Cyber-Attacken: Schweizer KMU sind zu sorglos

Eine Befragung von Geschäftsführern in Schweizer KMU zeigt, dass Unternehmen die Gefahren von Cyber-Attacken noch immer unterschätzen. Eine gefährliche Einstellung: Denn mehr als 30 % aller Schweizer KMU waren schon einmal von einem Hackerangriff betroffen – Tendenz steigend.

Die Zahlen sprechen für sich: Das Markt- und Sozialforschungsinstitut gfs-zürich befragte im Herbst 2017 rund 300 Geschäftsführer von KMU, in welchem Umfang sie sich vor Hackerattacken schützen. Obwohl ein Drittel der Befragten schon einmal von einem Angriff betroffen waren, fühlen sich die meisten KMU trotzdem noch sehr gut geschützt. Dieses Resultat lässt bei IT-Fachverbänden die Alarmglocken schrillen. Sie sind angesichts dieser Sorglosigkeit in höchstem Masse beunruhigt und fordern von staatlichen Stellen und Wirtschaftsverbänden ein aktives Vorgehen sowie die Einführung gesetzlicher Mindeststandards, damit KMU besser gewappnet sind gegen die Gefahren eines Cyber-Angriffs. Denn ein solcher kann Unternehmen überall und jederzeit treffen und dabei deren Existenz gefährden.

Alexandre Horvath, Risk Engineer Cyber Security bei der Allianz, hat die Studie als Fachexperte aktiv mitbegleitet. Für ihn ist das Resultat wenig überraschend. „Die meisten Unternehmen sichern sich gegen Sach- und Vermögensschäden gut ab. Wenn es aber um das Thema Cyber Security geht, unterschätzen viele die potenziellen Gefahren.“

Risiko eines Cyber-Angriffs wird als tief eingeschätzt

Unternehmen stufen das Risiko, dass ihr Geschäft mindestens einen Tag lang ausser Gefecht gesetzt werden können, als gering ein. Fast die Hälfte der Befragten empfindet das Risiko als sehr klein, nur gerade 2 % schätzen das Risiko hingegen als sehr hoch ein.

F5: Als wie hoch schätzen Sie das Risiko ein, dass Ihr KMU innerhalb von den nächsten 2-3 Jahren von einem Cyberangriff betroffen wird, welcher ihr Geschäft mindestens einen Tag lang ausser Kraft setzt?

Prozentzahlen; n=301; *gewichtet nach Region und Firmengrösse

Betroffen von einem Hackerangriff sind viele

Diese Sorglosigkeit überrascht, denn die Realität ist eine andere: Mehr als ein Drittel der Befragten war schon einmal Ziel von Malware (Viren/Trojaner). Die Diskrepanz zwischen Risikoeinschätzung und Realität ist frappant.

F4: War ihr KMU schon betroffen von den folgenden Cyberangriffen?

n=301; gewichtet nach Region und Firmengrösse

Cyber-Grundschutz ist vorhanden, Nachholbedarf bei der Mitarbeiterschulung

Immerhin drei von fünf Befragten haben grundlegende Cyber-Grundschutzmassnahmen in Bezug auf Malware, Firewalls und Backups ergriffen, Systeme und Vorgehen bei Cyber-Vorfällen sind bei immerhin 20 % der Befragten vorhanden. Wo es allerdings am meisten hapert, ist bei der fehlenden Schulung der Mitarbeitenden in IT Security und der Sensibilisierung für das Thema Cyber Crime. Hier haben 30 % der Befragten noch gar keine Massnahmen ergriffen. 

F9: Welche folgenden Sicherheitsmassnahmen sind bei ihnen umgesetzt?

n=301; gewichtet nach Region und Firmengrösse

Cyber-Versicherungen werden immer wichtiger

Das spiegelt sich auch in anderen Zahlen wider: Laut Studie haben lediglich 12 % der KMU nach Angaben der Geschäftsführer bis dato eine spezielle Cyber-Versicherung, die vor den Risiken schützt. Etliche Versicherungen bieten mittlerweilen eine individuelle Cyber-Versicherung an. „Eine Cyber-Versicherung deckt unmittelbare Schäden und deren Folgekosten aus einem Cyber-Angriff ab, so z.B. die Wiederherstellung der Daten oder den Umsatzausfall bei einem Betriebsunterbruch nach einem Cyber-Vorfall“, sagt Alexandre Horvath. „Mit einer Cyber-Versicherung darf sich ein Unternehmen aber nicht in falscher Sicherheit wiegen. Wichtig ist, dass Sicherheitsmassnahmen getroffen werden, um sich vor einem Angriff zu schützen“, meint Horvath. Seine Empfehlung an KMU lautet, auf einen IT-Provider mit ausgewiesener Erfahrung im Umgang mit Cyber Security und Cyber-Attacken zu setzen und regelmässige IT-Security-Schulungen der eigenen Mitarbeitenden durchzuführen, um sie für das Thema Cyber Crime zu sensibilisieren. Zudem rät Horvath, falls möglich gelegentliche IT-Risiko-Prüfungen/-Assessments durchzuführen, um gegebenenfalls die verwendete IT-Infrastruktur an neue Cyber-Risiken anzupassen oder weitere externe Dienstleistungen für besseren Cyber-Schutz zu beanspruchen.

Studie „Cyberrisiken in Schweizer KMUs“