Schweizer KMUs bereiten sich zu wenig auf Cyberattacken vor
Für viele KMUs ist Cyberkriminalität nur ein Nebenthema. Zu diesem Schluss kommt eine Studie der Axa. Auch das Datenschutzgesetz haben viele Unternehmen noch nicht auf dem Schirm.
62 Prozent der Schweizer KMUs bewerten das Risiko einer Cyberattacke als "gering". Zu diesem Schluss kommt eine Studie der Axa. Entsprechend entspannt sei die Attitüde gegenüber gewissen Sicherheitsmassnahmen.
12 Prozent halten Angriff für wahrscheinlich
Gemäss polizeilicher Kriminalstatistik wurden in der Schweiz im Jahr 2021 über 30'000 Straftaten im Bereich der digitalen Kriminalität gemeldet – das sind 24 Prozent mehr als 2020. Dennoch hält der Grossteil der befragten Unternehmen einen Angriff auf ihre eigene Infrastruktur für wahrscheinlich.
(Source: zVg)
So waren 15 Prozent der befragten Unternehmen im Jahr 2021 von einer Cyberattacke betroffen. Jedoch schätzen nur 12 Prozent das Risiko eines Angriffs als gross ein. Hierzu sagt Andrea Rothenbühler, Leiterin der Axa Cyberversicherung: "Angriffe auf die IT-Systeme von Schweizer Firmen nehmen von Jahr zu Jahr zu. Vor allem KMU rücken vermehrt ins Visier von Internetkriminellen, da sie weniger Ressourcen in die eigene IT-Sicherheit investieren können als grosse Konzerne."
Versteckte Kosten
Laut der Studie unterschätzen KMUs nicht nur die Wahrscheinlichkeit eines Cyberattacke, sondern auch die materiellen und immateriellen Folgen eines erfolgreichen Angriffs. Solche Angriffe können ebenso zu einem Produktionsstopp führen oder die Reputation des Unternehmens nachhaltig schädigen. Allerdings schätzen die befragten KMU die Wahrscheinlichkeit, dass ein Cyberangriff ihr Unternehmen materiell und immateriell erheblich schädigen könnte, eher gering ein.
Am häufigsten gehen KMU von anfallenden Kosten zur Wiederherstellung der IT-Sicherheit aus. Konkret rechnen 36 Prozent der Befragten damit. 29 Prozent gehen von einer starken Beeinträchtigung der Betriebsfähigkeit aus. Rund jedes fünfte KMU rechnet mit hohen finanziellen Einbussen wegen Betriebsunterbruch oder wegen erheblichem Reputationsschaden. Grundsätzlich aber überwiegt die Einschätzung, dass solche Auswirkungen eher bis sehr unwahrscheinlich sind.
Hierzu meint Rothenbühler: "Bereits eine Woche Betriebsunterbruch kann bei einem mittelständischen Maschinenbauer zu einer schmerzhaften Umsatzeinbusse führen. Ausserdem entstehen hohe Kosten für Wiederherstellung der Daten, Krisenmanagement und die Unterstützung durch IT-Dienstleister und Cybersecurity-Spezialisten. Darüber hinaus können bei Datenschutzverletzungen Schadenersatzansprüche der Kunden und Bussen auf das KMU zukommen."
Wenig Sensibilisierung
Da das Risiko eines Angriffs von vielen Unternehmen nicht als besonders hoch eingeschätzt wird, ist auch die aktive Abwehr solcher Angriffe für viele kein grosses Thema. Gerade kleine Unternehmen (bis 9 Mitarbeitende) tun nicht viel für die Cyberabwehr.
So geben nur 38 Prozent der Kleinstunternehmen an, ihre Mitarbeitenden für bestehende Cyberrisiken zu sensibilisieren. Bei KMUs mit bis zu 49 Mitarbeitenden liegt der Wert bei immerhin 51 Prozent und bei Unternehmen mit mehr als 50 Mitarbeitenden bei 74 Prozent. Grundsätzlich investieren die grösseren Unternehmen mehr in Cybersicherheit.
(Source: zVg)
Da es aber deutlich mehr kleine als grosse Unternehmen gibt, ist die durchschnittliche Zahl an Firmen, die sich gegen Cyberrisiken rüsten, tief. So sensibilisieren nur 41 Prozent der befragten Unternehmen ihre Mitarbeitenden auf Cybergefahren. Auch haben nur 46 Prozent der Unternehmen fixe Passwortrichtlinien und nur 55 Prozent setzten eine dedizierte Firewall ein.
Gerade die geringe Mitarbeitersenibilierungsrate besorgt die Axa-Expertin: "Bei rund 70 Prozent der Cyberattacken öffnen die Mitarbeitenden das Einfallstor für Schadsoftware. Entsprechend sollte vor allem in die Ausbildung des eigenen Personals investiert werden. Nicht nur die Software muss regelmässig auf den neusten Stand gebracht werden, sondern eben auch die eigenen Leute. So wird das Eindringen für die Kriminellen erschwert und falls es doch zu einer Infektion kommt, wissen gut geschulte Mitarbeitende auch, wie sie reagieren müssen."
Neues Datenschutzgesetz?
Wenig Kopfzerbrechen bereiten den Schweizer KMUs das neue Datenschutzgesetz. Fast ein Fünftel der befragten Unternehmen fühlt sich von der Totalrevision gar nicht betroffen.
Auch bei den Unternehmen, welche sich betroffenen fühlen, ist noch nicht viel geschehen. So haben erst 10 Prozent mit konkreten Umsetzungsmassnahmen begonnen. 16 Prozent der Unternehmen haben zumindest Informationen über die Rechtslage eingeholt.
Brigitte Imbach, Anwältin und Data Privacy Officer von Axa-Arag, warnt davor, die Auswirkungen des neuen Datenschutzgesetzes zu unterschätzen: "Mit der Totalrevision des Schweizer Datenschutzgesetzes ändern sich ab September 2023 wichtige Bestimmungen über die Bearbeitung von Personendaten, davon sind auch kleine und mittlere Unternehmen betroffen."
Was neu ist am revidierten Schweizer Datenschutzgesetz, erfahren Sie hier.