete Partner
    suchen, zum Beispiel
    eine Cyberversicherung
Reaktive
Massnahmen
(nach einem Angriff) 
  • Mitarbeitende informieren,
    wie sie sich im Angriffsfall
    verhalten sollen und an wen
    sie sich wenden können 

  • Mitarbeitende informieren,
    wie gegenüber Kundinnen
    und Kunden zu kommunizieren
    ist

  • Alle Systeme sofort vom
    Internet trennen
  • Schaden von Fachpersonen
    evaluieren lassen
  • Systeme wieder aufsetzen
    und Daten wiederherstellen
  • Sicherheitslücken schliessen 
  • Notfallplan umsetzen 
  • Vorbereitete
    Kommunikations-
    massnahmen umsetzen 
  • Fehler evaluieren und
    Notfallplan anpassen 

 

Produzierende Unternehmen sollten darüber hinaus beispielsweise auch Ausweichstandorte ins Auge fassen, wo sich notfalls ein Übergangsbetrieb aufziehen lässt und die Produktion weiterlaufen kann. Auf der Website des Bundesamts für Cybersicherheit finden Sie weitere Massnahmen, die speziell auf KMU ausgerichtet sind.

Mit einem wie in der Tabelle skizzierten Massnahmenpaket erhöht ein Unternehmen seine Cyberresilienz und seine Fähigkeit, richtig und schnell zu reagieren. Es bleibt auch im Falle einer erfolgreichen Cyberattacke handlungsfähig. Die Ausfallzeiten und die Auswirkungen eines Angriffs werden minimiert.

Cybersicherheit und Cyberresilienz: Was ist der Unterschied?

Cybersicherheit schützt vor Cyberangriffen. Cyberresilienz hingegen stellt sicher, dass ein Unternehmen auch nach einem erfolgreichen Angriff schnell wieder auf die Beine kommt und seinen Betrieb fortsetzen kann.

Cybersicherheit («cybersecurity») und Cyberresilienz gehen Hand in Hand. Cybersicherheit ist jedoch nur ein Teil davon, was Cyberresilienz ausmacht. Im Gegensatz zur Cybersicherheit, die auf sichere Technologie fokussiert, ist Cyberresilienz eine ganzheitliche Strategie, die neben Technologie auch Mitarbeitende, Prozesse, Know-how etc. umfasst.

Erhöht ein Unternehmen mit diversen Massnahmen seine Cybersicherheit, sinkt zwar die Chance eines erfolgreichen Cyberangriffs. 100% Cyberschutz und Ausfallsicherheit für die Systeme gibt es allerdings nicht. Zu schnell entdecken Cyberkriminelle immer wieder neue Schwachstellen, nutzen sie aus und entwickeln neue Strategien, um an Daten und Geld zu kommen. Deshalb ist die erweiterte Sichtweise der Cyberresilienz die bessere Strategie zum Schutz des eigenen Unternehmens vor Cyberkriminalität – nicht zuletzt um insbesondere dann, wenn die Cyberattacke gelingt, das Richtige zu tun.

Was ist Ihr nächster Schritt?

Identifizieren Sie zuerst alle internen und externen Beteiligten, die Sie für Ihren Massnahmenplan brauchen. Klären Sie mit ihnen das weitere Vorgehen, den Zeitplan und wer für welche Massnahmen verantwortlich ist. Geeignete Partner wie beispielsweise Ihr IT-Dienstleister oder eine IT-Beratung können Ihnen dabei helfen, diese Analyse durchzuführen und Massnahmen zu entwickeln. Mit einer Cyberversicherung sichern Sie überdies die finanziellen Risiken eines Cyberangriffs ab.

Sie möchten Ihr Unternehmen vor finanziellen Schäden durch Cyberkriminalität schützen. Wir unterstützen Sie gerne mit unserer Cyberversicherung für KMU. 

Zur Cyberversicherung
Das könnte Sie auch interessieren
Green IT im Unternehmen umsetzen Entdecken Sie, wie Green IT den Energieverbrauch senken und die Umwelt schonen kann, mit Beispielen und Tipps.
Ökonomische Nachhaltigkeit in Schweizer KMU Erfahren Sie, was Ökonomie mit Nachhaltigkeit zu tun hat. Und was ökologische Nachhaltigkeit für KMU bedeutet.
Willkommen zurück!

Jetzt zurück zu Ihrem Angebot einer Ihrer Offerte  

Zurück zur Offerte

oder

Neu berechnen
Willkommen zurück!

Jetzt zurück zu Ihrem Angebot einer Ihrer Offerte  

Zurück zur Offerte

oder

Neu berechnen
Willkommen zurück!

Jetzt zurück zu Ihrem Angebot einer Ihrer Offerte  

Zurück zur Offerte

oder

Neu berechnen
Willkommen zurück!

Jetzt zurück zu Ihrem Angebot einer Ihrer Offerte  

Zurück zur Offerte

oder

Neu berechnen
Willkommen zurück!

Jetzt zurück zu Ihrem Angebot einer Ihrer Offerte  

Zurück zur Offerte

oder

Neu berechnen

Melden Sie uns Ihren Schaden online: