Cyberangriffe können das Aus bedeuten: Darum ist IT-Sicherheit im Vertrauensgeschäft so wichtig

Die Beziehungen zwischen Treuhänder*innen, Unternehmensberater*innen oder Wirtschaftsprüfer*innen und ihren Kunden bauen auf Vertrauen auf. Datenschutz, Datenhaltung sowie IT-Sicherheit sind im Vertrauensgeschäft geschäftskritisch. Hinzu kommt, dass die organisatorischen und technischen Herausforderungen stetig steigen. Wer seine IT und Daten nicht oder ungenügend schützt, riskiert sein Geschäft. Wie verhindern Sie Cyberattacken?

Im Vertrauensgeschäft wähnen sich viele in der falschen Sicherheit, kein Ziel für Cyberattacken zu sein. Doch das ist ein Trugschluss. Denn die Zahl der Cyberangriffe steigt stetig: Im Jahr 2022 verzeichnete das Nationale Zentrum für Cybersicherheit eine Zunahme von 59% im Vergleich zum Vorjahr. Gerade Unternehmen im Vertrauensgeschäft sind bevorzugte Opfer. Einerseits können Cyberkriminelle Firmenstrukturen und Mitarbeitende im Internet einfach recherchieren. Andererseits tauschen die Unternehmen viele Daten mit ihren Kunden aus und sind stark von ihrer IT abhängig. Eine Cyberattacke auf ein Treuhandunternehmen richtet im Durchschnitt einen finanziellen Schaden von CHF 80 000.– bis 100 000.– an (Quelle: Institut Treuhand 4.0, Brevit AG, 2021). Darum ist die Bereitschaft hoch, Lösegeld zu bezahlen.

Der finanzielle Schaden und Reputationsverlust sind gross

Unternehmen im Vertrauensgeschäft können es sich nicht leisten, tagelang offline zu sein oder Kundendaten zu verlieren, die später im Darknet verkauft werden. Wenn Cyberkriminelle das IT-System oder die Daten verschlüsseln, geht nichts mehr. Treuhänder*innen beispielsweise können nicht auf Kundendaten zugreifen, Abschlüsse erstellen oder Einreichfristen einhalten. Darum sind sie dankbare Opfer für Cyberkriminelle, die einige tausend oder zehntausend Franken verlangen, damit sie das System oder die Daten wieder entschlüsseln. Zum Lösegeld kommen der Verdienstausfall und die mögliche Busse von bis zu CHF 250 000.–, falls ein Unternehmen gegen das Datenschutzgesetz verstösst. Nicht unterschätzt werden darf ausserdem der Reputationsschaden. Dieser ist häufig grösser als der finanzielle Schaden – gerade im Vertrauensgeschäft.

Gut zu wissen

Datenschutz regelt den Umgang mit Personendaten, Datensicherheit fasst alle Massnahmen zusammen, wie Daten sicher verarbeitet und gespeichert werden. Mehr erfahren Sie im Artikel «Datenschutz und Datensicherheit: Was ist der Unterschied?».

Die drei grössten Risiken für das Vertrauensgeschäft

Typische Büromitarbeitende sind abhängig von ihrer IT. Das sind ihre drei grössten Herausforderungen:

• Cyberangriffe: KMU im Vertrauensgeschäft sind beliebte Angriffsziele für Cyberkriminelle. Mit Phishingattacken nutzen sie die organisatorischen und/oder technischen Schwachstellen aus und legen die komplette IT lahm oder stehlen sensitive Daten.
• Regulatorien: Sie müssen das Datenschutzgesetz einhalten. Ausserdem müssen sie die strengen Auflagen der Finanzmarktaufsicht erfüllen, falls sie Mandant*innen in der Finanzbranche betreuen.
• IT-Wildwuchs: Immer mehr KMU im Vertrauensgeschäft tauschen immer mehr Daten mit Mandant*innen aus. Weil nicht alle mit derselben Infrastruktur arbeiten, müssen Datenschutz und Datensicherheit für unterschiedliche Systeme und Programme sichergestellt werden.

Sicher Daten austauschen, arbeiten und kommunizieren

Viele Mitarbeitende arbeiten ortsunabhängig im Büro, im Homeoffice, bei Kunden oder unterwegs. Darum müssen sie überall und jederzeit auf alle Programme und Daten zugreifen. Gleichzeitig müssen sie sensitive Daten sicher und rechtskonform speichern. Dank einer Cloud-Lösung mit Datenhaltung in der Schweiz erfüllen Unternehmen alle rechtlichen Auflagen und ermöglichen Ihren Mitarbeitenden, effizient zu arbeiten. Intelligente Backup-Lösungen, die Zwei-Faktor-Authentifizierung und durchdachte Berechtigungen reduzieren das Ausfallsrisiko zusätzlich.

Genauso wichtig sind der Datenaustausch und die Kommunikation (E-Mail, Festnetz- und Mobiltelefon oder Microsoft Teams). Sie müssen rechtskonform geschützt werden und alle Datenschutzauflagen erfüllen, ohne effiziente Arbeitsprozesse zu beeinträchtigen. Darum sollten beispielsweise Microsoft Outlook oder Microsoft Teams technisch korrekt aufgesetzt und alle Mitarbeitenden geschult werden, damit sie diese Tools sicher einsetzen können. Je nach Unternehmen und Daten kann es beispielsweise sinnvoll sein, Dokumente nur zu verlinken, statt sie per Anhang zu verschicken. Ausserdem sollten Mitarbeitende via Mobilnetz (z.B. mittels SIM-Karte im Notebook) oder über ein Virtual Private Network (VPN) online gehen, statt sich in fremde oder unbekannte WLAN oder Hotspots einzuwählen.

Acht wichtige Massnahmen für die IT-Sicherheit

Das sind die wichtigsten Sicherheitsmassnahmen, mit denen Sie die grössten Sicherheitsrisiken minimieren können:

1. Mitarbeitende sensibilisieren. Unsere kostenlose Online-Schulung kann hier als Anfangshilfe dienen.
2. Server, Endgeräte und Applikationen laufend aktualisieren und auf dem neuesten Stand halten
3. Daten sinnvoll speichern, zum Beispiel mit getrennten Clouds für Kundendaten und interne Daten
4. Backup-Strategie für alle gespeicherten Daten einführen – und testen
5. Berechtigung aller Mitarbeitenden für den Daten- und Systemzugriff rollengerecht einstellen
6. Kommunikationskanäle und Datenaustausch überdenken und verbindliche Regeln einführen
7. Kommunikationsverbindungen im Büro, zu Hause und unterwegs schützen und überwachen
8. Notfallplan definieren, testen und laufend anpassen