Sicherheit und Recht

Cyberangriffe gegen KMU - das sind die grössten Gefahren

Auf Facebook teilen Auf Twitter teilen Auf LinkedIn teilen Auf Xing teilen Per Email teilen

Viele Firmen halten sich für zu unbedeutend, um für Hacker interessant zu sein. Doch auch für KMU sind Cyberangriffe eine reale Gefahr geworden. Welche Risiken im Netz lauern und was man dagegen tun kann. 

  • Teaser Image
    Meine Firma

    Originaltext erschienen in «Meine Firma», dem KMU-Magazin der AXA Schweiz.

    ZUR AKTUELLEN AUSGABE

Die Digitalisierung optimiert Prozesse und macht sie schneller und günstiger – erhöht aber gleichzeitig auch das Risiko, Opfer von  Cyberkriminalität zu werden. Über 30’000 Straftaten wurden in der Schweiz im Jahr 2021 im Bereich der digitalen Kriminalität gemeldet – das sind 24 Prozent mehr als 2020. Vor allem KMU rücken vermehrt ins Visier von Internetkriminellen, da sie weniger Ressourcen in die eigene IT-Sicherheit investieren können als grosse Konzerne. Der Cyber-Security-Experte und CEO der Firma Oneconsult, Tobias Ellenberger,erklärt die grössten Cyberrisiken für KMU – und wie Sie sich davor schützen können.

CEO Fraud

Der CEO Fraud ist eine Betrugsmasche, bei der Firmen unter Verwendung falscher Identitäten zur Überweisung von Geld manipuliert werden.  Typischerweise handelt es sich um gut gefälschte E-Mails, die scheinbar von einem Mitglied der Unternehmensführung stammen. Darin wird unter vermeintlich berechtigten Gründen die Überweisung hoher Geldbeträge auf eine ausländische Bankverbindung angewiesen. Erkennbar sind die guten Fälschungen oft nicht, da die Straftäter im Vorfeld Firmeninterna recherchieren. Oft werden die ausführenden Mitarbeitenden unter Zeitdruck gesetzt und auf die Geheimhaltung der Überweisung hingewiesen.

Das können Sie tun

Sensibilisieren Sie Ihre Mitarbeitenden – beim Thema Cybersicherheit ist der Mensch der Schlüsselfaktor. Regelmässige Schulungen und interne Kommunikationskampagnen könneneinen grossen Beitrag leisten. Sollten Sie unternehmensintern nicht über das entsprechende Know-how verfügen, ziehen Sie einen externen Experten hinzu, der entsprechende Schulungen durchführt. Achten Sie im Verdachtsfall auf Auffälligkeiten in den Mails wie untypische Anreden oder Grussformeln und sichern Sie sich im persönlichen Gespräch ab, dass die Mail oder der Auftrag tatsächlich echt sind. Nutzen Sie dazu einen anderen Kanal als die Nachricht (zum Beispiel Täuschung erfolgt über E-Mail, rufen Sie Ihren Partner an oder treffen Sie ihn zum Kaffee).

Phishing/Smishing

Unter dem Begriff Phishing versteht man Versuche, sich über E-Mails oder Kurznachrichten als vertrauenswürdiger Absender in einer  elektronischen Kommunikation auszugeben. Ziel des Betrugs ist es, dass die Nutzer Finanzinformationen, Zugangsdaten oder andere sensible Daten preisgeben oder ein Dokument öffnen. In der Folge werden dann beispielsweise Kontoplünderung oder Identitätsdiebstahl begangen oder eine Schadsoftware installiert.

Das können Sie tun

Schaffen Sie Awareness für das Thema und sensibilisieren Sie Ihre Mitarbeitenden dafür. Zeigen Sie Ihrer Belegschaft, wie eine typische Phishing-Mail aussieht. Wenn Ihnen eine Mail verdächtig vorkommt, überlegen Sie sich: Was plausibilisiert diese Person, mir zu schreiben, erwarte ich eine Mail von diesem Absender? ören Sie auf Ihr Bauchgefühl und rufen Sie im Zweifelsfall den Absender kurz an, bevor Sie einen Link anwählen oder eine angehängte Datei öffnen.

Nicht aktualisierte Systeme

Veraltete Systeme weisen schnell Sicherheitslücken und Schwachstellen auf, die von Cyberkriminellen schamlos ausgenutzt werden. Die Angreifer haben mittlerweile ausgeklügelte Systeme eingerichtet, um angreifbare Systeme und Rechner zu erkennen und blitzschnell zuzuschlagen. Systeme, die nicht regelmässig aktualisiert werden, sind daher besonders anfällig für Cyberangriffe.

Das können Sie tun

Halten Sie Ihre Software immer up to date. Je neuer Ihre Software, desto sicherer ist sie. Die meisten Softwares bieten automatische Updates – aktivieren Sie diese und aktualisieren Sie Betriebssystem und Software als tägliche Routine! Schützen Sie Ihr Unternehmensnetzwerk mit einer Firewall vor den Gefahren, die im Internet lauern. Und nutzen Sie ein gutes Antivirenprogramm. Stellen Sie sicher, dass der Schutz aktiv und die Software auf dem neusten Stand ist. Wenn Sie jetzt noch täglich einen Scan durchführen, sind Sie gut gegen Angriffe gewappnet und können frühzeitig reagieren.

«Ein hundertprozentiger Schutz vor Cyberattacken ist nahezu unmöglich. Mit den richtigen Präventionsmassnahmen können Sie jedoch die Wahrscheinlichkeit, dass Sie Opfer eines Cyberangriffs werden, minimieren.»

Tobias Ellenberger, CEO Oneconsult

(Romance) Scam

Bei dieser Betrugsart werden gefälschte Profile auf Social Media und Internet-Partnerbörsen erstellt, um anderen Personen eine Liebesbeziehung vorzuspielen und um schliesslich finanzielle Zuwendung des «Partners» zu erhalten. Es handelt sich um eine digitale Form des Heiratsschwindels. Populär sind auch Betrugsarten wie Anlage- oder Kleinanzeigenbetrug.

Das können Sie tun

Als KMU sind Sie zwar kein direktes Ziel der (Liebes-)Betrüger, aber jede Firma besteht aus Menschen, die so in eine unangenehme Notlage geraten können, was ihr Handeln auch am Arbeitsplatz beeinflusst. Auch hier sind Awareness und eine gewisse Grundskepsis das A und O. Romance Scam ist verbreiteter, als man denkt – allein in der Schweiz wurden im ersten Halbjahr 2022 mit dieser Masche vier Millionen Franken erbeutet. Deshalb gilt immer: Senden Sie weder Geld noch Güter an Ihnen unbekannte Personen, die Sie noch nie getroffen haben!

Ransomware

Unter Ransomware (englisch: ransom «Lösegeld» und Software) versteht man eine spezielle Art schädlicher Software, die den Zugriff auf Geräte sperrt oder darauf enthaltene Datenverschlüsselt. Anschliessend wird vom Opfer ein Lösegeld für die Wiederherstellung verlangt.

Das können Sie tun

Sichern Sie Ihre Daten regelmässig mithilfe eines Offline-Backups, so haben Sie zumindest die Sicherheit, dass diese nach einem Angriff nicht komplett verloren sind. Definieren Sie einen für Sie passenden Prozess der Datensicherung und halten Sie diesen konsequent ein. Schulen Sie die Mitarbeitenden im Umgang mit E-Mails und spielen Sie das Worst-Case-Szenario einmal durch: Wären Sie noch handlungsfähig nach einer  solchen Attacke? Ziehen Sie präventiv einen Experten zu Rate, der Ihnen weiterführende Massnahmen empfehlen kann. 

Hinweis

Viele hilfreiche und weiterführende Informationen zu allen Themen und Risiken finden Sie auf der Homepage des Nationalen Zentrums für Cybersicherheit NCSC.

Die Firma

Die Oneconsult AG ist Teil der 2003 gegründeten Oneconsult-Unternehmensgruppe mit Büros in Zürich, Bern und München. Ihre Cyber-Security-Expertinnen und -Experten beraten Kundinnen und Kunden zu internen und externen Bedrohungen aus dem Informationssicherheitsbereich und begleiten regelmässig Unternehmen bei der Bewältigung von Ransomware und vergleichbaren Angriffen.

Verwandte Artikel

AXA & Sie

Kontakt Schaden melden Stellenangebote Medien Broker myAXA Login Garagen-Portal Kundenbewertungen Newsletter abonnieren myAXA FAQ

AXA weltweit

AXA weltweit

In Kontakt bleiben

DE FR IT EN Nutzungshinweise Datenschutz / Cookie Policy © {YEAR} AXA Versicherungen AG

Wir verwenden Cookies und Analyse-Tools, um das Nutzungserlebnis für Sie zu verbessern, die Werbung von AXA und ihren Werbepartnerfirmen zu personalisieren sowie Social-Media-Funktionen bereitzustellen. Sie können Ihre Cookie-Einstellungen bei Verwendung von Internet Explorer 11 leider nicht über unser Cookie-Präferenz-Center ändern. Möchten Sie Ihre Einstellungen anpassen, nutzen Sie bitte einen aktuellen Browser. Durch die Nutzung unserer Internetseite mit diesem Browser stimmen Sie der Verwendung von Cookies zu. Datenschutz / Cookie Policy