Informationssicherheit ist in vielen KMU ungenügend

In vier von zehn KMU in der Schweiz kommt es zu Cyber-Attacken auf ihre Informationssysteme. In jedem fünften Unternehmen sind mittlere bis schweren Beeinträchtigungen des Kerngeschäftes die Folge. Die Abwehrmassnahmen halten sich in Grenzen. Vor allem mangelt es an einer stringenten Sicherheitspolitik. Das zeigt eine Online-Umfrage der Hochschule Luzern bei 230 Schweizer KMU.


Cyber-Attacken sind im privaten und geschäftlichen Umfeld längst Alltag. Und längst geht es dabei nicht mehr nur um den in miserablem Deutsch verfasste Lottogewinnbescheid oder den Bettelbrief eines angeblichen in Not geratenen Angehörigen irgendwo in einem fernen Land. Diebstahl und Erpressung mit immer raffinierteren Methoden sind heute die Regel, vom fingierten Mail der Steuerbehörde, die eine Rückzahlung bei Angabe der Kontodaten verspricht, über angebliche Notrufe von Bekannten, die über deren gehackten Konten verschickt werden bis zur bis zur Betriebsspionage, bei der die Cyberkriminellen wie Diebe zuerst das Gebäude beobachten und umschleichen, bis sie die Lücken erkannt haben, um unbemerkt hineinzugelangen. 


Vor diesem Hintergrund befragten Experten der Abteilung Informatik der Universität Luzern im Rahmen einer «Nationalen Studie zur Informationssicherheit in Schweizer KMU» online 230 Schweizer Firmen dazu, wie sie es damit halten. Dass bei rund zwei Drittel der befragten Firmen die Inhaber oder Mitglieder der Geschäftsleitung antworteten, unterstreiche den hohen Stellenwert des Themas, schreiben die Studienautoren. Bei 41 Prozent der Firmen kam es in den zwölf Monaten der Befragung zu Cyber-Attacken, weitere 19 Prozent gaben technische oder menschliches Versagen an, die zu Sicherheitsproblemen geführt hätten. Und auch wenn in vier von fünf Fällen das Kerngeschäft nicht oder nur gering beeinträchtigt war (mutmasslich, weil es sich um vergleichsweise harmlose Attacken handelte, die von Virenscannern und anderer Software abgewehrt wurden), so muss der Anteil von 20 Prozent, die mit mittleren bis sehr starken (vier Prozent) Beeinträchtigungen sprachen, zu denken geben. Denn danach muss davon ausgegangen werden, das viele tausend KMU in der Schweiz ernste Probleme mit ihrer Informationssicherheit haben.


Was tun sie dagegen? Einiges, lässt sich aus den Antworten schliessen. So hat nur noch ein knappes Fünftel der befragten Firmen niemanden, der sich um die Informationssicherheit kümmert – in aller Regel sind es Teilzeitmandate. Von einer Informationssicherheitspolitik, die Strategie, Verantwortlichkeiten und Methoden regelt, will eine Mehrheit von 59 Prozent indes nichts wissen. Fast ein Drittel der Firmen betreibt auch keinerlei Risikomanagement, wenn es um Fragen der Cybersicherheit geht, so managen 53 Prozent der Firmen dieses Risiko. Auch Informationssicherheitsstandards, etwa ISO-Normen oder Sicherheitshandbücher, verwendet nur eine Minderheit von 46 Prozent. Und nur gerade neun Prozent setzen auf Informationsmanagementsysteme. Ebenso prüfen nur gerade 29 Prozent der Firmen die Wirksamkeit ihrer Massnahmen regelmässig. Auch Fragen der Weiterbildung und der Mitarbeitersensibilisierung spielen nur bei einer Minderheit der Firmen eine Rolle. In vielen Betrieben auf die klassische Cyberabwehr mit Antivirus-Programmen, Firewall, Backups und Updates, weit weniger wichtig sind hingegen Verschlüsselungs-Technologien etwas im E-Mail-Verkehr. «Letztlich müssen aber die technischen und organisatorischen Sicherheitsmassnahmen Hand in Hand arbeiten – das eine nützt wenig ohne das andere», schreiben die Autoren. Bei der Umsetzung der Informationssicherheit mangelt es weniger an Geld als am Fachwissen und am spezialisierten Personal. 


Nachholbedarf hätten viele KMU vor allem im Bereich der «Governance und Organisation», bilanzieren die Autoren der Studie. Das setze voraus, dass mehr geschultes Personal für die Informationssicherheit beschäftigt werde. 


Urs Fitze

Die Studie kann unter diesem Link bestellt werden.

© 2018 Schweiz. Verband Creditreform (Genossenschaft)

Danke für Ihre Mitteilung

kontaktformular

Kontaktformular
Sie haben Fragen zu unseren Dienstleistungen? Sie benötigen mehr Informationen? Füllen Sie bitte dieses Formular aus und wir melden uns bei Ihnen.
Kontakt