Cybersecurity für Treuhänder – Hype oder Notwendigkeit?

Wetzikon, 26. August 2022

BREVIT-Gastbeitrag publiziert im Institut Treuhand 4.0 

Dieser Beitrag beleuchtet das «lästige» Thema Cybersecurity aus einer expliziten Management-Perspektive für Treuhandunternehmen. Es wird die allgemeine Bedrohungslage für Schweizer KMU skizziert und erläutert, weshalb sich Geschäftsleiter und Verwaltungsräte strategisch mit Cybersecurity beschäftigen sollten. Zudem werden aktuelle Trends in der Cyberkriminalität thematisiert und die ersten Schritte für die unternehmenseigene Cybersecurity-Strategie identifiziert.

Immer mehr Fälle von kleinen Unternehmen tauchen in den Medien auf, die von einem Cyberangriff getroffen wurden. Inwiefern ist das auch für Treuhänder relevant?

Die digitale Transformation der Wirtschaft führt dazu, dass schon heute jedes Unternehmen von ihrer IT abhängig ist. Das ist in besonderem Masse auch für Treuhandunternehmen zutreffend. Diese Abhängigkeit bringt Risiken mit sich. So war bereits jedes dritte Schweizer KMU von einem Cyberangriff betroffen. Cyberattacken sind für KMU mit konkreten Geschäftsrisiken verbunden – vom Datenverlust über den Betriebsausfall bis zu finanziellen Schäden und Reputationsverlusten. Der Schaden einer Cyberattacke kostet auch kleine Unternehmen ab CHF 80’000-100’000 aufwärts oder ist im schlimmsten Fall sogar existenzvernichtend. Der Reputationsverlust spielt gerade bei Treuhandunternehmen eine ganz wichtige Rolle für zukünftige Kundenbeziehungen. Weil Cyberangriffe in der Regel komplett zufällig und automatisiert stattfinden, ist jeder Computer und jedes Gerät, das mit dem Internet oder einem Netzwerk verbunden ist, ist ein potenzielles Einfallstor – unabhängig von Unternehmensgrösse und Branche. Für ein KMU ist das Risiko von einer Cyberattacke getroffen zu werden, sogar noch höher als für grosse Unternehmen.

Wieso ist sind die Cyberrisiken für ein kleines Treuhandunternehmen besonders gross?

Das liegt zum einen am tiefen Risikobewusstsein von kleinen Unternehmen und als Konsequenz an den ausbleibenden Investitionen in die Cybersecurity. Das tiefe Level an umgesetzten Cybersecurity-Massnahmen macht sie besonders vulnerabel. Die grosse Mehrheit der kleinen Unternehmen glauben immer noch, dass sie zu klein oder zu uninteressant seien, um angegriffen zu werden. Vor dem Hintergrund zufälliger und automatisierter Cyberattacken ist diese Risikobeurteilung fatal. Andererseits gehen viele Treuhänder auch fälschlicherweise davon aus, dass sich Ihr IT-Dienstleister bereits bestens um ihre Cybersecurity kümmert. Die Realität sieht leider anders aus: Die IT-Sicherheit stellt ein Spezialgebiet innerhalb der IT dar. Die Cybersecurity-Kompetenzen klassischer IT-Dienstleister sind i.d.R. rudimentär und entsprechend limitiert. Die Tatsache, dass zwei Drittel der KMU bisher noch von erfolgreichen Angriffen verschont blieben, hat mehr mit Zufall und weniger mit Know-how zu tun. Experten gehen davon aus, dass jedes (kleine) Unternehmen früher oder später von einer Cyberattacke betroffen sein wird.

Wer ist im Unternehmen für die Cybersecurity verantwortlich?

Treuhandunternehmen müssen Cyberrisiken zwingend als Geschäftsrisiko adressieren und geeignete Massnahmen zur Risikominimierung umsetzen – wie bei jedem anderen Geschäftsrisiko auch. Cybersecurity ist kein notwendiges Übel und damit auch kein Marketing-Hype. Cybersecurity sollte langfristig in die Unternehmensstrategie einfliessen. Nur Unternehmen die sorgfältig mit Daten umgehen können, sind zukunftsfähig. Cybersecurity ist folglich kein reines IT-Thema (mehr), sondern gehört zur Sorgfaltspflicht der Geschäftsleitung und des Verwaltungsrates.

Was sind die grössten Bedrohungen für die Cybersicherheit im Unternehmen?

Die Bedrohungslage ist vielfältig. Das Nationale Zentrum für Cybersicherheit NCSC verzeichnet in der Schweiz wöchentlich mehrere hundert Meldungen von Cyberangriffen. Das ist nur die Spitze des Eisbergs – die Dunkelziffer ist um ein Vielfaches höher. Weit verbreitet ist das sogenannte Social Engineering, mit dem Ziel, bei Personen bestimmte Verhaltensweisen hervorzurufen. Dazu gehören z.B. Phishing-Mailings oder der Überweisungsbetrug. Auch direkte Angriffe auf die IT-Infrastruktur sind an der Tagesordnung. Hierbei dringen die Angreifer über Geräte wie Computer, Server etc. die mit dem Internet verbunden sind, direkt ins Netzwerk eines Unternehmens ein. Durch Sicherheitslücken veralteter Software gelingt ihnen das ohne grossen Aufwand. Deshalb ist die regelmässige Aktualisierung aller lokal installierten Software (Buchhaltungssoftware, Steuersoftware, Internet-Browser etc.) in einem Treuhandnternehmen eine so wichtige präventive Massnahme gegen Cyberangriffe (sog. Patch-Management).

Wie können sich Treuhänder am besten vor Cyberangriffen schützen?

Insgesamt ist festzustellen, dass nicht nur die Anzahl an Cyberattacken steigt, sondern auch die Qualität der Social Engineering Methoden immer besser werden. Phishing Mailings oder falsche Zahlungsaufforderungen sind z.T. nur noch sehr schwierig als solche zu erkennen. Umso wichtiger ist es für Treuhandunternehmen in Awareness-Programme der Mitarbeitenden zu investieren. Gleichzeitig ist es zentral, dass sie auch ihre anderen «Hausaufgaben» machen und in technische sowie organisatorische Cybersecurity-Massnahmen investieren. Das verschafft ihnen einen strategischen Wettbewerbsvorteil. Wenn ein Treuhandunternehmen besser geschützt ist als andere Unternehmen kann es von Cyberkriminellen nicht so einfach kompromittiert werden. Es wird dadurch ein weniger interessantes Opfer.

Was sind die ersten wichtigen Schritte hin zu einer Cybersecurity-Strategie?

Ein Treuhandunternehmen sollte sich eine unabhängige Expertenmeinung einholen. Die eigene IT-Infrastruktur ist für eine Standortbestimmung auf den Prüfstand zu stellen. Es gilt die Frage zu beantworten, wie gut das eigene Unternehmen in Wirklichkeit vor Cyberangriffen geschützt und/oder darauf vorbereitet ist. Von den etwas bekannteren Penetration-Tests, bei denen ein Unternehmen von aussen gehackt werden soll, ist in den meisten Fällen als erste Analyse-Massnahme abzuraten: Erstens, weil sie teuer sind (ab CHF 15’000 aufwärts) und zweitens, weil sie immer nur einzelne Bereiche der Infrastruktur überprüfen. Gerade für ein Treuhandunternehmen ist eine umfassende Beurteilung der gesamten Hardware- und Software-Landschaft sowie der angewendeten Prozesse und Richtlinien von innen heraus von entscheidender Bedeutung. Die BREVIT AG bietet solche Sicherheitsaudits / Schwachstellenanalysen für KMU mit einem Standort zum Festpreis von CHF 4’900 an – für Mitglieder von Treuhand Suisse sogar für CHF 3’900. Im dazugehörigen Sicherheitsbericht werden konkrete strategische Handlungsempfehlungen für eine Verbesserung der eigenen Cyber-Resilienz in einer Sprache formuliert, die auch für das Management verständlich ist. Die Erkenntnisse der Analyse markieren den Ausgangspunkt für die Definition einer individuellen Cybersecurity-Strategie. Nur so können die i.d.R. begrenzten finanziellen Mittel kosteneffizient in die richtigen Massnahmen fliessen und die grösstmögliche Schutzwirkung erzielen.

Machen Sie heute den ersten Schritt und sicheren Sie sich Ihren strategischen Wettbewerbsvorteil mit einer unabhängigen Cybersecurity-Expertise.

Verwendete Grafik designed by vectorjuice / Freepik

Link zum Originalbeitrag:
https://www.treuhand40.ch/brevit/

Teilen Sie diese Meldung!

Sind Sie bereit für ein unverbindliches
Cybersecurity-Beratungsgespräch?

BREVIT macht die IT Ihres KMU sicher – einfach und umfassend.

Unverbindliches Beratungsgespräch