Auch Schweizer KMU sind vor Cyber-Kriminalität betroffen. Trotzdem rückt das Thema bei den Unternehmen nur langsam in den Fokus der Aufmerksamkeit, wie eine Studie der Hochschule Luzern zeigt. Die Autoren empfehlen den Firmen, mehr Ressourcen für die Informationssicherheit bereitzustellen und Mitarbeitende besser zu schulen.
Die Studie basiert auf einer Online-Umfrage, welche die Forschenden bei 230 KMU durchgeführt haben (weitere Informationen dazu siehe Infokasten unten). Darunter waren Firmen aus verschiedensten Branchen wie Dienstleistung, Beratung, Gewerbe oder Gesundheitswesen. Fast zwei Drittel der Firmen erlaubt ihren Mitarbeitenden, geschäftliche E-Mails auf privaten Geräten zu bearbeiten. Knapp ein Drittel ermöglicht den Zugriff auf sämtliche IT-Anwendungen. «Das vergrössert natürlich die Angriffsfläche», so Hirschi, «genauso wie die Verwendung von Cloud-Diensten», also beispielsweise Datenspeichern, auf die man jederzeit von überall her zugreifen kann. Diese nutzten fast 60 Prozent der Firmen in irgendeiner Form.
Grosse Schäden durch Missbrauch befürchtet
Ist eine Firma von Cyber-Angriffen betroffen, führt dies dazu, dass sie sich stärker mit dem Thema Informationssicherheit auseinandersetzt. Im Zentrum des Interesses steht dabei die Sicherstellung des Geschäftsbetriebs. Dies geschieht vor dem Hintergrund eines grossen Vertraulichkeitsan-spruchs: Über zwei Drittel der Unternehmen beurteilen die Schäden, die durch die missbräuchliche Veröffentlichung ihrer vertraulichen Daten entstehen würde, als gross oder sehr gross.
Schutzmassnahmen sind also wichtig. «Trotzdem gab die grosse Mehrheit der Unternehmen an, keine oder nur minimale Ressourcen für das Thema Informationssicherheit bereitzustellen», sagt Armand Portmann, Co-Autor der Studie. Viele Unternehmen haben zudem ihr Personal im Jahr vor der Umfrage nach eigenen Angaben nicht im Umgang mit Gefahren geschult.
Dementsprechend schwach entwickelt sind vielerorts die Steuerung und Kontrolle der Informationssicherheit: Nicht einmal die Hälfte der KMU prüft ihre Sicherheitsmassnahmen regelmässig auf deren Wirksamkeit. Dies erklärt auch, warum Standards oder Leitfäden für die Informationssicherheit eher selten zum Einsatz kommen. Besser sieht es bei technischen Massnahmen aus. Darunter fallen unter anderem Backups, Virenscanner und Firewalls. Diese setzen gemäss Umfrage fast alle befragten Unternehmen ein.
Wanted: mehr Personal, mehr Schulungen
Angesichts dieser Resultate sehen die beiden Studienautoren gerade im organisatorischen und personellen Bereich Nachholbedarf: Um die Situation in den Schweizer KMU zu verbessern, müssten die Firmen mehr Ressourcen für die Informationssicherheit bereitstellen und ihre Mitarbeitenden in Schulungen besser auf die Gefahren von Cyber-Angriffen vorbereiten.
So kam die Studie zustande
Die Hochschule Luzern hat die Umfrage im dritten und vierten Quartal 2016 mit Unterstützung des KMU Verbands, des Staatssekretariats für Wirtschaft SECO, der Schweizer Kader Organisation SKO und von economiesuisse durchgeführt. Daran nahmen rund 230 Unternehmen teil. Rund zwei Drittel davon stammen aus der deutschen Schweiz, über die Hälfte sind Kleinstfirmen mit weniger als zehn Mitarbeitenden. Anteilsmässig am stärksten vertreten waren Dienstleistungs- und Produktionsbetriebe sowie das Gesundheits- und das Sozialwesen. www.hslu.ch[content_block id=45503 slug=unterstuetzen-sie-dieses-unabhaengige-onlineportal-mit-einem-ihnen-angesemmen-erscheinenden-beitrag]