IT-Security: Bewusstsein bei Schweizer KMUs lässt zu wünschen übrig (Bild: Pixabay/Pixelcreatures)

Das Risikobewusstsein in Bezug auf Cyberkriminalität ist bei Schweizer KMUs (kleine und mittlere Unternehmungen) nach wie vor sehr gering. Dies geht aus einer aktuellen Studie hervor, die die Axa durchgeführt hat. Ebenfalls noch kaum auf dem Radar haben die KMUs demnach das neue Datenschutzgesetz.

Gemäss polizeilicher Kriminalstatistik wurden in der Schweiz im Jahr 2021 über 30'000 Straftaten im Bereich der digitalen Kriminalität gemeldet – das sind 24 Prozent mehr als noch 2020.

15 Prozent der von Axa befragten Unternehmen gaben an, dass sie in den letzten Jahren Opfer eines Cyberangriffs waren, bei dem externe Personen versuchten, auf das Firmennetzwerk zuzugreifen, um Unternehmensdaten zu erhalten (14 Prozent der kleineren KMUs, 29 Prozent der grossen KMU, jedes zehnte davon gar wiederholt). Trotzdem rechnen Schweizer Firmen kaum damit, dass ihr Unternehmen in das Visier von Cyberkriminellen geraten könnte: Ganze 62 Prozent der befragten KMU erachten das Risiko als gering, künftig Opfer einer Attacke zu werden. Nur 12 Prozent der Unternehmen schätzen das Risiko als gross ein. Ein Trugschluss, wie Andrea Rothenbühler, Leiterin der AXA Cyberversicherung erklärt: "Angriffe auf die IT-Systeme von Schweizer Firmen nehmen von Jahr zu Jahr zu. Vor allem KMUs rücken vermehrt ins Visier von Internetkriminellen, da sie weniger Ressourcen in die eigene IT-Sicherheit investieren können als grosse Konzerne."

Als Folge eines unerwünschten Zugriffs auf das Unternehmensnetzwerk können auf Unternehmen nicht nur direkte Kosten zukommen. Solche Angriffe können ebenso zu einem Produktionsstopp führen oder die Reputation des Unternehmens nachhaltig schädigen. Allerdings schätzen die befragten KMUs die Wahrscheinlichkeit, dass ein Cyberangriff ihr Unternehmen materiell und immateriell erheblich schädigen könnte, eher gering ein. Am häufigsten gehen KMUs von anfallenden Kosten zur Wiederherstellung der IT-Sicherheit aus, damit rechnen immerhin 36 Prozent der Befragten. 29 Prozent gehen von einer starken Beeinträchtigung der Betriebsfähigkeit und rund jedes fünfte KMU rechnet mit hohen finanziellen Einbussen, weil der Betrieb unterbrochen wird, oder mit einem erheblichen Reputationsschaden.

Wie die Umfrageergebnisse weiters zeigen, fühlen sich 60 Prozent der KMUs durch Firewalls und Virenschutzprogramm ausreichend vor Zugriffen auf ihre Unternehmensdaten geschützt. Immerhin 17 Prozent aller Befragten glauben, dass ihre IT-Schutzmassnahmen nicht ausreichen, rund ein Viertel der befragten KMUs konnten nicht einschätzen, ob sie genügend Schutzvorkehrungen getroffen haben.

Und auch bei den weiteren technischen Schutzmassnahmen gibt es Unterschiede: 73 Prozent aller befragten KMU machen ein regelmässiges Backup ihrer Daten, etwas mehr als zwei Drittel haben eine Virensoftware installiert. 55 Prozent der befragten KMU haben eine Firewall installiert, um das Unternehmensnetzwerk zu schützen, nur 46 Prozent hat Richtlinien für Passwörter etabliert.

Ebenfalls weniger im Fokus zur Verbesserung der IT-Sicherheit stehen die eigenen Mitarbeitenden, nur zwei von fünf KMUs sensibilisieren ihre Belegschaft für die bestehenden Cyberrisiken. Dabei zeigen sich deutliche Unterschiede in Bezug auf die Unternehmensgrösse: Während 74 Prozent der grossen KMU mit 50 bis 250 Mitarbeitenden ihre Belegschaft für mögliche IT-Risiken sensibilisiert, tun dies nur 51 Prozent der mittleren KMU mit 10 bis 49 Beschäftigten und nur 38 Prozent der kleinen KMU mit 2 bis 9 Mitarbeitenden.

Noch kaum auf dem Radar haben die KMUs das neue Datenschutzgesetz. Die Studienergebnisse zeigen, dass sich gut ein Fünftel der befragten KMUs von der Totalrevision gar nicht betroffen fühlt. Und auch von denjenigen Unternehmen, die sich im Geltungsbereich des DSG sehen, ist bis anhin erst jedes zweite KMU aktiv geworden. Gerade einmal 16 Prozent haben schon Informationen dazu eingeholt, konkrete Umsetzungsmassnahmen wurden nur von rund jedem zehnten KMU ergriffen.

Vorsätzliche Verstösse gegen das neue Datenschutzgesetz wie Verletzung von Informations-, Auskunfts-, Mitwirkungs- oder Sorgfaltspflichten können mit Bussen bis 250'000 Franken sanktioniert werden. Gebüsst wird grundsätzlich die verantwortliche natürliche Person. Neu kann jedoch auch das Unternehmen selbst mit einer Busse bis 50'000 Franken betraft werden, wenn die Ermittlung der fehlbaren Person innerhalb des Unternehmens mit unverhältnismässigem Untersuchungsaufwand verbunden wäre.



Der Online-Stellenmarkt für ICT Professionals