+41 31 380 64 30
info@treuhand40.ch
Produkt wurde deinem Warenkorb hinzugefügt.

Cybersecurity für Treuhänder – Hype oder Notwendigkeit?

Bericht / Datenschutz

Autor: Marco Hiestand, Gründer und Geschäftsführer der BREVIT AG – Umsetzungspartner vom Institut Treuhand 4.0

Dieser Artikel betrachtet das Thema Cybersecurity aus einer Management-Perspektive für Treuhandunternehmen. Er skizziert die generelle Bedrohungslage für Schweizer KMU und erörtert, warum es für Geschäftsleiter und Verwaltungsräte von strategischer Bedeutung ist, sich intensiv mit Cybersecurity auseinanderzusetzen. Darüber hinaus werden aktuelle Trends in der Cyberkriminalität behandelt, die Bedeutung des neuen Schweizer Datenschutzgesetzes erläutert und die ersten Schritte zur Entwicklung einer unternehmenseigenen Cybersecurity-Strategie identifiziert.

In den Medien häufen sich Berichte über kleine Unternehmen, die Opfer von Cyberangriffen werden. Doch wie betrifft dies Treuhänder?

Die fortschreitende digitale Transformation der Wirtschaft hat zur Folge, dass heutzutage jedes Unternehmen in erheblichem Masse von seiner IT abhängig ist. Diese Abhängigkeit betrifft insbesondere auch Treuhandunternehmen. Damit einhergehend steigen die damit verbundenen Risiken. Schon jetzt wurde jedes dritte schweizerische KMU von einem Cyberangriff betroffen. Für KMU bedeuten Cyberangriffe konkrete Geschäftsrisiken, angefangen beim Verlust von sensiblen Daten über Betriebsausfälle bis hin zu finanziellen Einbussen und Reputationsschäden. Die finanziellen Auswirkungen einer erfolgreichen Cyberattacke können selbst für kleine Unternehmen erheblich sein, wobei Kosten von CHF 80’000-100’000 und mehr nicht selten sind. Im schlimmsten Fall kann ein Cyberangriff sogar die Existenz eines Unternehmens gefährden. Besonders für Treuhandunternehmen spielt der Verlust an Reputation eine bedeutende Rolle, da dieser sich direkt auf zukünftige Kundenbeziehungen auswirken kann. Cyberangriffe erfolgen in der Regel zufällig und automatisiert, sodass praktisch jeder Computer und jedes mit dem Internet oder einem Netzwerk verbundene Gerät ein potenzielles Einfallstor darstellt. Dies gilt unabhängig von der Grösse des Unternehmens oder der Branche. Tatsächlich ist das Risiko eines Cyberangriffs für KMU oft sogar höher als für grosse Unternehmen.

Warum sind die Cyberrisiken für kleine Treuhandunternehmen besonders hoch?

Zum einen ist das geringe Risikobewusstsein kleiner Unternehmen ein Hauptproblem. Die daraus resultierende mangelnde Investition in Cybersecurity-Massnahmen macht sie besonders anfällig für Angriffe. Ein Grossteil kleiner Unternehmen ist nach wie vor der Meinung, dass sie aufgrund ihrer Grösse oder vermeintlichen Uninteressiertheit nicht im Fokus von Cyberangriffen stehen. Angesichts der zufälligen und automatisierten Natur von Cyberangriffen ist diese Einschätzung äusserst riskant. Zum anderen gehen viele Treuhänder fälschlicherweise davon aus, dass ihre IT-Dienstleister bereits bestens für die Cybersecurity verantwortlich sind. Leider ist die Realität oft eine andere. Da IT-Sicherheit ein spezialisiertes Gebiet innerhalb der IT ist, verfügen herkömmliche IT-Dienstleister oft nur über rudimentäre und begrenzte Cybersecurity-Kenntnisse. Die Tatsache, dass bisher zwei Drittel der KMU von erfolgreichen Angriffen verschont geblieben sind, hat weniger mit Know-how zu tun und ist eher dem Zufall geschuldet. Experten gehen davon aus, dass jedes kleine Unternehmen früher oder später Ziel eines Cyberangriffs werden wird.

Welche Relevanz hat das neue Schweizer Datenschutzgesetz in Bezug auf die Cybersecurity?

Das neue Schweizer Datenschutzgesetz, das am 1. September 2023 in Kraft getreten ist, hat eine hohe Relevanz für die Cybersecurity von KMU. Das Datenschutzgesetz legt fest, wie personenbezogene Daten gesammelt, verarbeitet und geschützt werden sollen. Dies erfordert auch von KMU angemessene Massnahmen zur Datensicherheit, um sicherzustellen, dass persönliche Informationen vor unbefugtem Zugriff und Datenverlust geschützt sind. Eine angemessene Datensicherheit ist ein wesentlicher Bestandteil der Cybersecurity. Bei Verstössen gegen das Datenschutzrecht können Bussgelder in der Höhe von bis zu 250’000 CHF verhängt werden. Gebüsst wird grundsätzlich nicht das Unternehmen, sondern die verantwortliche natürliche Person.

Wer ist im Unternehmen für die Cybersecurity verantwortlich?

Die Verantwortlichkeit für die Cybersecurity im Unternehmen hat sich verändert. Treuhandunternehmen sollten Cyberrisiken als integralen Bestandteil ihres Geschäftsrisikomanagements behandeln, ähnlich wie andere Geschäftsrisiken. Cybersecurity ist nicht mehr nur eine notwendige Vorsichtsmassnahme, noch ein vorübergehender Marketingtrend. Stattdessen sollte sie fest in die langfristige Unternehmensstrategie integriert werden. Nur Unternehmen, die verantwortungsvoll mit Daten umgehen, sind zukunftsfähig. Daher ist Cybersecurity nicht länger ausschliesslich ein IT-Thema. Die Verantwortung dafür liegt nun auch bei der Geschäftsleitung und dem Verwaltungsrat. Dies bedeutet, dass die Führungsebene in Treuhandunternehmen die Sorgfaltspflicht hat, angemessene Cybersecurity-Massnahmen zu implementieren, zu überwachen und sicherzustellen, dass die Daten ihres Unternehmens geschützt sind.

Was sind die grössten Bedrohungen für die Cybersicherheit im Unternehmen?

Cybersicherheitsbedrohungen in Unternehmen sind vielfältig. Das Nationale Zentrum für Cybersicherheit (NCSC) in der Schweiz meldet wöchentlich Hunderte von Cyberangriffen, wobei die tatsächliche Anzahl höher liegt. Über 80 Prozent der Cyberangriffe setzen mit Social Engineering-Methoden beim Faktor «Mensch» an. Dazu gehören z.B. Phishing-E-Mails oder der Überweisungsbetrug. Bei direkten Angriffen dringen Angreifer über mit dem Internet verbundene Geräte wie Computer und Server in das Unternehmensnetzwerk ein. Sicherheitslücken in veralteter Software sind oft die Eintrittspforte.

Wie können sich Treuhänder am besten vor Cyberangriffen schützen?

Es ist offensichtlich, dass nicht nur die Anzahl der Cyberattacken zunimmt, sondern auch die Qualität der Social Engineering-Methoden kontinuierlich verbessert wird. Phishing-E-Mails und gefälschte Zahlungsaufforderungen sind oft nur noch schwer als solche zu erkennen. Daher ist es für Treuhandunternehmen von grosser Bedeutung, in Schulungsprogramme zur Sensibilisierung ihrer Mitarbeitenden zu investieren. Gleichzeitig ist es entscheidend, dass Treuhandunternehmen ihre technischen und organisatorischen Cybersicherheitsmassnahmen verstärken. Dazu gehört z.B. das regelmässige Aktualisieren aller lokal installierten Software (z.B. Buchhaltungssoftware, kantonale Steuersoftware, Internet-Browser etc.). Dies verschafft ihnen einen strategischen Wettbewerbsvorteil. Wenn ein Treuhandunternehmen besser geschützt ist als andere Unternehmen kann es von Cyberkriminellen nicht so einfach kompromittiert werden. Es wird dadurch ein weniger interessantes Opfer.

Was sind die ersten wichtigen Schritte hin zu einer Cybersecurity-Strategie?

Ein Treuhandunternehmen sollte in Erwägung ziehen, eine unabhängige Expertenbewertung seiner IT-Infrastruktur durchzuführen. Dies dient der Ermittlung des aktuellen Standes in Bezug auf den Schutz vor Cyberangriffen und der Vorbereitung auf solche Vorfälle. Die zentrale Frage ist, wie gut das Unternehmen tatsächlich auf Cyberangriffe vorbereitet ist. Im Gegensatz zu den bekannten Penetrationstests, bei denen externe Experten versuchen, in das Unternehmen einzudringen, wird in den meisten Fällen empfohlen, zuerst eine umfassende interne Analyse durchzuführen. Penetrationstests sind oft teuer (ab CHF 15’000 aufwärts) und beschränken sich in der Regel auf bestimmte Bereiche der Infrastruktur. Für Treuhandunternehmen ist es jedoch von entscheidender Bedeutung, die gesamte Hardware- und Software-Landschaft sowie die internen Prozesse und Richtlinien zu bewerten. Die BREVIT AG bietet IT-Sicherheitsaudits für KMU zu einem Festpreis von CHF 4’900 pro Standort an. Für Mitglieder von Treuhand Suisse beträgt der Preis CHF 3’900. In einem zugehörigen Sicherheitsbericht werden klare strategische Handlungsempfehlungen formuliert, die auch für das Management verständlich sind. Die Erkenntnisse aus der Analyse dienen als Ausgangspunkt für die Entwicklung einer massgeschneiderten Cybersecurity-Strategie. Auf diese Weise können begrenzte finanzielle Ressourcen kosteneffizient in die richtigen Massnahmen investiert werden, um den bestmöglichen Schutz zu gewährleisten.

Für eine erste kostenlose und unverbindliche Einschätzung nutzen sie unseren Cybersecurity-Schnelltest unter https://sicherheitfuerkmu.ch/.

Wollen Sie mehr zu unserem Umsetzungspartner, seinen Dienstleistungen und Lösungen erfahren? Dann schauen Sie ins Umsetzungspartner-Verzeichnis oder Fragen Sie direkt uns oder unseren Umsetzungspartner an.

BREVIT AG
BeratungCybersecurityIntegrationspartner
Wir identifizieren und beheben Ihre IT-Schwachstellen.
keyboard_arrow_up

Diese Website verwendet Cookies, um die Nutzung bestimmter Funktionen zu ermöglichen und den Besuch unserer Website attraktiver zu gestalten. Wenn du auf "Ich akzeptiere" klickst oder auf unserer Website bleibst, stimmst du der Verwendung von Cookies gemäss unseren Cookie-Richtlinien sowie unserer Datenschutzerklärung zu.

Ich akzeptiere My Preferences
Privacy Settings saved!
Datenschutzeinstellungen

Zusätzlich zu den hier konfigurierbaren Datenschutzeinstellungen hast du auch in den Einstellungen deines Browsers die Möglichkeit, Cookies zu blockieren. Die meisten Browser sind so voreingestellt, dass sie die Verwendung von Cookies zulassen. Wenn du Cookies blockierst, kann es sein, dass gewisse Funktionen unserer Website (z.B. Sprachwahl, Warenkorb, Bestellprozesse) nicht mehr funktionieren. Weitere Informationen zur Änderung der Browser-Einstellungen findest du in unseren Cookie-Richtlinien.

Notwendige Cookies Google Analytics Datenschutzerklärung Cookie-Richtlinien
Damit du diese Website einwandfrei nutzen kannst, verwenden wir die folgenden technisch notwendigen Cookies:
Technische Cookies
  • wordpress_test_cookie
  • wordpress_logged_in_
  • wordpress_sec
WooCommerce
Wir verwenden WooCommerce als Lösung für unseren Online Shop. Damit wir dir ein einwandfreies Shoperlebnis anbieten können, sind folgende Cookies zwingend erforderlich und können deshalb nicht deaktiviert werden.
  • woocommerce_cart_hash
  • woocommerce_items_in_cart
Alle Cookies ablehnen
Alle Cookies akzeptieren

MITGLIED INSTITUT TREUHAND 4.0

Roman Wey

Sprachen DE | EN

Leiter INSTITUT TREUHAND 4.0

Dario D'Acquarica

Sprachen DE | EN | IT | FR

Dipl. Treuhandexperte
MAS FH in Treuhand und Unternehmensberatung

MITGLIED INSTITUT TREUHAND 4.0

Damian Studer

Sprachen DE | EN

ADVISORY BOARD INSTITUT TREUHAND 4.0

Michael Gossweiler

Sprachen DE | EN

Wirtschaftsinformatiker FH, dipl. Treuhandexperte, MAS Treuhand und Unternehmensberatung FH

MITGLIED INSTITUT TREUHAND 4.0

Linda Castioni

Sprachen DE | EN

Treuhänderin mit eidg. FA

ADVISORY BOARD INSTITUT TREUHAND 4.0

Feri Cilurzo

Sprachen DE | IT | FR | EN

Dipl. Treuhandexperte, Fachmann im Finanz- und Rechnungswesen mit eidg. Fachausweis

ADVISORY BOARD INSTITUT TREUHAND 4.0

Patric von reding

Sprachen DE | EN | FR

Dipl. Ingenieur FH in Kommunikation und Informatik
Treuhänder mit eidg. Fachausweis
CAS Digitale Strategie und Wertschöpfung