Wir leben im digitalen Zeitalter. Für viele von uns ist es Normalität, mit dem Smartphone oder sogar mit der Smartwatch den Kaffee und das Tram-Ticket zu bezahlen. Unsere Kreditkarten-Daten sind im E-Banking und für Online-Zahlungen hinterlegt. Doch digitale Gefahren lauern überall und nehmen dabei immer mehr zu. Als Unternehmer trägt man nicht mehr nur die Verantwortung für sich selbst, sondern auch für die personenbezogenen Daten seiner Kunden und Mitarbeitenden.
Umso wichtiger ist es, sich mit dem Thema Datenschutz oder «Cyber Security» im Unternehmen auseinanderzusetzen. Wir klären die wichtigsten Fragen zum Thema IT-Sicherheit und zeigen Ihnen auf, wie wir bei bexio mit den sensiblen Daten unserer Kunden umgehen. Unser dazugehöriger Leitfaden hilft Ihnen mit Tipps und cleveren Ratschlägen, beim Thema Datenschutz sicher zu werden sowie sich und Ihr Unternehmen zu schützen.
In diesem Beitrag
- Was ist Datensicherheit?
- Was ist der Unterschied zwischen Datenschutz und Datensicherheit?
- Kennen Sie die möglichen Cyber-Gefahren?
- Folgen von Cyber-Attacken für Unternehmen
- Welche Massnahmen dienen der Datensicherheit?
- Welche Massnahmen wendet bexio für die Sicherung der Kundendaten an?
- Mit bexio arbeitet man in der Cloud – wie sicher ist das?
- Leitfaden zum Download für den richtigen Schutz vor Cyber-Attacken
Schützen Sie Ihr KMU vor Cyber-Attacken
Mit unserem Leitfaden zum kostenlosen Download haben Sie Tipps und Tricks zur Hand, mit denen Sie Ihr KMU vor digitalen Gefahren schützen können. Ausserdem erfahren Sie, wie bexio mit sensiblen Kundendaten umgeht.
Was ist Datensicherheit?
Datensicherheit oder Cyber Security bedeutet, dass Sie die oben erwähnten sensiblen und personenbezogenen Daten schützen. Sie schützen diese mit verschiedenen Massnahmen vor einem Übergriff durch Dritte. Weiter unten im Beitrag erfahren Sie dazu mehr. Wenn jemand beispielsweise ungeschützt Zugriff auf Kreditkarteninformationen hat, kann damit Diebstahl und Betrug begangen werden.
Ein Beispiel aus der Praxis
Die Angriffe werden nicht nur immer ausgeklügelter, sondern auch immer häufiger. So wurde zum Beispiel Anfang 2022 einer der grössten Autohändler Europas gehackt. Bei der Cyber-Attacke wurden personenbezogene Daten von Kunden, Partnern und Mitarbeitenden gestohlen. Die Systeme mussten vorübergehend heruntergefahren werden, um weiteren Diebstahl verhindern zu können. Das Unternehmen informierte seine Kunden umgehend nach Erkennen des Angriffs über den Vorfall und gab Tipps, damit man weiteren Datenklau (z. B. Passwörter) vorbeugen könnte. Die Gefahr besteht bei einem solchen Fall darin, dass die Kundendaten ins Darknet gelangen und anschliessend möglicherweise für Erpressungen missbraucht werden.
Dieses Beispiel aus der Praxis zeigt, wie Cyber-Attacken einem Unternehmen schaden können und wie viel Zeit, Geld und Energie es kostet, mit einem solchen Angriff umzugehen.
Was ist der Unterschied zwischen Datenschutz und Datensicherheit?
Oft werden die beiden Begriffe synonym verwendet. Doch dabei unterscheiden sie sich in einem Punkt. Der Begriff Datenschutz betrifft lediglich personenbezogene Daten, wie Name, Anschrift, E-Mail-Adresse etc. Datensicherheit fasst den Begriff noch weiter. Im Jahr 2018 wurde die neue Datenschutzgrundverordnung in der Europäischen Union (DSGVO) eingeführt, die die persönlichen Daten noch umfassender schützt und dem Besitzer mehr Kontrolle gibt.
Für Schweizer Unternehmen gilt die DSGVO dann, wenn dieses zum Beispiel mit einem Lieferanten oder Kunden aus dem EU-Raum zusammenarbeitet.
Revidiertes Schweizer Datenschutzgesetz
Auch die Schweiz erhält demnächst ein revidiertes Datenschutzrecht. Das aktuelle Recht ist nicht mehr zeitgemäss und wird daher überarbeitet, um mehr Transparenz von Datenbearbeitungen zu erlangen und die Selbstbestimmung von betroffenen Personen zu stärken. Das neue, überarbeitete Datenschutzgesetz wird per 1. September 2023 in Kraft treten.
Im Gegensatz dazu umfasst der Begriff Datensicherheit den Schutz sämtlicher Daten – also nicht nur personenbezogene Daten.
Datensicherheit, bzw. Informationssicherheit gewährleistet dabei Vertraulichkeit, Integrität und Verfügbarkeit von Daten.
Vertraulichkeit: Daten dürfen nur durch Befugte zugänglich sein.
Integrität: Daten können nicht unerkannt verändert werden.
Verfügbarkeit: Daten sollten für befugte Personen jederzeit verfügbar sein.
Informationssicherheit im Unternehmen
Antworten vom NCSCAls Kleinunternehmer betrifft Sie folglich beides – Datenschutz und Datensicherheit. Eine Auseinandersetzung mit den Themen ist ganz besonders relevant, da in den vergangenen Jahren die Anzahl von Hackerangriffen, Schadprogrammen und anderen digitale Gefahren weiter zugenommen hat. Das Problem dabei ist, dass es nicht nur immer mehr wird, sondern die Cyber-Attacken auch immer ausgeklügelter werden. Dies macht es schwer, solche zu erkennen und bereits vorab eingreifen zu können. Mit dem richtigen Schutz kann das jedoch nicht passieren.
Machen Sie den Test: Wie gut ist Ihr KMU geschützt?
Stellen Sie sich jetzt vielleicht die Frage, wie gut Ihr KMU gegen Cyber-Attacken geschützt ist? Wenn ja, dann erfahren Sie mit der Cyber-Kurzbeurteilung der Mobiliar schnell und einfach, wie sicher Sie im Netz unterwegs sind.
Kennen Sie die häufigsten Cyber-Gefahren?
Gefälschte E-Mails mit falschen Informationen oder Anfragen.
Schadprogramme, die heruntergeladen werden (z.B. Viren).
Hackerangriff, der Ihre Daten stiehlt.
Ransomware-Angriff, der Ihre Geschäftsaktivitäten still legen kann.
Unmengen von Fake-Anfragen, die Ihr System für «echte» Kunden blockiert.
Das Problem dabei ist, dass man Cyber-Gefahren oftmals gar nicht bemerkt und der Meinung ist, man sei ein «zu kleiner Fisch». Eher würden grosse Unternehmen gehackt werden, bei denen auch «etwas zu holen sei». Dies ist jedoch ein Trugschluss. Das Gefährliche bei einem Cyber-Angriff ist, dass es zu einem Imageverlust und/ oder Betriebsausfall mit finanziellen Einbussen kommen kann. Ungeplante Ausgaben, die für die meisten Kleinunternehmer nicht einfach zu stemmen sind.
Was sind die möglichen Folgen von Cyberattacken für KMU?
Wenn das eigene KMU von einem Cyber-Angriff betroffen ist, kann das wirtschaftliche Einbussen bedeuten. Die Auswirkungen auf ein Unternehmen können immens sein:
Finanzielle Einbussen (z. B. Umsatzeinbrüche durch Produktionsstillstand, Zahlungsforderungen, Entlohnung von Experten zur Schadenbehebung etc.)
Image- / Brandschaden
Vertrauensverlust bei den Kunden
Schadensersatzforderungen von Kunden, deren Daten gestohlen wurden
Ungeplante Kosten für Behebung der Attacke
Um sich vor diesen Folgen abzusichern, gibt es speziell auf Cyber-Risiken abgestimmte Versicherungen.
Welche Massnahmen dienen der Datensicherheit?
Um sich vor den oben genannten, möglichen Folgen zu schützen, gibt es verschiedene Massnahmen. Die sogenannten TOM-Massnahmen (Technisch- und Organisatorische Massnahmen) betreffen die Hard- und Software eines Unternehmens sowie den Einbezug und die Sensibilisierung aller Mitarbeitenden.
Technische Massnahmen | Organisatorische Massnahmen | Menschliche Massnahmen | Physische Massnahmen |
Hard- / Software; Verschlüsselung von Programmen und Zugängen; Firewalls | Ansprechpartner oder IT-Experte für alle IT-bezogenen Fragen | Einbeziehung und Sensibilisierung aller Mitarbeitenden in regelmässigen Abständen | Zugangskontrolle zu Büro oder Datenzentren; PC oder Laptop vor fremden Zugang schützen |
Beispiele von Massnahmen, die helfen können, die sensiblen Unternehmensdaten zu schützen
Sichern Sie Ihre Kunden- und Unternehmensdaten mindestens einmal pro Woche und testen Sie regelmässig, ob die gesicherten Daten im Ernstfall wiederhergestellt werden können. Bewahren Sie Backups an einem sicheren Ort auf.
Schützen Sie Ihr Unternehmen, indem Sie Ihr Netzwerk in verschiedene Zonen segmentieren und die Erreichbarkeit sensibler Daten sowie Systeme einschränken.
Schützen Sie den Zugriff auf Ihre Kunden- und Unternehmensdaten, lassen Sie Mitarbeitende nur auf die benötigten Ressourcen zugreifen, die Sie tatsächlich für Ihre tägliche Arbeit benötigen.
Sensibilisieren Sie Ihre Mitarbeitenden regelmässig für die wichtigsten Verhaltensregeln im Umgang mit Internet und E-Mail.
- Schützen Sie Ihre Systeme vor Schadsoftware: Stellen Sie sicher, dass auf jedem Computer eine Anti-Malware-Software installiert ist. Beachten Sie dabei folgende drei Punkte:
Anti-Malware-Software aktualisiert sich automatisch.
Anti-Malware-Software ist ständig aktiviert.
Führen Sie regelmässig vollständige Systemscans oder auch Pen-Tests durch.
Führen Sie regelmässige Updates Ihrer Software durch, insbesondere Sicherheitsupdates, um die Schutzfunktionen Ihrer Systeme zu gewährleisten.
Sensibler Umgang mit Passwörtern: Verwenden Sie nie nur ein Passwort für mehrere Webseiten und nutzen Sie Multi-Faktor-Authentifizierung wo möglich. (Schützen Sie beispielsweise Ihr bexio-Konto zusätzlich mit dem Google-Authentificator.)
Anleitung: Der Weg zum sicheren Passwort
Jetzt kostenlos herunterladenIhnen fällt es schwer, sich lange und komplizierte Passwörter zu merken? Da geht es uns wahrscheinlich allen ähnlich. Kein Problem: Es gibt zahlreiche Passwort-Manager, die Passwörter sicher und digital aufbewahren.
Wichtig ist, sich der Gefahren bewusst zu sein. Das ist der erste Schritt zur Datensicherheit. IT-Systeme können mit verschiedenen technischen Massnahmen geschützt werden. Der Mensch nicht. Deshalb ist es für ein KMU unumgänglich, dass Sie sich selbst und Ihre Mitarbeitenden regelmässig schulen und auf mögliche Phishing-Angriffe vorbereiten.
«Der Mensch ist das schwächste Glied in der digitalen Welt.»
Welche Massnahmen setzt bexio für die Sicherung der Kundendaten ein?
Speicherung der Daten in zertifizierten Schweizer Rechenzentren.
Rechenzentren sind nach ISO27001 zertifiziert.
Automatische und regelmässige Updates.
Kundendaten werden auf verschiedenen Systemen und an verschiedenen Orten gespeichert, um gegen Ausfall gesichert zu sein.
Im Notfall kommt ein «Disaster Recovery Plan» zum Einsatz.
Hoher Verschlüsselungsstandard beim Datentransfer.
bexio arbeitet mit der Cloud – wie sicher ist das?
Was bedeutet es, wenn man mit oder in der Cloud arbeitet? Damit sind Cloud-Systeme gemeint. Auch bexio nutzt Cloud-Computing, um den Kunden die Software jederzeit und überall zur Verfügung zu stellen. Die Daten liegen nicht lokal auf einem Rechner, sondern werden in externen Datenzentren in der Schweiz gespeichert. Deswegen müssen Sie bexio weder herunterladen noch installieren. Sie können von jedem Gerät jederzeit auf Ihr bexio-Konto zugreifen.
Die Vorteile vom Arbeiten in der Cloud
Jederzeit und mit jedem Gerät Zugriff auf die eigenen Daten.
Automatische Datensicherung und Backups.
Automatische Updates.
Mehr Details über bexio und Cloud-Computing erfahren Sie hier.
Wie sicher sind Sie im Netz unterwegs?
Machen Sie den Test »Leitfaden für den richtigen Schutz vor Cyber-Attacken
Schützen Sie Ihr KMU vor möglichen Cyber-Gefahren. Unser Leitfaden zum kostenlosen Download gibt Ihnen Tipps und Tricks an die Hand, mit denen Sie Ihr KMU schützen können. Ausserdem erfahren Sie, wie bexio mit sensiblen Kundendaten umgeht.