Cyber-Angriffen: Informationssicherheit in KMU hat Verbesserungspotential
Auch Schweizer KMU sind vor Cyber-Angriffen betroffen. Trotzdem rückt das Thema bei den Unternehmen nur langsam in den Fokus der Aufmerksamkeit, wie eine Studie der Hochschule Luzern zeigt. Die Autoren empfehlen den Firmen, mehr Ressourcen für die Informationssicherheit bereitzustellen und Mitarbeitende besser zu schulen.
Nicht nur grosse Firmen wie Banken, Versicherunge oder die Pharma-Industrie sind von den Cyber-Angriffen aus dem Internet bedroht. Auch Schweizer KMU sehen sich einer wachsenden Zahl von Cyber-Angriffen ausgesetzt. Die Hochschule Luzern hat dies zum Anlass genommen, im letzten Jahr kleinere und mittlere Unternehmen zum Thema Informationssicherheit zu befragen.
Nun haben die beiden Autoren Oliver Hirschi und Armand Portmann vom Departement Informatik die Resultate der Untersuchung veröffentlicht. Hauptautor Hirschi fasst die Ergebnisse wie folgt zusammen: „In vielen KMU fehlt es an Wissen zum Umgang mit dem Thema Informations-sicherheit.“ Dies, obwohl rund 40 Prozent der befragten Unternehmen angegeben hätten, vor kurzem – das heisst, in den 12 Monaten vor der Umfrage – von Cyber-Angriffen wie Malware oder Phishing-Mails betroffen gewesen zu sein.
Die Studie basiert auf einer Online-Umfrage, welche die Forschenden bei 230 KMU durchgeführt haben. Darunter waren Firmen aus verschiedensten Branchen wie Dienstleistung, Beratung, Gewerbe oder Gesundheitswesen. Fast zwei Drittel der Firmen erlaubt ihren Mitarbeitenden, geschäftliche E-Mails auf privaten Geräten zu bearbeiten. Knapp ein Drittel ermöglicht den Zugriff auf sämtliche IT-Anwendungen. „Das vergrössert natürlich die Angriffsfläche“, so Hirschi, „genauso wie die Verwendung von Cloud-Diensten“, also beispielsweise Datenspeichern, auf die man jederzeit von überall her zugreifen kann. Diese nutzten fast 60 Prozent der Firmen in irgendeiner Form.
Grosse Schäden durch Missbrauch befürchtet
Ist eine Firma von Cyber-Angriffen betroffen, führt dies dazu, dass sie sich stärker mit dem Thema Informationssicherheit auseinandersetzt. Im Zentrum des Interesses steht dabei die Sicherstellung des Geschäftsbetriebs. Dies geschieht vor dem Hintergrund eines grossen Vertraulichkeitsan-spruchs: Über zwei Drittel der Unternehmen beurteilen die Schäden, die durch die missbräuchliche Veröffentlichung ihrer vertraulichen Daten entstehen würde, als gross oder sehr gross.
Schutzmassnahmen sind also wichtig. „Trotzdem gab die grosse Mehrheit der Unternehmen an, keine oder nur minimale Ressourcen für das Thema Informationssicherheit bereitzustellen“, sagt Armand Portmann, Co-Autor der Studie. Viele Unternehmen haben zudem ihr Personal im Jahr vor der Umfrage nach eigenen Angaben nicht im Umgang mit Gefahren geschult.
Dementsprechend schwach entwickelt sind vielerorts die Steuerung und Kontrolle der Informationssicherheit: Nicht einmal die Hälfte der KMU prüft ihre Sicherheitsmassnahmen regelmässig auf deren Wirksamkeit. Dies erklärt auch, warum Standards oder Leitfäden für die Informationssicherheit eher selten zum Einsatz kommen. Besser sieht es bei technischen Massnahmen aus. Darunter fallen unter anderem Backups, Virenscanner und Firewalls. Diese setzen gemäss Umfrage fast alle befragten Unternehmen ein.
Wanted: mehr Personal, mehr Schulungen
Angesichts dieser Resultate sehen die beiden Studienautoren gerade im organisatorischen und personellen Bereich Nachholbedarf: Um die Situation in den Schweizer KMU zu verbessern, müssten die Firmen mehr Ressourcen für die Informationssicherheit bereitstellen und ihre Mitarbeitenden in Schulungen besser auf die Gefahren von Cyber-Angriffen vorbereiten.
Zur vollständigen Befragungsauswertung über die Cyber-Sicherheit – und Schulung bei KMU geht es hier