Nicht nur grosse Firmen wie Banken, Versicherungen oder die Pharma-Industrie sind von den Gefahren aus dem Internet bedroht. Auch Schweizer KMU sehen sich einer wachsenden Zahl von Cyber-Angriffen ausgesetzt. Die Hochschule Luzern hat dies zum Anlass genommen, im letzten Jahr kleinere und mittlere Unternehmen zum Thema Informationssicherheit zu befragen.
Nun haben die beiden Autoren Oliver Hirschi und Armand Portmann vom Departement Informatik die Resultate der Untersuchung veröffentlicht. Hauptautor Hirschi fasst die Ergebnisse wie folgt zusammen: «In vielen KMU fehlt es an Wissen zum Umgang mit dem Thema Informations-sicherheit.» Dies, obwohl rund 40 Prozent der befragten Unternehmen angegeben hätten, vor kurzem – das heisst, in den 12 Monaten vor der Umfrage – von Cyber-Angriffen wie Malware oder Phishing-Mails betroffen gewesen zu sein.
Die Studie basiert auf einer Online-Umfrage, welche die Forschenden bei 230 KMU durchgeführt haben (weitere Informationen dazu siehe Infokasten unten). Darunter waren Firmen aus verschiedensten Branchen wie Dienstleistung, Beratung, Gewerbe oder Gesundheitswesen. Fast zwei Drittel der Firmen erlaubt ihren Mitarbeitenden, geschäftliche E-Mails auf privaten Geräten zu bearbeiten. Knapp ein Drittel ermöglicht den Zugriff auf sämtliche IT-Anwendungen. «Das vergrössert natürlich die Angriffsfläche», so Hirschi, «genauso wie die Verwendung von Cloud-Diensten», also beispielsweise Datenspeichern, auf die man jederzeit von überall her zugreifen kann. Diese nutzten fast 60 Prozent der Firmen in irgendeiner Form.
Grosse Schäden durch Missbrauch befürchtet
Ist eine Firma von Cyber-Angriffen betroffen, führt dies dazu, dass sie sich stärker mit dem Thema Informationssicherheit auseinandersetzt. Im Zentrum des Interesses steht dabei die Sicherstellung des Geschäftsbetriebs. Dies geschieht vor dem Hintergrund eines grossen Vertraulichkeitsanspruchs: Über zwei Drittel der Unternehmen beurteilen die Schäden, die durch die missbräuchliche Veröffentlichung ihrer vertraulichen Daten entstehen würde, als gross oder sehr gross.
Schutzmassnahmen sind also wichtig. «Trotzdem gab die grosse Mehrheit der Unternehmen an, keine oder nur minimale Ressourcen für das Thema Informationssicherheit bereitzustellen», sagt Armand Portmann, Co-Autor der Studie. Viele Unternehmen haben zudem ihr Personal im Jahr vor der Umfrage nach eigenen Angaben nicht im Umgang mit Gefahren geschult.
Dementsprechend schwach entwickelt sind vielerorts die Steuerung und Kontrolle der Informationssicherheit: Nicht einmal die Hälfte der KMU prüft ihre Sicherheitsmassnahmen regelmässig auf deren Wirksamkeit. Dies erklärt auch, warum Standards oder Leitfäden für die Informationssicherheit eher selten zum Einsatz kommen. Besser sieht es bei technischen Massnahmen aus. Darunter fallen unter anderem Backups, Virenscanner und Firewalls. Diese setzen gemäss Umfrage fast alle befragten Unternehmen ein.
Wanted: mehr Personal, mehr Schulungen
Angesichts dieser Resultate sehen die beiden Studienautoren gerade im organisatorischen und personellen Bereich Nachholbedarf: Um die Situation in den Schweizer KMU zu verbessern, müssten die Firmen mehr Ressourcen für die Informationssicherheit bereitstellen und ihre Mitarbeitenden in Schulungen besser auf die Gefahren von Cyber-Angriffen vorbereiten.
So kam die Studie zustande
Die Hochschule Luzern hat die Umfrage im dritten und vierten Quartal 2016 mit Unterstützung des KMU Verbands, des Staatssekretariats für Wirtschaft SECO, der Schweizer Kader Organisation SKO und von economiesuisse durchgeführt. Daran nahmen rund 230 Unternehmen teil. Rund zwei Drittel davon stammen aus der deutschen Schweiz, über die Hälfte sind Kleinstfirmen mit weniger als zehn Mitarbeitenden. Anteilsmässig am stärksten vertreten waren Dienstleistungs- und Produktionsbetriebe sowie das Gesundheits- und das Sozialwesen.