Ob Privatpersonen, Firmen oder staatliche Institutionen gegen Cyberangriffe ist niemand gefeit. Auffallend ist, dass Cyberkriminelle vermehrt auch kleine und mittelgrosse Unternehmen angreifen. Wie eine aktuelle Studie des Beratungsunternehmens KMPG zeigt, gaben 88% von 60 befragten Firmen an, im Jahr 2016 einen Cyberangriff erlitten zu haben. hnliche Resultate lieferte eine aktuelle Umfrage der Zrich Versicherung, gemss der bereits 40% der Schweizer KMU Opfer eines Cyber-Angriffs geworden sind. Diese Zahlen veranschaulichen auf eine eindrckliche Weise, dass ein proaktiver Umgang mit dem Thema Cybersicherheit auch fr KMU unerlsslich ist.

Dass dem Thema Cybersicherheit auf strategischer Ebene zunehmend Aufmerksamkeit geschenkt wird, zeigt eine krzlich verffentlichte Umfrage des SwissVR Monitor. Von den insgesamt 464 befragten Verwaltungsratsmitglieder sind 78% der Ansicht, dass die Bedeutung von CybersicherheitsThemen in den letzten drei Jahren branchenbergreifend zugenommen oder gar stark zugenommen hat. Entsprechend gaben auch ber zwei Drittel der Befragten an, das Thema Cybersicherheit in den letzten 12 Monaten im Verwaltungsrat diskutiert zu haben.

Aufhorchen lsst insbesondere der Umstand, dass Verwaltungsrte, in denen CybersicherheitsThemen im letzten Jahr nicht diskutiert worden sind, strker in KMU (35% der Befragten) als in Grossunternehmen (16%) vertreten sind. Dieses Resultat deckt sich auch mit einer weiteren Erkenntnis, die von der Umfrage zu Tage gefrdert wurde. So gab ein Drittel der gefragten KMU Verwaltungsrte an, trotz gesteigertem Gefahrenbewusstsein ber keine klare Strategie bezglich Cybersicherheit zu verfgen. Dies zeigt, dass die mglichen Folgen von Cyberangriffen von vielen Firmen weiterhin unterschtzt werden.

Schon seit Jahren weisen Experten darauf hin, dass die Frage nicht lautet ob, sondern wann ein Unternehmen Ziel eines Cyberangriffs wird. Zudem dauert es im Schnitt 200 Tage, bis ein betroffenes Unternehmen bemerkt, dass sich ein Eindringling im System befindet. Die mglichen Konsequenzen eines solchen Dauerangriffs knnen kaum berschtzt werden. Insbesondere wenn im Rahmen eines Cyberangriffs Kundendaten abhandenkommen, kann die mit dem finanziellen Verlust einhergehende Rufschdigung ein enormes Ausmass annehmen. Im Gegensatz zu vielen anderen Lndern mssen Cyberangriffe gegen Schweizer Unternehmen zwar nicht von Gesetzes wegen gemeldet werden. Dies wird sich allerdings ndern, wenn die im Jahre 2016 in Kraft getretene DatenschutzGrundverordnung der EU (GDPR), an die sich auch die meisten Schweizer Unternehmen halten

mssen, im kommenden Mai offiziell anwendbar wird. Gemss GDPR knnen Verstsse gegen die Verordnung mit bis zu 4% des Umsatzes eines Unternehmens gebsst werden.

Fr Unternehmen ist es somit von zentraler Bedeutung, dass die noch bestehenden Lcken in ihrem Cybersicherheits-Dispositiv in den kommenden Monaten geschlossen werden. Dabei geht es um weit mehr als um die Implementierung ausgeklgelter IT-Sicherheitslsungen. Einen absoluten Schutz vor Cyberangriffen kann kein System der Welt bieten. Doch mit der richtigen Vorbereitung kann der potentielle Schaden eines allflligen Cyberangriffs oder Datenlecks aufs Minimum reduziert werden.

Der Verwaltungsrat ist gefordert. Er trgt die Oberverantwortung fr das Risk Management und kann die Verantwortung fr die Cybersicherheit nicht an den CIO delegieren. Wer als Verwaltungsrat nichts unternimmt, riskiert im Rahmen der Organhaftung persnlich belangt zu werden.

Was muss im Verwaltungsrat eines KMU konkret vorgekehrt werden?

Cyber-Risiken gehren auf die Traktandenliste des Verwaltungsrates Initialisierung der Prfung von Sofortmassnahmen Initialisierung einer Risikoanalyse Erarbeitung eines Risikokonzepts (Ziele, Definition von Sicherheitsstandards) Kontrolle der Umsetzung von technischen und organisatorischen Massnahmen Notfallplne