Axa-Studie 31.08.2022, 08:53 Uhr

Schweizer KMU mit geringem Cyberrisikobewusstsein

Das Risikobewusstsein in Bezug auf Cyberkriminalität ist bei Schweizer KMU nach wie vor sehr gering – das zeigt eine Studie der Versicherungsgesellschaft Axa. Ebenfalls noch kaum auf dem Radar haben die KMU das neue Datenschutzgesetz.
(Quelle: Pexels/Pixabay)
Trotz stetig wachsender Hackerangriffe weisen Schweizer KMU nach wie vor ein sehr geringes Risikobewusstsein in Bezug auf potenzielle Cyberattacken auf. Dies zeigt eine repräsentative Studie des Versicherers Axa.
So gaben 15 Prozent der befragten Unternehmen an, dass sie in den letzten Jahren Opfer eines Cyberangriffs waren, bei dem externe Personen versuchten, auf das Firmennetzwerk zuzugreifen, um Unternehmensdaten zu erhalten (14 Prozent der kleineren KMU, 29 Prozent der grossen KMU, jedes zehnte davon gar wiederholt).
Trotzdem rechnen Schweizer Firmen kaum damit, dass ihr Unternehmen in das Visier von Cyberkriminellen geraten könnte: Ganze 62 Prozent der befragten KMU erachten das Risiko als gering, künftig Opfer einer Attacke zu werden. Nur 12 Prozent der Unternehmen schätzen das Risiko als gross ein.
Ein Trugschluss, wie Andrea Rothenbühler, Leiterin der Axa-Cyberversicherung erklärt: «Angriffe auf die IT-Systeme von Schweizer Firmen nehmen von Jahr zu Jahr zu. Vor allem KMU rücken vermehrt ins Visier von Internetkriminellen, da sie weniger Ressourcen in die eigene IT-Sicherheit investieren können als grosse Konzerne.»
Besonders kleine KMU rechnen nicht mit Cyberangriffen
Quelle: Axa

Nur jedes fünfte KMU befürchtet hohe Einbussen

Als Folge eines unerwünschten Zugriffs auf das Unternehmensnetzwerk könnten auf Unternehmen nicht nur direkte Kosten zukommen, wie Axa in einer Mitteilung ausführt. Solche Angriffe könnten ebenso zu einem Produktionsstopp führen oder die Reputation des Unternehmens nachhaltig schädigen.
Dies scheint den wenigsten bewusst zu sein, wie die Studie weiter zeigt. So schätzen die befragten KMU die Wahrscheinlichkeit, dass ein Cyberangriff ihr Unternehmen materiell und immateriell erheblich schädigen könnte, eher gering ein. Am häufigsten gehen KMU von anfallenden Kosten zur Wiederherstellung der IT-Sicherheit aus, damit rechnen immerhin 36 Prozent der Befragten. 29 Prozent gehen von einer starken Beeinträchtigung der Betriebsfähigkeit und rund jedes fünfte KMU rechnet mit hohen finanziellen Einbussen, weil der Betrieb unterbrochen wird, oder mit einem erheblichen Reputationsschaden.
Mit Ausnahme der hohen Kosten zur Wiederherstellung der IT-Sicherheit überwiegt allerdings die Einschätzung, dass diese Auswirkungen eher bis sehr unwahrscheinlich sind. Dazu Cyber-Expertin Andrea Rothenbühler:  «Bereits eine Woche Betriebsunterbruch kann bei einem mittelständischen Maschinenbauer zu einer schmerzhaften Umsatzeinbusse führen». Ausserdem entstünden hohe Kosten für Wiederherstellung der Daten, Krisenmanagement und die Unterstützung durch IT-Dienstleister und Cybersecurity-Spezialisten, fügt sie an. «Darüber hinaus können bei Datenschutzverletzungen Schadenersatzansprüche der Kunden und Bussen auf das KMU zukommen», gibt Rothenbühler weiter zu bedenken.

Kaum Awareness-Kampagnen

Wie die Umfrageergebnisse weiter zeigen, fühlen sich 60 Prozent der KMU durch Firewalls und Virenschutzprogramme ausreichend vor Zugriffen auf ihre Unternehmensdaten geschützt. Immerhin 17 Prozent aller Befragten glauben, dass ihre IT-Schutzmassnahmen nicht ausreichen, rund ein Viertel der befragten KMU konnten nicht einschätzen, ob sie genügend Schutzvorkehrungen getroffen haben.
Und auch bei den weiteren technischen Abwehr- und Vorsorgemassnahmen gibt es Unterschiede: 73 Prozent aller befragten KMU machen ein regelmässiges Backup ihrer Daten, etwas mehr als zwei Drittel haben eine Virensoftware installiert. 55 Prozent der befragten KMU haben eine Firewall installiert, um das Unternehmensnetzwerk zu schützen, nur 46 Prozent hat Richtlinien für Passwörter etabliert.
Die Sensibilisierung der Mitarbeitenden wird in Schweizer KMU noch nicht grossgeschrieben
Quelle: Axa
Ebenfalls weniger im Fokus zur Verbesserung der IT-Sicherheit stehen die eigenen Mitarbeitenden, nur zwei von fünf KMU sensibilisieren ihre Belegschaft für die bestehenden Cyberrisiken. Dabei zeigen sich deutliche Unterschiede in Bezug auf die Unternehmensgrösse: Während 74 Prozent der grossen KMU mit 50 bis 250 Mitarbeitenden ihre Belegschaft für mögliche IT-Risiken sensibilisiert, tun dies nur 51 Prozent der mittleren KMU mit 10 bis 49 Beschäftigten und nur 38 Prozent der kleinen KMU mit 2 bis 9 Mitarbeitenden.
Doch gerade hier sollten KMU investieren, rät Axas Cyberexpertin Rothenbühler. «Bei rund 70 Prozent der Cyberattacken öffnen die Mitarbeitenden das Einfallstor für Schadsoftware. Entsprechend sollte vor allem in die Ausbildung des eigenen Personals investiert werden», gibt sie zu Protokoll. Nicht nur die Software müsse regelmässig auf den neusten Stand gebracht werden, sondern eben auch die eigenen Leute, fügt Rothenbühler an. «So wird das Eindringen für die Kriminellen erschwert und falls es doch zu einer Infektion kommt, wissen gut geschulte Mitarbeitende auch, wie sie reagieren müssen», erklärt sie.

Gut ein Fünftel fühlt sich nicht vom neuen Datenschutzgesetz betroffen

Noch kaum auf dem Radar haben die KMU das neue Datenschutzgesetz. Die Studienergebnisse zeigen, dass sich gut ein Fünftel der befragten KMU von der Totalrevision gar nicht betroffen fühlt. Und auch von denjenigen Unternehmen, die sich im Geltungsbereich des DSG sehen, ist bis anhin erst jedes zweite KMU aktiv geworden. Gerade einmal 16 Prozent haben schon Informationen dazu eingeholt, konkrete Umsetzungsmassnahmen wurden nur von rund jedem zehnten KMU ergriffen.
Brigitte Imbach, Anwältin und Data Privacy Officer der Axa-Arag, warnt davor, die Auswirkungen des neuen Datenschutzgesetzes zu unterschätzen: «Mit der Totalrevision des Schweizer Datenschutzgesetzes ändern sich ab September 2023 wichtige Bestimmungen über die Bearbeitung von Personendaten, davon sind auch kleine und mittlere Unternehmen betroffen.»
Vorsätzliche Verstösse gegen das neue Datenschutzgesetz wie Verletzung von Informations-, Auskunfts-, Mitwirkungs- oder Sorgfaltspflichten können mit Bussen bis 250'000 Franken sanktioniert werden. Gebüsst wird grundsätzlich die verantwortliche natürliche Person. Neu kann jedoch auch das Unternehmen selbst mit einer Busse bis 50'000 Franken betraft werden, wenn die Ermittlung der fehlbaren Person innerhalb des Unternehmens mit unverhältnismässigem Untersuchungsaufwand verbunden wäre.
«KMU tun deshalb gut daran, die neuen gesetzlichen Datenschutzanforderungen rechtzeitig in ihrem Unternehmen umzusetzen sowie ihre Datenschutzerklärungen und -richtlinien zu überprüfen und entsprechend anzupassen. Wer unternehmensintern nicht über die nötigen Kompetenzen verfügt, sollte externe Unterstützung in Anspruch nehmen und sich unbedingt beraten lassen», rät die Expertin.
Für weitere Informationen und Einschätzungen zum überarbeiteten DSG empfiehlt sich die Lektüre des Computerworld-Interviews mit Datenschutz-Experte David Rosenthal.




Das könnte Sie auch interessieren