Cyberrisiken: Schutz für Finanzverantwortliche in KMU

Die Digitalisierung bringt für kleine und mittlere Unternehmen (KMU) enorme Chancen, aber auch erhebliche Risiken mit sich. Insbesondere Finanzverantwortliche stehen vor der Herausforderung, die IT-Sicherheit in ihren Unternehmen zu gewährleisten und gleichzeitig den Schutz sensibler Finanzdaten sicherzustellen. Cyberkriminelle nutzen zunehmend ausgeklügelte Angriffsmethoden, um Daten zu stehlen, Systeme zu manipulieren und finanzielle Schäden zu verursachen. Cyberrisiken gehören heute zu den zentralen Bedrohungen für KMU, insbesondere im Finanzbereich.

05.08.2025 Von: Prof. Dr. Thomas Rautenstrauch
Cyberrisiken

Passende Arbeitshilfen

Einleitung

Längst betreffen Cyberrisiken nicht mehr nur Grossunternehmen, sondern auch kleine und mittlere Unternehmen (KMU), wie eine aktuelle Studie des Forschungsunternehmens Yougov zeigt, nach der in den vergangenen drei Jahren rund 4% der KMU und IT-Dienstleister Opfer eines Cyberangriffs geworden sind. Auf die ganze Schweiz hochgerechnet wären das somit etwa 24'000 betroffene Unternehmen.

In der Schweiz gab es in den letzten Jahren mehrere bemerkenswerte Cyberangriffe, über die in den Medien berichtet wurde:

So wurden während des World Economic Forum (WEF) im Januar 2025 mehrere Schweizer Websites, darunter die Stadt Luzern und die Waadtländer Kantonalbank, Opfer von DDoS-Angriffen. Die prorussische Hackergruppe «NoName057(16)» bekannte sich zu den Angriffen, die vermutlich im Zusammenhang mit dem WEF standen.

Ein weiterer Vorfall aus dem März 2023 betraf die Schweizer Medienhäuser CH Media und die Neue Zürcher Zeitung (NZZ) Opfer von Cyberangriffen. Die Hackergruppe «Play» drang in die IT-Systeme ein, stahl vertrauliche Daten und verschlüsselte Dateien. Obwohl die Zeitungen weiterhin erscheinen konnten, wurden interne Systeme teilweise wochenlang beeinträchtigt. Da kein Lösegeld gezahlt wurde, veröffentlichten die Angreifer später sensible Informationen über Mitarbeitende und Kunden im Darknet.

Diese und andere Beispiele zeigen, dass Cyberangriffe bei Weitem nicht nur ein IT-Problem, sondern ein existenzielles Geschäftsrisiko darstellen.

Der vorliegende Beitrag gibt einen umfassenden Überblick über Cyber Security im Finanzbereich, erläutert die wichtigsten Bedrohungen und bietet praxisnahe Empfehlungen zur Reduzierung von Risiken.

Cyberrisiken und Bedrohungslage im Finanzbereich

Definition von Cyberrisiken

Cyberrisiken umfassen alle Bedrohungen, die aus der Nutzung von Informationstechnologien entstehen und sich auf die Verfügbarkeit, Integrität und Vertraulichkeit von Daten auswirken können. Im Finanzbereich äußern sich diese Bedrohungen häufig in folgenden Formen:

  • Phishing & Social Engineering: Betrüger versuchen, Mitarbeitende zu täuschen und sensible Informationen preiszugeben.
  • Ransomware: Schadsoftware verschlüsselt Unternehmensdaten und verlangt Lösegeld für die Freigabe.
  • Insider Threats: Mitarbeiter oder Geschäftspartner missbrauchen interne Informationen für finanzielle Vorteile.
  • Datenmanipulation: Verfälschung von Finanzdaten zur Verschleierung von Betrug oder illegalen Aktivitäten.
  • CEO-Fraud: Betrüger geben sich als Führungskräfte aus und veranlassen gefälschte Überweisungen.

Auswirkungen von Cyberrisiken auf KMU

Neben direkten finanziellen Verlusten durch Betrug entstehen durch Cyberangriffe oft auch erhebliche finanzielle Schäden wie:

  • Reputationsschäden

Cyberangriffe können das Vertrauen von Investoren, Kunden und Geschäftspartnern erheblich beeinträchtigen. Ein bekannt gewordener Datenverlust oder ein Angriff durch Ransomware kann folgende Konsequenzen haben:

  1. Kundenabwanderung: Verbraucher legen zunehmend Wert auf Datenschutz. Ein öffentlich gewordener Vorfall kann Kunden dazu veranlassen, zu Wettbewerbern zu wechseln.
  2. Verlust von Geschäftspartnern: Geschäftskunden und Zulieferer könnten das Unternehmen als unzuverlässigen Partner betrachten, insbesondere wenn sensible Daten betroffen sind oder Geschäftsprozesse beeinträchtigt wurden.
  3. Schwierigkeiten bei der Kapitalbeschaffung: Investoren und Banken könnten aufgrund gestiegener Risiken zögern, Kredite oder Finanzierungen bereitzustellen.
  • regulatorische Sanktionen und rechtliche Konsequenzen

Unternehmen unterliegen in der Schweiz und in der EU strengen Datenschutzvorschriften, insbesondere durch das revidierte Schweizer Datenschutzgesetz (revDSG) und die EU-Datenschutz-Grundverordnung (DSGVO). Verstösse gegen diese Vorschriften können zu hohen Bussen und Sanktionen führen wie z.B.:

  1. hohe Geldstrafen: Die DSGVO sieht Bussgelder von bis zu 4 % des weltweiten Jahresumsatzes oder 20 Mio. Euro vor. Auch das revidierte DSG in der Schweiz enthält empfindliche Strafen für Verstösse.
  2. Schadensersatzklagen: Betroffene Kunden oder Partner können Unternehmen verklagen, wenn ihre Daten durch Fahrlässigkeit kompromittiert wurden.
  3. verpflichtende Meldungen an Behörden: Je nach Schwere des Vorfalls müssen Unternehmen Datenschutzverletzungen innerhalb von 72 Stunden an die Aufsichtsbehörden melden, was zusätzlichen Verwaltungsaufwand verursacht und die mediale Aufmerksamkeit verstärkt.

WEKA PLUS (12 Monate)

Über 1300 Arbeitshilfen zum Sofort-Download und alle Beiträge auf weka.ch inklusive

CHF 298.00

  • Betriebsunterbrechungen und Produktivitätsverluste

Cyberangriffe können Geschäftsprozesse empfindlich stören und erhebliche wirtschaftliche Schäden verursachen:

  1. Systemausfälle und Produktionsstopps: Angriffe wie Ransomware oder DDoS-Attacken können IT-Systeme lahmlegen, sodass Bestellungen nicht bearbeitet, Lieferketten unterbrochen oder Maschinen stillgelegt werden.
  2. Datenverlust und Wiederherstellungskosten: Die Wiederherstellung von Systemen und Daten kann langwierig und teuer sein, insbesondere wenn keine angemessenen Back-ups existieren.
  3. Mitarbeiterschulungen und Sicherheitsmaßnahmen: Nach einem Angriff müssen Unternehmen oft in zusätzliche IT-Sicherheitsmaßnahmen und Schulungen investieren, um zukünftige Vorfälle zu vermeiden.
  • erhöhte Prämien für Cyber-Versicherungsschutz

Nach einem Cyberangriff kann es für Unternehmen schwieriger und teurer werden, eine Cyberversicherung abzuschliessen. Versicherer bewerten das Unternehmen möglicherweise als erhöhtes Risiko, was zu steigenden Prämien oder gar zu einer Ablehnung des Versicherungsschutzes führen kann.

  1. Reputationsschäden, die das Vertrauen von Investoren, Kunden und Geschäftspartnern beeinträchtigen.
  2. Regulatorische Sanktionen, insbesondere durch Datenschutzgesetze wie die DSGVO oder das Schweizer Datenschutzgesetz.
  3. Betriebsunterbrechungen, die durch Datenverlust oder Systemausfälle verursacht werden.

Internes Kontrollsysteme (IKS) als Schutzmechanismus gegen Cyberbedrohungen

Zielsetzung und Bedeutung des IKS

Ein Internes Kontrollsystem (IKS) dient der Risikominimierung und Absicherung von Geschäftsprozessen. Interne Kontrollen sollten sich gemäss Rautenstrauch und Hunziker (2023) auf drei verschiedenen Ebenen befinden:

  • übergreifende Kontrollen auf der Ebene der Gesamtorganisation vor allem in Form von Richtlinien, Reglementen oder Weisungen
  • Prozesskontrollen auf Ebene der wesentlichen Geschäftsprozesse und deren Teilprozessen
  • allgemeine (applikationsunabhängige) IT-Kontrollen

Die Einbindung von IT-Sicherheitsmaßnahmen in das IKS ist essenziell, um Finanzbetrug durch Cyberangriffe zu verhindern. Ein effektives IKS umfasst dabei unterschiedliche Arten von Kontrollen:

  • präventive Kontrollen: Maßnahmen zur Verhinderung von Angriffen und Betrugsfällen
  • detektive Kontrollen: Mechanismen zur frühzeitigen Identifikation von Unregelmäßigkeiten
  • korrektive Kontrollen: Strategien zur Schadensbegrenzung und Wiederherstellung von Sicherheit nach einem Vorfall

IT-Sicherheit als integraler Bestandteil des IKS

Moderne IKS-Frameworks wie COBIT (Control Objectives for Information and Related Technology) müssen IT-Sicherheitsrichtlinien in ihre Struktur integrieren. Dies beinhaltet:

Identitäts- und Zugriffsmanagement (IAM – Identity and Access Management)

Ein wirksames IAM-System stellt sicher, dass nur autorisierte Benutzer auf kritische Systeme, Daten und Anwendungen zugreifen können. Dies umfasst:

  • rollenbasierte Zugriffskontrollen (RBAC – Role-Based Access Control): Zugriff wird nach der Funktion des Mitarbeiters definiert, um das Prinzip der minimalen Rechtevergabe («Least Privilege Principle») durchzusetzen.
  • Zero-Trust-Security: Jeder Zugriff auf Ressourcen muss verifiziert werden – unabhängig davon, ob der Nutzer innerhalb oder außerhalb des Firmennetzwerks agiert.
  • automatische Deaktivierung inaktiver Konten: Reduziert das Risiko durch verwaiste Benutzerkonten, die von Cyberkriminellen missbraucht werden könnten.
  • Lifecycle-Management von Benutzerrechten: Automatische Anpassung von Zugriffsrechten bei Rollenwechseln, Kündigungen oder temporären Projekten.

Passende Produkt-Empfehlungen

Multi-Faktor-Authentifizierung (MFA – Multi-Factor Authentication)

MFA bietet eine zusätzliche Sicherheitsebene und reduziert die Gefahr von Identitätsdiebstahl. Kritische Anwendungsfälle:

  • Anmeldung an Finanzsystemen: ERP- und Buchhaltungssoftware wie SAP oder Microsoft Dynamics erfordern eine zusätzliche Verifizierung.
  • Freigabe von Zahlungsaufträgen: Finanztransaktionen, insbesondere bei hohen Beträgen oder internationalen Zahlungen, sollten eine zweite Authentifizierung verlangen.
  • Privileged Access Management (PAM): Spezielle Kontrolle für Administratoren und Nutzer mit besonders weitreichenden Rechten, um Missbrauch zu verhindern.

SIEM-Systeme (Security Information and Event Management)

SIEM-Plattformen ermöglichen eine zentrale Überwachung und Echtzeitanalyse von sicherheitsrelevanten Ereignissen. Wichtige Funktionen sind:

  • Erkennung von Anomalien: Ungewöhnliche Log-in-Versuche oder Datenabfragen werden sofort identifiziert und gemeldet.
  • automatisierte Alarmierung: Kritische Vorfälle lösen automatische Benachrichtigungen an IT-Teams oder Sicherheitsverantwortliche aus.
  • Incident Response Automation: Reaktionsmechanismen (z.B. Blockierung verdächtiger IP-Adressen) können automatisiert durchgeführt werden.
  • Korrelation mit Bedrohungsdatenbanken: Abgleich verdächtiger Aktivitäten mit bekannten Angriffsmustern und Bedrohungsinformationen.

Verschlüsselungstechnologien zum Schutz sensibler Daten

Datenverschlüsselung ist eine essenzielle Schutzmassnahme, insbesondere für Finanztransaktionen und personenbezogene Kundendaten. Hierbei wird unterschieden zwischen:

  • Ende-zu-Ende-Verschlüsselung (E2EE): Daten werden während der Übertragung und Speicherung verschlüsselt, um Abhörversuche zu verhindern.
  • Verschlüsselung ruhender Daten («Data at Rest»): Sensible Daten in Datenbanken, Dateisystemen oder Cloud-Speichern werden mit starken Verschlüsselungsalgorithmen (z.B. AES-256) gesichert.
  • Tokenisierung: Ersetzt vertrauliche Daten (z.B. Kreditkartennummern) durch zufällige Token, um Missbrauch zu verhindern.
  • Post-Quanten-Kryptografie: Vorbereitung auf zukünftige Bedrohungen durch Quantencomputer, die herkömmliche Verschlüsselungsmethoden brechen könnten.

IT-Risikomanagement und Business Continuity

Ergänzend zu den technischen Schutzmassnahmen sollten Unternehmen die folgenden organisatorischen Sicherheitsmaßnahmen etablieren:

  • Cybersecurity-Richtlinien: Klare Vorgaben zur Nutzung von IT-Systemen, Passwortsicherheit und Datenschutz.
  • Schulungen und Awareness-Programme: Mitarbeiter müssen regelmäßig in Erkennung von Phishing, Social Engineering und sicherem Umgang mit IT-Ressourcen geschult werden.
  • Incident-Response-Pläne: Maßnahmen zur schnellen Reaktion auf Cyberangriffe, um Schäden zu minimieren und die Geschäftskontinuität sicherzustellen.
  • Back-up- und Disaster-Recovery-Strategien: Regelmäßige Back-ups und Notfallpläne, um Datenverluste durch Ransomware oder Systemausfälle zu vermeiden.

Strategien zur Absicherung gegen Cyber-Finanzbetrug

Präventive Massnahmen

  • Security Awareness-Training für Mitarbeitende: regelmäßige Schulungen zu Phishing, Social Engineering und IT-Sicherheit
  • Segmentierung des Finanzsystems: kritische Systeme isolieren, um Angriffsflächen zu minimieren
  • starke Passwortrichtlinien und regelmäßige Updates: Minimierung des Risikos durch kompromittierte Zugangsdaten

Detektive Massnahmen

  • Anomalieerkennung in Finanztransaktionen: Einsatz von KI zur Identifikation verdächtiger Buchungen oder Muster
  • regelmäßige Audits und Penetrationstests: Simulation von Angriffen zur Überprüfung der IT-Sicherheit
  • Transaktionsprotokolle und Echtzeitüberwachung: Nachvollziehbarkeit und Überwachung kritischer Aktivitäten

Korrektive Massnahmen

  • Incident-Response-Pläne: detaillierte Handlungsanweisungen für den Ernstfall eines Cyberangriffs
  • Sicherheits-Back-ups: regelmäßige Sicherung von Daten zur Wiederherstellung nach Angriffen
  • Zusammenarbeit mit Strafverfolgungsbehörden: Meldung von Betrugsfällen und Unterstützung bei der Aufklärung

Regulatorische Anforderungen und Compliance

  • Schweizer Datenschutzgesetz (revDSG): Anforderungen an den Schutz personenbezogener Daten und Datensicherheit
  • FINMA-Richtlinien zur IT-Sicherheit: Anforderungen für Finanzdienstleister zur Cyber-Resilienz
  • ISO 27001 & NIST-Framework: Dies sind wichtige internationale Standards für das Informationssicherheitsmanagement.
  • EU-NIS-2-Richtlinie: Auswirkungen auf Schweizer Unternehmen mit Geschäftsbeziehungen in die EU

Best Practices für die Implementierung von IT-Sicherheit im IKS

  1. CISO-Position etablieren: Ein Chief Information Security Officer (CISO) sollte für IT-Sicherheitsstrategien verantwortlich sein.
  2. Zero-Trust-Modell implementieren: Keinem Benutzer oder System wird standardmäßig vertraut.
  3. Cyberversicherung prüfen: Absicherung gegen finanzielle Schäden durch Cyberangriffe
  4. kollaborative Sicherheitsstrategien: Zusammenarbeit mit Banken, Versicherern und Behörden zur Betrugsprävention

Fazit und Ausblick

Cyberrisiken sind eine der größten Herausforderungen für Unternehmen im Finanzbereich. Ein modernes Internes Kontrollsystem (IKS) muss IT-Sicherheitsmaßnahmen tief in die Unternehmensstruktur integrieren, um Finanzbetrug zu verhindern.

KMU sollten daher verstärkt in Prävention und IT-Sicherheit investieren, um mögliche Schäden zu minimieren und langfristig wettbewerbsfähig zu bleiben. Ein proaktiver Ansatz kann nicht nur finanzielle Verluste reduzieren, sondern auch das Vertrauen von Kunden, Partnern und Investoren sichern.
 

Quellen- und Literaturverzeichnis

Allianz Risk Barometer 2024 (Allianz Global Corporate & Specialty): www.agcs.allianz.com

Bundesamt für Cybersicherheit Schweiz – Leitlinien für Unternehmen

Eidgenössische Finanzmarktaufsicht (FINMA) – IT-Risikomanagement

Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB): www.edoeb.admin.ch

IBM Cost of a Data Breach Report 2023: www.ibm.com/security/data-breach

ISO/IEC 27001:2022 – Informationssicherheitsmanagement

Nationale Strategie zum Schutz der Schweiz vor Cyber-Risiken (NCS): www.ncsc.admin.ch

Rautenstrauch, T.; Hunziker, S.: Internes Kontrollsystem – Perspektiven der Internen Kontrolle, Zürich (WEKA) 2023.

Swiss Re Institute: Cyber Resilience Report 2023: www.swissre.com

Seminar-Empfehlungen

Weitere Beiträge & Videos zu diesem Thema

IT Compliance
W+
/ IT Compliance

So minimieren Sie Risiken
Risikobewertung
/ Risikobewertung

Effektives Risikomanagement
Währungsrisiken
/ Währungsrisiken

Möglichkeiten zur Absicherung
Risiken
/ Risiken

Gefahren für Firmen und Gemeinden früh erkennen
Risikomanagementprozess
W+
/ Risikomanagementprozess

So gelingt das Risikomanagement
Risk Map
/ Risk Map

Auf diese Punkte müssen Sie im Risikocontrolling achten
Member werden Newsletter