Cyberattacken: Schweizer KMU wiegen sich in falscher Sicherheit

Immer wieder ist von Cyberattacken aller Art zu lesen und zu hören. Es scheint, dass deren Anzahl laufend zunimmt. Doch wie gut geschützt sind KMU vor solchen Angriffen aus dem Cyberspace? Dies versuchte eine im September 2o17 durchgeführte repräsentative Befragung von 300 Geschäftsführern von KMU durch das Markt- und Sozialforschungsinstitut gfs-zürich herauszufinden. Auftraggeber der Studie waren u.a. ICTswitzerland, das ISB Informatiksteuerungsorgan des Bundes, die Information Security Society Switzerland ISSS, die Schweizerische Vereinigung für Qualitäts- und Managementsysteme SQS sowie der Schweizer Versicherungsverband SVV. Die nach wissenschaftlichen Methoden erfolgte Auswahl der KMU erlaubt es, die Resultate auf die Gesamtheit der Schweizer KMU (2015: 580‘000) zu übertragen.

Scheinbar nur wenige KMU von Cyberattacken betroffen

Befragt wurden die KMU zunächst zu ihrer eigenen Beurteilung von Risikofaktoren. Rund zwei Drittel der Befragten (62 Prozent) bewerten das kontinuierliche Funktionieren der IT als sehr wichtig für ihren Betrieb. Das heisst, ein erfolgreicher Cyberangriff und ein damit verbundener Betriebsausfall würde bereits einen gewissen Schaden anrichten. Auch dass sensitive Daten, etwa Geschäftsgeheimnisse oder personenbezogene Daten, gestohlen werden könnten, bezeichnen die KMU als Risikofaktor. Rund drei Viertel der Befragten speichern solche Informationen intern. Bei mehr als der Hälfte der KMU ist die Geschäftsführung selbst für die IT-Sicherheit verantwortlich. Aber nur wiederum die Hälfte von ihnen fühlt sich gut bis sehr gut über Cyberrisiken informiert. Gemäss Einschätzung der Studien-Autoren besteht darin ein weiterer Risikofaktor.

Das Risiko von Cyberattacken wird von den KMU stark unterschätzt, wie folgende Ergebnisse der Befragung zeigen: Einen Tag lang ausser Gefecht gesetzt oder gar in der Existenz gefährdet zu werden, empfinden nur 10 % bzw. 4 % als grosse oder sehr grosse Gefahr. Über die Hälfte der befragten Geschäftsführer/-innen (56 %) fühlt sich gut bis sehr gut vor Cyberangriffen geschützt. Allerdings: 36 Prozent sagen, sie seien schon mal von Malware (Viren, Trojaner) betroffen gewesen, 6 Prozent von Datenverlust, 4 Prozent von Erpressung, 3 Prozent von DDoS-Attacken und 2 Prozent von Datendiebstahl. Dies alles klingt nach wenig: Auf Basis der 301 befragten KMU kann beispielsweise die Anzahl an von Erpressung betroffenen Firmen auf 23’000 (4 Prozent) geschätzt werden, und die 36 Prozent von Malware betroffenen Unternehmen entsprächen in absoluten Zahlen 209’000 Firmen. Dennoch: Über die Hälfte der befragten Geschäftsführer/-innen (56 %) fühlt sich gut bis sehr gut vor Cyberangriffen geschützt.

Technischer Schutz zwar vorhanden, aber das Risiko „Mitarbeiter“ bleibt

Dieser Schutz vor Cyberattacken genügt allerdings gemäss den Studien-Autoren keineswegs. Denn nur 60 % der Befragten geben an, Grundschutzmassnahmen wie Malware-Schutz, Firewall, Patch-Management und Backup voll und ganz umgesetzt zu haben. Systeme zur Erkennung von Cyber-Vorfällen wurden nur von jedem fünften Unternehmen vollständig eingeführt. Prozesse zur Behandlung von Cyber-Vorfällen nur noch von 18 % der befragten Unternehmen, Mitarbeiter-Schulungen über den sicheren Gebrauch von IT lediglich von 15 %. Entsprechend besorgt zeigt sich Simon Dejung vom Schweizer Versicherungsverband: „Mehr als 98 % der Schweizer Unternehmen sind KMU und bilden das Rückgrat der Schweizer Wirtschaft. Es ist somit von strategischer Bedeutung für die Schweiz, dass sich diese Unternehmen besser vor Cyberrisiken schützen.“

Etwa in Form von Versicherungen? 12 Prozent der befragten KMU gaben an, über eine Cyberversicherung zu verfügen. Gemäss Einschätzung von Simon Dejung dürfte es sich dabei allerdings in den meisten Fällen nicht um reine Cyber-Versicherungen handeln, sondern bestenfalls um eine Teildeckung innerhalb eines anderen Versicherungsprodukts. Er warnt: „In einem Schadensfall könnte es sich herausstellen, dass die Versicherung unter einem Schaden etwas ganz anderes versteht als der Versicherungsnehmer.“ Umso wichtiger sei eine genaue Deckungsprüfung gegenüber neuen Risiko-Landschaften, welche die Vernetzung, Digitalisierung und Automatisierung mit sich bringen. Es gelte entsprechende Bedrohungsszenarien zu ermitteln und die eigene Risiko-Landschaft zu beurteilen, bevor ein Versicherungsprodukt gewählt wird.

Aufklärung und Koordination bei der IT-Sicherheit tut not

Viele KMU scheinen aber gerade daran zu scheitern. Anerkannte Cyber-Sicherheitsstandards sind ihnen zumeist unbekannt. Und sich z.B. nach Standards wie ISO 27001 zertifizieren zu lassen übersteigt die Ressourcen der meisten KMU. Eine Expertenkommission aus Vertretern von Bund und Wirtschaft arbeitet denn auch an Standards mit der richtigen Flughöhe für KMU. „Wir gehen da sehr pragmatisch vor“, versicherte Arié Malz, leitendes Mitglied dieser Kommission. Neben der Schaffung solcher anerkannter Sicherheitsstandards gibt es aber noch weitere Ziele, die prioritär zu verfolgen seien, wie Andreas Kälin, Geschäftsführer von ICTswitzerland, erläutert. So müssten Mitarbeiter systematisch für den sicheren Gebrauch von IT sensibilisiert werden. Ferner müssten KMU durch geeignete Organisationen im Umgang mit Cyberrisiken unterstützt werden und ein Frühwarnsystem für die gesamte Wirtschaft eingerichtet werden, das über neue Cybergefahren informiert. Zu prüfen sei zudem, ob und wie eine Meldepflicht zu Cyberattacken umgesetzt werden kann. Angekündigt sind auch schweizweite Aufklärungskampagnen für die Erkennung von Cyberrisiken.

Quelle: ICTSwitzerland