KMU sind das Rückgrat der europäischen Wirtschaft. Sie sind zwar klein, aber zusammengenommen machen sie fast 99 % aller Unternehmen aus. Und heute nutzt jedes einzelne von ihnen digitale Werkzeuge, auch wenn das Unternehmen selbst nicht online ist, was Cyberangriffen Tür und Tor öffnet. Die meisten dieser kleinen Unternehmen sind jedoch nicht ausreichend geschützt, und die Angriffe auf viele von ihnen sind bereits so ausgefeilt, dass sie mit einem einfachen Knopfdruck aus dem operativen Geschäft genommen werden können.

Berichte über Phishing (oder Smishing), Kampagnen wie Flubot und Ransomware-Angriffe sind häufig in den Nachrichten zu sehen. Der Krieg in der Ukraine hat die Bedrohung weiter erhöht und macht Cyberangriffe auf europäische Unternehmen greifbarer denn je. Diese Angriffe zielen nicht nur auf die grossen Unternehmen ab, sondern auch auf kleine, die oft nicht so gut geschützt sind und daher eine leichte Beute für Cyberkriminelle darstellen, zumal diese Unternehmen zahlenmässig stark vertreten sind. «Ein erfolgreicher Angriff kann sie lähmen und im schlimmsten (und leider häufigen) Fall dauerhaft zum Ausfall bringen», sagt Heini Järvinen von Tech.eu, führende digitale Publikation, die sich eingehend mit der europäischen Technologiebranche und dem Ökosystem der Start-ups befasst. Wie gut kleine Unternehmen gegen die zunehmenden digitalen Bedrohungen geschützt sind, ist für die gesamte europäische Wirtschaft von grosser Bedeutung.

Denken Sie an jedes kleine Unternehmen in Ihrer Umgebung – das Unternehmen, in dem Sie arbeiten, Ihren Coiffeur, das Café in der Nähe Ihres Hauses, die Werkstatt, in die Sie Ihr Auto bringen. Was glauben Sie? Speichern sie die Telefonnummer, die E-Mail und andere Daten ihrer Kunden sicher und in Übereinstimmung mit den Datenschutzbestimmungen? Würden ihre Mitarbeiter eine Phishing-E-Mail oder -SMS erkennen? Verwenden sie einen Passwort-Manager? Könnten Sie betroffen sein, wenn sich bei einem von denen ein Vorfall ereignet?... Richtig. Angesichts knapper finanzieller Ressourcen und Zeitmangels ist die Cybersicherheit für einen vielbeschäftigten Unternehmer verständlicherweise nicht das wichtigste Thema. Die Risiken scheinen nicht greifbar genug zu sein (zumindest so lange, bis sie sich verwirklichen), und das Ergreifen von Sofortmassnahmen hat vielleicht nicht die höchste Priorität. «Kleine Unternehmen verwenden in der Regel die digitalen Tools, die leicht verfügbar sind, – nämlich
diejenigen, auf die sie zugreifen können, die sie sich leisten können und die sie problemlos nutzen können – und deren Sicherheit ist nicht das erste Kriterium für ihre Auswahl», erklärt Heini Järvinen.

Selbst wenn ein Unternehmer das Risiko für wichtig genug hält, um Massnahmen zu ergreifen, besteht die Gefahr, dass er in eine Sackgasse gerät, bevor er überhaupt angefangen hat. «Was sind die Risiken, über die ich nachdenken sollte? Wie kann ich sie angehen? Welche Tools sollte ich verwenden? Wie viel sollte ich für diese Tools bezahlen? Schützen sie mein Unternehmen wirklich?», fragt Heike Klaus von e-abo, einem Unternehmen, das eine mobile App für die Kursverwaltung anbietet. Die Antwort lautet meist «Ich bin kein Experte für Cybersicherheit. Ich habe keine Ahnung», sagt sie. Nur wenige Kleinstunternehmen, Einzelunternehmer oder Startup-Gründer verfügen über das Fachwissen, um die besten Massnahmen zur Verbesserung der Cybersicherheit ihres Unternehmens zu definieren. Eine Möglichkeit ist die Beauftragung eines Beraters, der sich mit diesem Thema befasst. Dies ist jedoch mit Kosten verbunden, und es ist ungewiss, ob der Berater die Bedürfnisse des Unternehmens versteht. Eine andere Möglichkeit besteht darin, zufällig einige Tools oder Dienste auszuwählen, die scheinbar gut zusammenpassen. Die Chancen stehen gut, dass sie es nicht sind.

Was brauchen kleine Unternehmen also, um besser geschützt zu sein? «Zunächst einmal
müssen sie sich bewusst sein, dass es Risiken gibt. Danach brauchen sie einen klaren  Ausgangspunkt – was sie als Erstes tun sollen –, um allmählich die grössten Risiken zu verstehen, die Kontrolle zu übernehmen und fundierte Entscheidungen über ihre Prioritäten zu treffen », antwortet Samuel Fricker, Professor an der FHNW und Koordinator des von der EU finanzierten Horizon 2020-Projekts GEIGER, das eine Cybersicherheitslösung für kleine Unternehmen entwickelt. «Kleine Unternehmen müssen gestärkt werden, aber gleichzeitig wissen wir alle, dass die Cybersicherheit kein Selbstläufer ist.

Sie brauchen Unterstützung und jemanden, auf den sie sich verlassen können, falls etwas
schiefläuft oder etwas unklar ist», fährt er fort. Perfekte Cybersicherheit gibt es nicht. Kein Unternehmen, ob gross oder klein, ist jemals hundertprozentig geschützt. Wenn jedoch Unternehmen, die sich im Moment keine oder nur wenige Sorgen um die Cybersicherheit machen, die ersten Schritte unternehmen und ihr Schutzniveau verbessern, und sei es auch nur ein wenig, kann das sowohl für das Unternehmen als auch für uns als Gesellschaft einen erheblichen Unterschied machen. Einfache Massnahmen wie eine bessere Passwort- und Datenverwaltung, Geräte- und Netzwerkschutz oder die Schulung Ihrer Mitarbeiter zur Erkennung von Phishing-Versuchen sind relativ einfach und kostengünstig umzusetzen – sobald Sie wissen, dass Sie diese Massnahmen ergreifen sollten – und können den Unterschied ausmachen. Bis 95% der Cyberangriffe erfolgen aufgrund menschlicher Fehler. Sensibilisierung und Befähigung sind der Schlüssel. 

«Das GEIGER-Projekt, das Teil des von der EU finanzierten Programms Horizon 2020 ist, baut seit zwei Jahren auf der Idee auf, kleinen Unternehmen – insbesondere jenen, die nicht über IT-Kenntnisse verfügen oder Cyber-Risiken nicht genau verstehen – einen Ausgangspunkt und Werkzeuge zu bieten, um ihre Cybersicherheit zu verbessern», erklärt Fricker.

«Kleine Unternehmen können ihr gesamtes Cybersicherheitsniveau mithilfe der  einfachen Ampel der GEIGER-App bewerten: rot, gelb und grün. Auf der Grundlage des Geräte-Scans, der ICT-Infrastruktur des Unternehmens, der Branche und des Standorts sowie der Cybersicherheitsfähigkeiten der Mitarbeiter gibt die App eine Punktzahl an, die zeigt, wie sicher das Unternehmen ist. Sie listet auch die grössten Risiken auf und schlägt Massnahmen zur Verbesserung des Ergebnisses vor. Die empfohlenen Massnahmen können von der Installation eines Tools über Schulungen bis hin zur Änderung der Geräteeinstellungen reichen, und der Nutzer hat die Kontrolle darüber, welche Massnahmen er wählt», so Fricker weiter.

Die App ist einfach und intuitiv, aber wenn es um komplizierte und technische Probleme geht, kann es passieren, dass nicht alles reibungslos funktioniert. «GEIGER empfiehlt nicht nur Tools und Massnahmen, sondern ermöglicht kleinen Unternehmen auch, sich über die App mit Cybersicherheitsexperten zu verbinden und Hilfe und Unterstützung zu erhalten, wenn die eigenen Fähigkeiten nicht ausreichen, um eine Situation zu lösen. Dies ist ein absolut kritischer Punkt, den die meisten Lösungen für Cybersicherheit nicht berücksichtigen », betont er.

Wie kann man kleine Unternehmen erreichen, um sie mit dem Wissen, den Fähigkeiten und den Werkzeugen auszustatten, die für sie nützlich sind? Dies ist eine der grössten Herausforderungen bei der Verbesserung ihrer Cybersicherheit. GEIGER hat Schulungskurse entwickelt, die von Anbietern von Cybersicherheitsschulungen für ihre Kunden angeboten werden, aber auch in bestehende Studienprogramme von IT- und Nicht-IT-Bildungsanbietern integriert werden können. «In der Schweiz, einem der GEIGER-Pilotländer, bietet die Berufsfachschule BBB ihren Schülern einen Kurs in Cybersicherheit und in der Nutzung der GEIGER-App als Werkzeug für kleine Unternehmen zur Verbesserung ihrer digitalen Sicherheit an.

Wenn die Schüler als Auszubildende arbeiten, oft in einem kleinen Unternehmen, bringen
sie ihr Wissen in ihr Unternehmen ein. Besitzer und Angestellte kleiner Unternehmen lernen von ihren Kollegen. Dies hat sich als effizienter Weg erwiesen, ihr Interesse zu wecken und das Bewusstsein zu schärfen», erklärt Jessica Peichl, wissenschaftliche Mitarbeiterin an der Pädagogischen Hochschule Freiburg, Deutschland. Mit ihrem Hintergrund in Medienpädagogik arbeitet sie an der Konzeption und Organisation des
GEIGER-Bildungsprogramms. «Jeder, der Verantwortung für die Cybersicherheit in seinem kleinen Unternehmen übernehmen möchte, kann an GEIGER-Kursen teilnehmen, um mehr über Cybersicherheit zu erfahren und zu lernen, wie man sein Unternehmen mit Hilfe von GEIGER überwacht», fährt sie fort.

Der Schutz kleiner Unternehmen vor Cyber-Bedrohungen ist eine der wichtigsten aktuellen und künftigen Prioritäten der EU-Institutionen und der nationalen Regierungen in Europa. «Es ist erfreulich, dass immer mehr Cybersicherheitslösungen auf den Markt kommen, insbesondere wenn sie für KMU und Start-ups bestimmt sind, die das Rückgrat der europäischen Wirtschaft bilden. Unabhängig von der Grösse eines Unternehmens ist die Cybersicherheit eine Massnahme, die ernst genommen werden muss, und Lösungen wie diese sind ein guter Schritt. Eine solide und verantwortungsbewusste europäische Cybersicherheitsindustrie bedeutet ein besser geschütztes digitales Europa », schliesst Luigi Rebuffi, Generalsekretär der Europäischen Cybersicherheitsorganisation ECSO.

Die GEIGER-Beta-Version ist für Android (und bald auch für Windows und iOS) verfügbar.
Sie kann kostenlos von www.cyber-geiger.eu heruntergeladen werden. Jeder Inhaber oder Angestellte eines KMU kann sich jetzt für die GEIGER-Beta-Testversion anmelden, mit der Verbesserung seiner Cybersicherheit beginnen, Feedback geben und von dem Rabatt für Beta-Tester für zukünftige Versionen der GEIGER-Lösung profitieren.

​Über GEIGER:
Der GEIGER wurde von einer internationalen Gruppe von Experten für Cybersicherheit und Bildung in Zusammenarbeit mit kleinen Unternehmen entwickelt. GEIGER hat es sich zur Aufgabe gemacht, Kleinst- und Kleinunternehmen, die keine Erfahrung mit Cybersecurity haben, zu unterstützen, indem ihnen Tools angeboten werden, die ihren Bedürfnissen, Fähigkeiten und Ressourcen entsprechen. GEIGER entstand als ein von der EU finanziertes Horizon 2020-Projekt und entwickelte sich nun zu einem Startup, das GEIGER KMU in ganz Europa und darüber hinaus zugänglich machen wird.

​Das NCSC sammelt und kategorisiert die eingegangenen Meldungen zu Cybervorfällen und veröffentlicht diese Zahlen wöchentlich auf seiner Website. Aufgrund des wachsenden Informationsbedürfnisses wurden die Kategorien erweitert und die graphische Darstellung angepasst.

Das NCSC publiziert seit Mitte 2020 auf seiner Webseite Statistiken zu den gemeldeten Cybervorfällen, welche über das Meldeformular von Privatpersonen und Firmen dem NCSC übermittelt werden. Jede Meldung wird gesichtet, falls gewünscht beantwortet und in eine Haupt- und Unterkategorie eingeteilt. Die Summe dieser Meldungen ermöglicht es dem NCSC, Entwicklungen der diversen Cyber-Phänomene zu erkennen und entsprechende Schwerpunkte bei den risikomindernden Massnahmen zu definieren. Seit September 2021 sind die Statistiken auf der Webseite des NCSC als interaktive Grafiken zu finden. Es können einzelne Kategorien ausgewählt werden und so individuelle Auswertungen gemacht werden.
​

Das Interesse an den Statistiken ist in den letzten Monaten stetig gewachsen. Um diesem gestiegenen Informationsbedürfnis gerecht zu werden, hat sich das NCSC entschieden, auch einzelne ausgewählte Unterkategorien zu veröffentlichen. Bislang hat das NCSC ausschliesslich Hauptkategorien wie beispielsweise Betrug, Phishing oder Schadsoftware publiziert. Besonders in der Rubrik Betrug sind allerdings zahlreiche Unterkategorien wie Fake Sextortion, Fake Support oder Investitionsbetrug zusammengefasst. Diese werden nun neu auch berücksichtigt und dargestellt.

Zudem werden unter der Rubrik Schadsoftware die gemeldeten Ransomware-Fälle aufgelistet. Wie bis anhin wird bei jedem Phänomen die Entwicklung über die letzten 12 Monate eingeblendet. So können mögliche Trends aber auch Wellen sowohl in den Haupt- als auch in den Unter-Kategorien erkannt werden.
Die Grafiken werden jeweils am Montag um Mitternacht mit den Angaben der vergangenen Woche aktualisiert.
Die entsprechenden Phänomene sind auf der Webseite «Cyberbedrohungen» näher beschrieben:  Dort sind auch konkrete und präventive Tipps aufgeführt, falls Sie selbst von einem Fall betroffen sind.

Mit der Einführung des Digital Trust Labels können Nutzerinnen und Nutzer vertrauenswürdige digitale Dienste besser erkennen. Anbieter von digitalen Anwendungen können mit dem Digital Trust Label ihre digitale Verantwortung systematisch und glaubwürdig deklarieren. Swisscom und Swiss Re sind die ersten Pioniere, die das Label für eine ihrer digitalen Anwendungen bereits erhalten haben. Credit Suisse befindet sich im Labeling-Prozess. Sieben weitere Unternehmen haben sich verpflichtet, diesem Beispiel zu folgen und ihre digitalen Anwendungen entsprechend kennzeichnen zu lassen. ​

Haben Sie schon einmal eine SMS auf Ihrem Smartphone erhalten, in der Sie aufgefordert wurden, auf einen Link zu klicken, um weitere Informationen zu erhalten? Es könnte sich um eine Zustellungsmitteilung eines Online-Shops oder eines Postdienstes handeln oder um eine Benachrichtigung über eine neue Voicemail. Vielleicht kam Ihnen die SMS etwas komisch vor, und Sie haben sich gefragt, ob Sie auf den Link klicken sollen oder nicht. Aber Sie wollten wissen, wo Ihr Paket ist oder wer eine Nachricht hinterlassen hat, also haben Sie es trotzdem getan. 

Genau das ist der Friseurin und Unternehmerin Loredana Bartels passiert. Sie erhielt eine SMS. Zunächst dachte sie, es sei eine Nachricht von einem neuen Kunden, der einen Termin vereinbaren wollte, doch dann erhielt sie eine weitere SMS, die ihr verdächtig vorkam. Trotzdem klickte sie auf den Link. Nichts schien zu passieren und es gab keine Voicemail. Das beunruhigte Loredana.

Loredana ist nicht die Einzige. Viele andere Kleinunternehmer und Angestellte in der Schweiz sind in letzter Zeit Ziel von SMS-Phishing-Attacken mit dem Namen Flubot geworden. SMS-Phishing – oder anders gesagt Smishing – ist eine Art von Cyberangriff. Dabei werden Sie dazu verleitet, auf einen Link zu klicken oder eine Malware, einen bösartigen Code, zu installieren, der dem Angreifer Zugriff auf Ihr Gerät oder Ihre sensiblen Daten gibt. Er kann zum Beispiel auf Ihre Kontaktliste zugreifen und dann Nachrichten an Ihre Freunde und Geschäftskontakte senden, wobei er vorgibt, Sie zu sein.

Glücklicherweise wusste Loredana, an wen sie sich wenden musste, um sicherzustellen, dass alles in Ordnung war. Die Security Defender des GEIGER-Projekts untersuchten Loredanas Smartphone. GEIGER ist ein von der EU finanziertes Horizon 2020-Innovationsprojekt, das eine Cybersicherheitslösung für kleine Unternehmen entwickelt. Loredana nimmt an dem Projekt teil und hilft den Cybersicherheitsexperten, die Perspektive von Kleinunternehmen zu verstehen. Gemeinsam fanden sie heraus, dass Loredana ihr Smartphone richtig konfiguriert hatte und es der Flubot-Malware nicht gelang, sich zu installieren. Die Einstellungen verhinderten, dass Flubot auf die von Loredana empfangenen Nachrichten zugreifen und Loredanas Kontaktliste zur weiteren Verbreitung nutzen konnte. «Bevor ich überprüft habe, ob sich die Malware auf meinem Telefon installiert hat, hatte ich ein wenig Angst. Was würden sie mit den von mir gestohlenen Telefonnummern machen? Was würde mit meinen Kontakten passieren? Es würde mir sehr leid tun, wenn meine Kunden meinetwegen betroffen wären», sagte
Loredana. «Jetzt, wo ich mehr weiss, möchte ich auch meinen Kunden helfen, indem ich sie warne. Ich habe meinen Mitarbeitern bereits geraten, nicht auf solche Links zu klicken.»

Wie können Sie wissen, ob Ihr Smartphone betroffen war? Oder ob Sie selbst gefährdet sind? Wie können Sie verhindern, dass es Cyberkriminellen gelingt, durch einen Smishing-Angriff auf Ihr Smartphone zuzugreifen? Es gibt ein paar einfache Massnahmen, die Sie ergreifen können. Prüfen Sie zuallererst, dass keine unbekannten Apps installiert werden dürfen. iPhones sind immer so konfiguriert. Android-Telefone bieten diese Einstellung im Menü «Biometrie und Sicherheit».

Wenn Sie eine Flubot-SMS erhalten und auf den Link geklickt haben und Ihr Telefon die falschen Einstellungen hat, die die Installation unbekannter Apps zulassen:

1. Aktivieren Sie den Flugmodus Ihres Smartphones.
2. Überprüfen Sie alle Online-Dienste, die eine SMS-Anmeldung verwenden (Zwei-Faktor-Authentifizierung), dass nichts Böses passiert ist.
3. Melden Sie den Vorfall Ihrem lokalen Cybersicherheitszentrum (in der Schweiz ist dies die NCSC)
4. Sichern Sie Ihre wichtigen Daten.
5. Setzen Sie Ihr Telefon zurück.
6. Überprüfen Sie die Einstellungen, die verhindern, dass unbekannte Apps installiert werden.

«Es wäre wichtig, gewarnt zu werden, wenn ein Angriff wie Flubot im Umlauf ist, um vorbereitet zu sein. Und da ich kein Cybersecurity-Experte bin und nicht weiss, wie man mit neuen Bedrohungen umgeht, wäre es auch beruhigend zu wissen, dass es qualifizierte Unterstützung gibt, wenn etwas passiert», sagte Loredana.

Möchten Sie, wie Loredana, mehr über digitale Sicherheit erfahren und wie Sie Ihr Unternehmen schützen können? Dann sollten Sie sich bei GEIGER https://project.cyber-geiger.eu/news.html anmelden!
​
Das Projekt «GEIGER» wird unter der Führung der Fachhochschule Nordwestschweiz FHNW mit Partnern aus der Schweiz, Deutschland, Frankreich, Italien, der Niederlande, Spanien, England, Rumänien und Israel durchgeführt. In der Schweiz werden Pilotprojekte mit der Berufsfachschule BBB in Baden und dem Schweizerischen KMU Verband SKV durchgeführt. Finanziert wird das Projekt über das Europäische Forschungsprogramm «Horizon 2020».

This project has received funding from the European Union's Horizon 2020 research and innovation programme under grant agreement No. 883588 (GEIGER). The opinions expressed and arguments employed herein do not necessarily reflect the official views of the funding body.

Das lebenslange Lernen zählt unbestreitbar zum Credo moderner Industrie- und Dienstleistungsgesellschaften. Und doch ist es in der Pandemie gerade die berufliche Weiterbildung, an der verunsicherte Unternehmen mit am häufigsten den Rotstift angesetzt haben. So beklagen 60 % der Beschäftigten in der IT, dass die Möglichkeiten für Weiterbildung und Umschulung seit Ausbruch des Corona-Virus von ihrem Arbeitgeber reduziert worden seien.

„Ausgerechnet in der Branche mit der höchsten Dynamik erleben wir zurzeit eine Stagnation des Wissens bei denen, welche die technischen Neuentwicklungen für die praktische Anwendung im Unternehmen verfügbar machen sollen“, sagt Oliver Haberger, geschäftsführender Gesellschafter des Weiterbildungsinstituts Protranet in München. „Und das in einer Situation, in der digitale Geschäftsmodelle einen enormen Aufschwung nehmen.“

​Allerdings sind während der Pandemie auch die Risiken der elektronischen Datenverarbeitung gestiegen. So erhöhte sich in den letzten zwölf Monaten der Anteil der Unternehmen, die von einer Cyberattacke betroffen waren, in führenden Industrienationen von 39 auf 43 %, in Deutschland sogar von 41 auf 46 %. Dabei spielt auch die Tatsache eine Rolle, dass seit Beginn der Pandemie verstärkt von zu Hause gearbeitet wird. Dies vergrößert nach Meinung von Experten die Angriffsfläche für Cyberkriminelle. „Auch hier kann man einen Zusammenhang herstellen zwischen der zunehmenden Verwundbarkeit der IT von Unternehmen und den rückläufigen Kenntnissen ihrer Mitarbeiter, die für den Schutz zuständig sind“, so Oliver Haberger. Ein Problem, dem man auch in der Pandemie begegnen könne, denn digitale und hybride Weiterbildungsformate waren gerade in der IT schon vor dem Ausbruch des Corona-Virus verfügbar.

Das Internet bietet Kriminellen zahlreiche Möglichkeiten, Sie zu betrügen und sich zu bereichern. Machen Sie deshalb mit bei der Aktionswoche «Cybersicherheit»! Vom 3. bis zum 7. Mai 2021 erhalten Sie täglich einen S-U-P-E-R Tipp, damit Sie das Internet sicher nutzen können. ​

Auf der Website «s-u-p-e-r.ch» erfahren Sie ab dem 3. Mai, welcher Gefahren Sie sich bewusst sein sollten und mit welchen einfachen Mitteln Sie sich schützen können. Ausserdem finden Sie im S-U-P-E-R Check schnell heraus, wie sicher Sie bereits im digitalen Raum unterwegs sind.
Nutzen Sie auch die kostenlosen Webinare des NCSC zu den Themen «Betrug», «Malware» und «Starke Passwörter»! Anmeldemöglichkeit ebenfalls ab dem 3. Mai 2021 auf:
www.s-u-p-e-r.ch.

Diese Woche wurde GEIGER von Cyberwatching.eu zum „Projekt der Woche“ gewählt. Cyberwatching.eu ist der Online-Hub für Forschung und Innovation im Bereich Cybersicherheit und Datenschutz in Europa und bietet ein einziges Tor zu innovativen und vertrauenswürdigen ICT-Produkten, -Diensten und -Software.

​Lesen Sie hier das Highlight „Projekt der Woche“ von Cyberwatching.eu, hier den Nachrichtenartikel und finden Sie hier die GEIGER-Seite auf der Plattform Cyberwatching.eu.