KMUs wiegen sich in falscher Sicherheit vor Cyberangriffen

GFS-Zürich hat eine Studie zur Cybersicherheit bei Schweizer KMUs vorgelegt. In Auftrag gaben die Studie der Schweizerische Versicherungsverband (SVV) ICTswitzerland, Information Security Society Switzerland (ISSS), die Schweizerische Vereinigung für Qualitäts- und Management-Systeme (SQS).

GFS sprach mit 301 Schweizer KMU der deutsch-, französisch- und italienischsprachigen Schweiz mit 1 bis 249 Mitarbeiter. Die Befragung fand telefonisch statt, zwischen dem 13. und 27. September. Karin Mändli Lerch von GFS präsentierte die Befragung heute an einer Veranstaltung im Zürcher Restaurant Au Premier. GFS arbeitete für die Studie mit dem Informatiksteuerungsorgan des Bundes und der Expertenkommission des Bundesrates zur Datenbearbeitung und Datensicherheit zusammen.

Cybergefahren nur als kleines Problem gesehen

Eine zentrale Erkenntnis aus der Studie ist, dass mindestens ein Drittel aller KMUs bereits von Cyberangriffen betroffen war. Von Erpressungen berichteten 4 Prozent der Befragten. Hochgerechnet auf die Schweiz sind 23'000 KMUs Opfer von Erpressungen und über 200'000 von Malware befallen gewesen, schreiben die Studienautoren.

(Source: Cyberrisiken in Schweizer KMUs)

In der Studie gaben 12 Prozent der Befragten an, gegen Cyberrisiken versichert zu sein. Das stimme wohl nicht ganz, sagte Simon Dejung vom Schweizerischen Versicherungsverband. Rechne man den Wert auf die ganze Schweiz hoch, erhalte man eine zu hohe Zahl. Das erkläre sich darin, dass KMUs unter "Versicherungsdeckung" nicht das gleiche verstehen würden wie die Versicherungen.

Das Bewusstsein für Cybergefahren ist bei den befragten CEOs nicht stark ausgeprägt. "Das Risiko, Opfer eines Cyberangriffs zu werden, wird als tief eingeschätzt", schreiben die Autoren. Nur 10, beziehungsweise 4 Prozent der Befragten, sahen die Existenz ihres Unternehmens in Gefahr, sollte die IT durch Cyberangriffe einen Tag ausfallen. Zudem glaubt die Mehrheit, 56 Prozent, sehr gut vor Cyberangriffen geschützt zu sein.

Anders sehen dies die Studienautoren, denn nur 60 Prozent der Befragten gaben an, Malware-Schutz, Firewall, Patch-Management und Back-ups vollumfänglich einzusetzen. Nur 20 Prozent der Firmen haben Systeme eingeführt, um Cyberangriffe zu erkennen. Auch die Schulung der Mitarbeiter gegenüber Cybergefahren ist kaum ein Thema. Nur 18 Prozent haben Mitarbeiter in der Behebung von Cybervorfällen geschult, und 15 Prozent lehren ihren Mitarbeitern den sicheren Umgang mit IT.

(Source: Cyberrisiken in Schweizer KMUs)

Positiv heben die Autoren hervor, dass 45 Prozent der Befragten in den nächsten zwei bis drei Jahren ihren Schutz vor Cyberangriffen verbessern wollen.

Existenz von Firmen in Gefahr

In der Studie werden auch mehre Risikofaktoren für KMUs identifiziert. 62 Prozent gaben an, dass sie auf einen kontinuierlichen Betrieb der IT-Infrastrukturen angewiesen seien. Schon kurze Ausfälle können daher grosse Schäden anrichten.

(Source: Cyberrisiken in Schweizer KMUs)

Zudem könnten laut Studie sensitive Daten wie Geschäftsgeheimnisse oder Kundendaten gestohlen werden, da diese bei rund drei Viertel der KMUs intern gespeichert werden.

(Source: Cyberrisiken in Schweizer KMUs)

Problematisch ist weiterhin, dass bei 55 Prozent der KMUs der Geschäftsführer für die IT verantwortlich ist, wie es in der Studie weiter heisst. Jedoch nur die Hälfte von ihnen bezeichnet sich als sehr gut über Cyberrisiken informiert.

(Source: Cyberrisiken in Schweizer KMUs)

Den verpflichtenden Einsatz von Cyber-Mindeststandards lehnten die meisten Befragten ab. Nur 29 Prozent gaben dies zu Protokoll. Etwas höher fiel die Zustimmung bei Firmen aus, die schon einmal von einem Cyberangriff betroffen waren (39 Prozent). Bei der Ausarbeitung von Mindeststandards sehen die Befragten gemäss Studie Branchenverbände (38 Prozent) und den Bund (37 Prozent) in der Pflicht.

(Source: Cyberrisiken in Schweizer KMUs)

Meldepflicht findet Anklang

Die Studienautoren fragten nicht direkt nach der Einstellung der KMUs zu einer Meldepflicht. Stattdessen konnten die Befragten ihre Zustimmung oder Ablehnung zu je zwei Pro- und Kontra-Argumenten geben. Bei den Befragten überwogen die Pro-Argumente leicht.

60 Prozent stimmen der Aussage zu, dass eine Meldepflicht die Sicherheit für alle erhöhe, da sie als Warnsystem fungiere. Nur etwas mehr als die Hälfte glaubt hingegen, dass die Bekämpfung der Cyberkriminalität damit verbessert werden könne.

Die Hälfte ist der Meinung, dass Vorfälle nicht gemeldet würden, da Firmen einen Imageschaden befürchteten. Zuletzt sehen 42 Prozent in einer Meldepflicht nur eine unnötige Belastung für KMUs, wie es in der Studie weiter heisst.

(Source: Cyberrisiken in Schweizer KMUs)

KMUs bilden das Rückgrad der Wirtschaft

"Mehr als 98 Prozent der Schweizer Unternehmen sind KMU und bilden das Rückgrat der Schweizer Wirtschaft", kommentiert Dejung das Ergebnis der Studie. "Es ist somit von strategischer Bedeutung für die Schweiz, dass sich diese Unternehmen besser vor Cyberrisiken schützen." Brigitta Gadient, die Präsidentin der Kommission zur Datenbearbeitung und Datensicherheit des Bundes, sagt: "Die Resultate der Umfrage zeigen einmal mehr, dass es einen Handlungsbedarf gibt. Die Kommission arbeitet deshalb an den Eckpfeilern einer IT-Security Best Practice für die KMU-Welt."

Laut Umberto Annino, Präsident der Information Security Society Switzerland, ist es sehr wichtig, die Cyberrisiken in koordinierter und gemeinschaftlicher Weise anzugehen. "Punktuelle Vorstösse lösen die komplexen, interdisziplinären Herausforderungen der Cyber-Security nicht. Eine Zusammenarbeit der verschiedenen Akteure auf nationaler und internationaler Ebene ist unabdingbar."

Die vollständige Studie kann kostenlos online bezogen werden (PDF).