Dieser Artikel betrachtet Cyber-Risiken in KMU vom Einkauf, Produktion und Logistik bis hin zum Vertrieb und macht dabei sichtbar, wo die Gefahren lauern – und wie man ihnen mit Bewusstsein, Organisation und Technik begegnen kann.
Symbolbild Adobe Stock
Cyberangriffe sind längst nicht mehr nur ein Thema für Konzerne. Auch kleinere Betriebe geraten immer öfter ins Visier von Hackern – gezielt oder zufällig. Und obwohl viele KMU technisch gut aufgestellt sind, zeigt sich eine Schwachstelle immer wieder: Der Mensch. Dies kann fatale Folgen haben. Doch wie lassen sich diese Risiken entlang der Wertschöpfungskette begreifen, verstehen – und letztlich reduzieren?
Menschliche Schwächen sind reale Risiken für Unternehmen
In vielen KMUs führen Mitarbeitende mehrere Rollen aus: Sie sind gleichzeitig Einkäufer, IT-Verantwortliche oder Kundenberater. Die Rollen sind oft nicht strikt getrennt, was agiles Arbeiten ermöglicht – aber auch Fehlerquellen schafft. Zudem ist die Arbeitsbelastung oft hoch, Mitarbeitende arbeiten unter Zeitdruck, müssen schnell Entscheidungen treffen, wechseln zwischen verschiedenen Systemen und Anwendungen. Dass da mal ein Klick auf einen manipulierten Link passiert, ist nicht Naivität, sondern Realität.
Beispiel aus dem Einkauf:
Ein Mitarbeiter erhält eine E-Mail von einem angeblichen langjährigen Lieferanten. Die Mail wirkt seriös, das Logo stimmt, der Ton auch. Nur die Bankverbindung hat sich «geändert». In der Hektik wird die Info weitergeleitet – die Zahlung geht raus. Ein klassischer Fall von Social Engineering – mit teils verheerenden Folgen.
Cyberangriffe werden lokalisierter, personalisierter und vertrauter
Phishing ist längst kein Massen-Spam mehr mit Rechtschreibfehlern. Die Angriffe sind heute gezielt, personalisiert und manchmal kaum von echten Mails zu unterscheiden (sogenanntes Spear-Phishing). Cyberkriminelle können mittlerweile schon auf Schweizerdeutsch schreiben. Besonders schwierig kann es sein, wenn Angreifer sich telefonisch melden, sich als Kolleginnen oder Dienstleister ausgeben und sensible Informationen hervorlocken (Social Engineering).
Beispiel aus der Produktion:
Ein Anruf bei der IT eines kleinen Fertigungsbetriebs in der Ostschweiz. «Grüezi, ich bin von Ihrem Softwareanbieter. Wir müssen ein Update aufspielen.» Die Stimme klingt kompetent, freundlich. Ein Techniker wird kurzzeitig eingeloggt – und ein Schadprogramm installiert. Später steht die ganze Produktion still.
Diese Angriffe funktionieren deshalb so gut, weil sie nicht auf Firewalls zielen, sondern auf Vertrauen, Hilfsbereitschaft und Alltagsstress.
Security Awareness als Teil der Unternehmenskultur
In vielen Betrieben wird IT-Sicherheit leider noch als «IT-Sache» gesehen. Doch das greift zu kurz – denn Schutz vor Cyberangriffen funktioniert nur, wenn alle Mitarbeitenden eingebunden sind. Gerade in kleinen Teams kann eine einzige unbedachte Handlung massive Auswirkungen haben.
Beispiel aus der Logistik:
Ein Mitarbeitender findet einen USB-Stick vor dem Lagerhaus. Neugierig steckt er ihn ins Firmennetzwerk – ohne böse Absicht. Auf dem Stick: ein Keylogger, der alle Tastatureingaben an einen externen Server schickt.
Wie können Unternehmen das Bewusstsein von Mitarbeitenden fördern?
Fehlerfreundlichkeit
- Mitarbeitende müssen ermutigt werden, Fehler zu melden ohne Angst vor Sanktionen (Teamentwicklung)
- Klare Ansprechpartner, denen Fragen, z.B. zu einer erhaltenden Phishing-Mail, gestellt werden und die zu akuten Situationen konsultiert werden können
Regeln & Prozesse
- Einfache Regeln (Prozessmanagement) verständlich formuliert etablieren
- Regelmässig Regeln kommunizieren, z. B. dürfen keine externen Datenträger verwendet werden
Trainings
- Awareness-Trainings, angepasst an den Kenntnisstand und den Arbeitsalltag der Mitarbeitenden
- Vorhandene Fallbeispiele offen, zeitnah und wertfrei kommunizieren, am besten direkt aus dem eigenen Betrieb oder der Branche
Evaluation
- Jahresauswertung etablieren (Riskmanagement), um Risiken und Fortschritte festzustellen
- Mitarbeitende und Geschäftsleitung einbinden, Prozesse und Kommunikation kontinuierlich zu verbessern
Denn in einem KMU kennt man sich, arbeitet eng zusammen – genau das ist eine Chance. Mitarbeiterentwicklung kann diesen Teamgeist nutzen, um Sicherheit zum gemeinsamen Anliegen zu machen.
Informatik & Organisation – die anderen zwei Säulen
Nicht jeder KMU hat eine eigene IT-Abteilung. Viele setzen auf externe Anbieter oder Allrounder im Betrieb. Das ist in Ordnung, sofern beides geregelt ist: eine funktionierende Technik und eine klare Organisation. Dies sollte beinhalten:
- Wer ist verantwortlich für Updates und Backups?
- Gibt es einen Notfallplan bei IT-Ausfällen oder Cyberangriffen? An wen wenden sich Mitarbeitende?
- Wie schnell kann ein System im Fall eines Angriffs wiederhergestellt werden und wer ist hierfür zuständig?
Beispiel aus dem Vertrieb:
Ein Aussendienstmitarbeiter verliert sein Smartphone im Zug. Darauf: E-Mails, Kundendaten, Zugang zum ERP. Wenn das Gerät nicht verschlüsselt war oder per Fernzugriff gesperrt werden kann, ist der Schaden schnell gross – die Lieferanten-/Kundenbeziehungen sind offengelegt und ggf. die Lieferanten / Kunden verunsichert.
Hier zeigt sich: Auch mit einfachen Massnahmen wie Zwei-Faktor-Authentifizierung oder zentralem Passwort-Management lassen sich viele Risiken deutlich senken.
Das heisst:
- Mensch: Informiert, wachsam, eingebunden
- Informatik: Aktualisiert, integriert, wirksam
- Organisation: Geregelt, durchdacht, geprobt
Nur wenn alle drei Ebenen vom Mensch-Informatik-Organisation zusammenspielen, entsteht echte Resilienz für die Organisation.
Was bringen eigentlich Cyber-Versicherungen?
Immer mehr Schweizer Versicherer bieten Cyber-Policen für KMU an. Cyber-Versicherungen können Kosten übernehmen für:
- Ransomware-Angriffen mit Erpressung
- Manipulierten Zahlungsanweisungen
- Datenschutzverstössen
Diese decken im Idealfall Kosten für Betriebsunterbruch, Datenverlust, Wiederherstellung, rechtliche Beratung und möglicherweise Massnahmen zur Wiederherstellung des geschädigten Geschäftsimages nach einem Angriff.
Investieren Sie in Prävention. Denn viele Policen greifen nur, wenn das Unternehmen grundlegende Schutzmassnahmen nachweisen kann – z.B. regelmässige Mitarbeiterschulungen oder Backups – und der Schaden ist bereits Realität! Oder anders gesagt: Die Versicherung ist der Rettungsschirm – aber besser ist es, wenn es gar nicht regnet.
Fazit: IT-Sicherheit als Teil der DNA der Organisation
KMUs sind bekannt für Qualität, Vertrauen und Effizienz. Diese Werte lassen sich auch in der digitalen Welt leben – wenn man IT-Sicherheit nicht als Technikthema, sondern als Teil der Unternehmenskultur versteht.
- Der Mensch ist kein Risiko, sondern die erste Verteidigungslinie
- Technik hilft, aber nur im Zusammenspiel mit Organisation
- Sicherheitskultur beginnt bei der Geschäftsleitung – und wirkt durch jeden Mitarbeitenden
Und das Beste:
Gerade in einem KMU lässt sich vieles schnell umsetzen. Die Wege sind kurz, die Teams eingespielt. Wenn es gelingt, das Thema Sicherheit erlebbar zu machen – mit Praxisbezug und ohne Angstmacherei – wird aus der Schwachstelle Mensch eine echte Stärke.
Die Autorenschaft
Martin Benz ist seit 2012 als Geschäftsführer und Business Coach bei PROCED GmbH.
Katharina Heller arbeitet als HR Business Consultant und Coach. Als Partnerin bei PROCED ist sie Spezialistin für Verhaltensänderung im Team und Themen rund um den Einsatz von Technologie in der Personalarbeit. www.proced.ch
Der Beitrag erschien im topsoft Fachmagazin 25-2
Das Schweizer Fachmagazin für Digitales Business kostenlos abonnieren
Abonnieren Sie das topsoft Fachmagazin kostenlos. 4 x im Jahr in Ihrem Briefkasten.