22 Aug 2025
22 Aug 2025
Mittlerweile ist es bei fast allen KMU angekommen: Cybersecurity ist kein Nice-to-have, sondern gehört zum Pflichtprogramm, um sich vor Hackerangriffen zu schützen. Das spiegelt sich auch im Cybersecurity Readiness Index 2025 von Cisco wider, laut dem nahezu alle befragten Schweizer KMU planen, ihre IT-Infrastruktur in den nächsten Jahren zu verbessern. Doch das bedeutet leider noch lange nicht, dass die Investitionen an der richtigen Stelle erfolgen - ganz im Gegenteil fehlt es gerade in kleineren Unternehmen oft am nötigen Fachwissen, um die Cybersecurity gezielt dort zu verbessern, wo derzeit die grössten Schwachstellen sind. Genau hier setzt Cyber Risk Management an.
Eine der Fragen, die mir meine Kunden zu Beginn einer Zusammenarbeit am häufigsten stellen, lautet: "Wo muss ich meine IT-Sicherheit verbessern?" Und die ehrlichste Antwort darauf wäre: "Ich habe keine Ahnung" - zumindest jetzt noch nicht. Denn Cybersecurity ist so individuell wie dein Unternehmen selbst; und Verbesserungen sollten natürlich immer dort erfolgen, wo sie am dringendsten benötigt werden. Damit der Bedarf allerdings realistisch eingeschätzt werden kann, benötige ich zunächst einige Informationen über dein Unternehmen, zum Beispiel
Dieses strukturierte Einholen von Informationen über ein Unternehmen nennt man Cyber Risk Monitoring. Es ist ein wesentlicher Bestandteil des IT Risk Managements von KMU, auf das ich im nächsten Abschnitt genauer eingehen werde. Cyber Risk Monitoring hat schon so manchen meiner Kunden vor einem Hackerangriff bewahrt. Nico zum Beispiel, der einen kleinen Onlineshop für Anglerbedarf betreibt. Das Monitoring zeigte, dass sein Unternehmen recht gut aufgestellt war, was Cybersecurity angeht. Deshalb empfahl ich ihm, in ein Log-Monitoring-Tool zu investieren, das sämtliche Aktivitäten in Echtzeit überprüft. Ungefähr drei Monate später entdeckte er beim Login am Montagmorgen verdächtige Vorgänge im Netzwerk. Er informierte mich und gemeinsam konnten wir einen drohenden Hackerangriff verhindern - ohne das Cyber Risk Monitoring hätte er stattdessen vermutlich in ein anderes Programm investiert und womöglich schwere Schäden vom Angriff davongetragen.
Betrachten wir das etwas genauer: Cyber Risk Management ist also eine Massnahme, mit der du dein Unternehmen auf Herz und Nieren bezüglich der Cybersecurity prüfst. Der erste Schritt ist dabei immer ein umfangreiches Cyber Risk Monitoring. Dabei ermitteln wir einerseits, wo deine IT-Infrastruktur aktuell Schwachstellen aufweist, aber auch, wo die grössten Assets, also schützenswerten Bestandteile sind. Das ist deshalb so wichtig, damit im Anschluss Prioritäten gesetzt werden können - schliesslich müssen sensible Kundendaten deutlich effektiver gesichert werden als beispielsweise Informationen über die Geräte und Maschinen in deinem Unternehmen.
Im nächsten Schritt, der Quantifizierung, betrachten wir dein vorhandenes Budget. Hier geht es darum, die vorhandenen Ressourcen optimal auf die bedrohlichsten Schwachstellen zu verteilen. Dieser Schritt des Risk Managements ist für KMU besonders wichtig, denn meistens steht kleineren Unternehmen nur ein begrenztes Cybersecurity-Budget zur Verfügung. Umso wichtiger ist es, dass dieses Geld in Massnahmen investiert wird, die den Betrieb wirklich vor Angriffen schützen können.
Danach erfolgt die Steuerung der Cybersecurity-Massnahmen. In diesem Schritt werden konkrete Programme implementiert oder Strukturen verändert, um die IT-Sicherheit im Unternehmen zu erhöhen. Die letzte Phase des IT Risiko Managements wird oft als Kontrolle bezeichnet. Hier wird überprüft, ob die eingeführten Veränderungen tatsächlich zu einer Verbesserung der IT-Sicherheit beigetragen haben.
Um besser beurteilen zu können, wie gravierend verschiedene Risiken und Bedrohungen einzustufen sind, hilft die Risikobewertung mit einer Matrix. Die horizontale Achse wird dabei als Eintrittshäufigkeit definiert, also wie oft mit einer konkreten Bedrohung zu rechnen ist. Man unterscheidet zum Beispiel zwischen sehr seltenen, durchschnittlich häufigen, häufigen und sehr häufigen Ereignissen. Auf der vertikalen Achse hingegen werden verschiedene Abstufungen bezüglich der Auswirkung eines Ereignisses festgehalten. Eine denkbare Einteilung sind hier vernachlässigbare, begrenzte, beträchtliche und existenzbedrohende Konsequenzen.
Alle Bedrohungen und Schwachstellen, die beim Cyber Risk Monitoring identifiziert wurden, können jetzt in diese Matrix an der jeweils passenden Stelle eingetragen werden. Durch eine solche Business Impact Analyse wird KMU schnell klar, wie das vorhandene Budget verteilt werden sollte: Je häufiger ein Ereignis eintritt und je existenzbedrohender dessen Auswirkungen sind, desto mehr Priorisierung müssen entsprechende Schutzmassnahmen haben. Das gilt natürlich in besonderer Weise für Ereignisse, die sowohl häufig auftreten als auch existenzbedrohend sind.
Interessant ist in diesem Zusammenhang übrigens, dass in vielen KMU dieselben Schwachstellen identifiziert werden. Dazu gehören schwache Passwörter, unnötige Zugriffsrechte, veraltete Softwares und fehlende Backups.
In Nicos Fall kamen wir ebenfalls mithilfe der Risikobewertung durch eine Matrix zu dem Ergebnis, dass Ransomware-Angriffe ein besonders bedrohliches Szenario darstellen. Deshalb konnten wir passende Schutzmassnahmen ergreifen - gerade noch rechtzeitig, wie sich später herausgestellt hat.
Risk Management für KMU beinhaltet nicht nur ein einmaliges Cyber Risk Monitoring; stattdessen geht es darum, Frühwarnsysteme zu implementieren und Kennzahlen auszuwerten, um Manipulationen und Veränderungen im Netzwerk rechtzeitig zu erkennen. Ein solches Frühwarnsystem ist zum Beispiel das Log Monitoring, wie wir es bei Nico eingesetzt haben. Dabei werden sämtliche Aktivitäten innerhalb des Netzwerks offengelegt und analysiert. Je nach Tool erhältst du eine Meldung bei verdächtigen Aktivitäten oder du solltest selbst dazu in der Lage sein, Unregelmässigkeiten zu erkennen.
Eine weitere Massnahme, um frühzeitig auf Angriffe reagieren zu können, ist eine Kombination aus SIEM (= Security Information and Event Management) und EDR (= Endpoint Detection and Response). Während SIEM eine Bezeichnung für Tools ist, die mithilfe von Korrelationsregeln gezielt nach Anomalien innerhalb des Systems suchen - im Gegensatz zum Log Monitoring, das sämtliche Aktivitäten aufzeichnet -, überwachen EDR-Tools die Endgeräte in der IT-Infrastruktur und ermöglichen Einblicke in den Ablauf eines Angriffs. Dies ist vor allem nützlich, um Angreifer gezielt und prompt abzuwehren.
Ebenfalls sinnvoll ist die Sichtbarmachung von aussagekräftigen Kennzahlen. Hier sind insbesondere KRIs (= Key-Risk-Indikatoren) zu nennen, die die Risikobedingungen innerhalb eines Unternehmens abbilden. Dadurch lässt sich schon vor der Umsetzung überprüfen, wie sich geplante Veränderungen auf das Risikoprofil des Betriebs auswirken werden und ob dementsprechend zusätzliche Massnahmen ergriffen werden sollten.
Du musst heutzutage nicht mehr Informatik studiert haben, um grundlegende Massnahmen zum Schutz deines Unternehmens zu implementieren. Im ersten Schritt solltest du eine Risikobewertung mit einer Matrix vornehmen. Unterstützend findest du zahlreiche kostenlose Risk Register Vorlagen im Internet, in die du nur noch die identifizierten Risiken an der richtigen Stelle eintragen musst. Tipp: Konzentriere dich dabei auf die wesentlichen Aspekte! Je ausführlicher deine Matrix ausfällt, desto komplizierter wird die anschliessende Einordnung der Risiken.
Mach dir danach bewusst, dass Cybersecurity eine dauerhafte Angelegenheit ist - und erkläre das IT Risiko Management in diesem Zusammenhang zur Chefsache oder übertrage es einem festen Mitarbeiter, der die Verantwortung dafür übernimmt. Die Verantwortlichkeiten und Zuständigkeiten müssen eindeutig geklärt sein, damit auch weiterhin regelmässig Cyber Risk Monitoring betrieben wird.
Apropos regelmässig: Wie oft sollten Risiken innerhalb der IT-Infrastruktur eigentlich überprüft werden? Diese Frage ist gar nicht so einfach zu beantworten. Klar ist: Es reicht nicht aus, einmalig in Risk Management für KMU zu investieren. Dafür ist die IT-Welt zu schnelllebig. Ohne ein permanentes Früherkennungssystem solltest du deshalb mindestens zweimal im Jahr überprüfen, ob deine IT-Infrastruktur immer noch optimal geschützt ist.
Cybersecurity muss nicht teuer sein - im Gegenteil gibt es immer mehr kostenlose Tools, mit denen du dein Unternehmen schützen kannst. Hier findest du beispielsweise eine ganze Reihe Open Source GRC Tools. GRC steht dabei für Governance, Risk, and Compliance. Neben einer effektiven Verwaltung der Sicherheitsrisiken unterstützen diese Tools auch bei der Einhaltung von gesetzlichen Vorschriften bezüglich der IT-Infrastruktur.
Darüber hinaus lässt sich die KMU Sicherheit mit 2FA (= Zweifaktorauthentifizierung) verbessern. Dabei erfolgen Logins nicht mehr nur durch die Eingabe eines Passworts, sondern es ist eine zweite Authentifizierung nötig, um Zugriff auf Dateien und Programme zu erhalten, etwa das Scannen des Fingerabdrucks oder das Eingeben eines generierten Zahlencodes. So wird Hackern der Zugriff auf sensible Daten erschwert.
Und wenn alle Stricke reissen? Dann sollte dein Unternehmen auf jeden Fall über einen Incident Response Plan verfügen. In diesem wird ganz genau festgehalten, wer was im Falle eines Cyberangriffs zu tun hat. Das beugt überstürzten Aktionen vor und kann den Schaden womöglich noch begrenzen. In jedem Fall muss danach eine sorgfältige Aufarbeitung erfolgen, um nachvollziehen zu können, wie der Angriff erfolgt ist.
Möchtest du wissen, wie es um die Sicherheit deines eigenen Unternehmens bestellt ist? Dann lass jetzt den Quick Risk Check machen und erfahre, wie du aus deinem Cybersecurity-Budget das Maximum herausholen kannst!
Jetzt für mehr Sicherheit im Unternehmen sorgen
Quellenangaben:
Und keine Neuigkeiten mehr verpassen
Beantworte einfach ein paar Fragen und finde direkt heraus, wie sicher dein Unternehmen wirklich ist.
Risiken identifizieren und gezielt beheben - das ist Risk Management für KMU in der IT-Sicherheit!
Ransomware gehört zu den bedrohlichsten Cyber-Gefahren überhaupt. Welche kostenlosen Tools gegen Ransomware wirklich helfen, erfährst du hier.
Warum sollte man Hackern den Zugriff auf Systeme ermöglichen? Um ihnen eine Falle zu stellen! Alles über Honeypots in der IT erfährst du hier!
