Passwort-Richtlinien: Bei vielen KMU Fehlanzeige
Das Risikobewusstsein in Bezug auf Cyberkriminalität ist bei Schweizer KMU nach wie vor sehr gering – das zeigt eine Studie der AXA. So fehlen fast in jedem zweiten KMU Passwort-Richtlinien. Ebenfalls noch kaum auf dem Radar haben die KMU das neue Datenschutzgesetz.
Die Digitalisierung optimiert Prozesse, macht sie schneller und günstiger – erhöht aber auch das Risiko, Opfer von Cyberkriminalität zu werden. Gemäss polizeilicher Kriminalstatistik wurden in der Schweiz im Jahr 2021 über 30’000 Straftaten im Bereich der digitalen Kriminalität gemeldet – das sind 24 Prozent mehr als 2020. Wie eine repräsentative Studie der AXA zeigt, weisen Schweizer KMU jedoch nach wie vor ein sehr geringes Risikobewusstsein in Bezug auf potenzielle Cyberattacken auf. Das zeigt sich etwa anhand fehlender Passwort-Richtlinien und mangelnder Sensibilisierung von Mitarbeitenden.
KMU von Cybercrime weniger betroffen? Ein Trugschluss!
15 Prozent der befragten Unternehmen gaben an, dass sie in den letzten Jahren Opfer eines Cyberangriffs waren, bei dem externe Personen versuchten, auf das Firmennetzwerk zuzugreifen, um Unternehmensdaten zu erhalten (14 % der kleineren KMU, 29 % der grossen KMU, jedes zehnte davon gar wiederholt). Trotzdem rechnen Schweizer Firmen kaum damit, dass ihr Unternehmen in das Visier von Cyberkriminellen geraten könnte: Ganze 62 Prozent der befragten KMU erachten das Risiko als gering, künftig Opfer einer Attacke zu werden. Nur 12 Prozent der Unternehmen schätzen das Risiko als gross ein. Ein Trugschluss, wie Andrea Rothenbühler, Leiterin der AXA Cyberversicherung erklärt: «Angriffe auf die IT-Systeme von Schweizer Firmen nehmen von Jahr zu Jahr zu. Vor allem KMU rücken vermehrt ins Visier von Internetkriminellen, da sie weniger Ressourcen in die eigene IT-Sicherheit investieren können als grosse Konzerne.»
Als Folge eines unerwünschten Zugriffs auf das Unternehmensnetzwerk können auf Unternehmen nicht nur direkte Kosten zukommen. Solche Angriffe können ebenso zu einem Produktionsstopp führen oder die Reputation des Unternehmens nachhaltig schädigen. Allerdings schätzen die befragten KMU die Wahrscheinlichkeit, dass ein Cyberangriff ihr Unternehmen materiell und immateriell erheblich schädigen könnte, eher gering ein. Am häufigsten gehen KMU von anfallenden Kosten zur Wiederherstellung der IT-Sicherheit aus, damit rechnen immerhin 36 Prozent der Befragten. 29 Prozent gehen von einer starken Beeinträchtigung der Betriebsfähigkeit und rund jedes fünfte KMU rechnet mit hohen finanziellen Einbussen, weil der Betrieb unterbrochen wird, oder mit einem erheblichen Reputationsschaden.
Mit Ausnahme der hohen Kosten zur Wiederherstellung der IT-Sicherheit überwiegt allerdings die Einschätzung, dass diese Auswirkungen eher bis sehr unwahrscheinlich sind. Dazu Cyber-Expertin Andrea Rothenbühler: «Bereits eine Woche Betriebsunterbruch kann bei einem mittelständischen Maschinenbauer zu einer schmerzhaften Umsatzeinbusse führen. Ausserdem entstehen hohe Kosten für Wiederherstellung der Daten, Krisenmanagement und die Unterstützung durch IT-Dienstleister und Cyber-Security-Spezialisten. Darüber hinaus können bei Datenschutzverletzungen Schadenersatzansprüche der Kunden und Bussen auf das KMU zukommen.»
Passwort-Richtlinien nur bei etwa der Hälfte der KMU
Wie Umfrageergebnisse zeigen, fühlen sich 60 Prozent der KMU durch Firewalls und Virenschutzprogramm ausreichend vor Zugriffen auf ihre Unternehmensdaten geschützt. Immerhin 17 Prozent aller Befragten glauben, dass ihre IT-Schutzmassnahmen nicht ausreichen, rund ein Viertel der befragten KMU konnten nicht einschätzen, ob sie genügend Schutzvorkehrungen getroffen haben. Und auch bei den weiteren technischen Schutzmassnahmen gibt es Unterschiede: 73 Prozent aller befragten KMU machen ein regelmässiges Backup ihrer Daten, etwas mehr als zwei Drittel haben eine Virensoftware installiert. 55 Prozent der befragten KMU haben eine Firewall installiert, um das Unternehmensnetzwerk zu schützen, nur 46 Prozent haben Passwort-Richtlinien etabliert.
Ebenfalls weniger im Fokus zur Verbesserung der IT-Sicherheit stehen die eigenen Mitarbeitenden, nur zwei von fünf KMU sensibilisieren ihre Belegschaft für die bestehenden Cyberrisiken. Dabei zeigen sich deutliche Unterschiede in Bezug auf die Unternehmensgrösse: Während 74 Prozent der grossen KMU mit 50 bis 250 Mitarbeitenden ihre Belegschaft für mögliche IT-Risiken sensibilisiert, tun dies nur 51 Prozent der mittleren KMU mit 10 bis 49 Beschäftigten und nur 38 Prozent der kleinen KMU mit 2 bis 9 Mitarbeitenden. Doch gerade hier sollten KMU investieren: «Bei rund 70 Prozent der Cyberattacken öffnen die Mitarbeitenden das Einfallstor für Schadsoftware. Entsprechend sollte vor allem in die Ausbildung des eigenen Personals investiert werden. Nicht nur die Software muss regelmässig auf den neusten Stand gebracht werden, sondern eben auch die eigenen Leute. So wird das Eindringen für die Kriminellen erschwert und falls es doch zu einer Infektion kommt, wissen gut geschulte Mitarbeitende auch, wie sie reagieren müssen», erklärt Andrea Rothenbühler.
Gut ein Fünftel der Befragten fühlt sich nicht vom neuen Datenschutzgesetz betroffen
Noch kaum auf dem Radar haben die KMU das neue Datenschutzgesetz. Die Studienergebnisse zeigen, dass sich gut ein Fünftel der befragten KMU von der Totalrevision gar nicht betroffen fühlt. Und auch von denjenigen Unternehmen, die sich im Geltungsbereich des DSG sehen, ist bis anhin erst jedes zweite KMU aktiv geworden. Gerade einmal 16 Prozent haben schon Informationen dazu eingeholt, konkrete Umsetzungsmassnahmen wurden nur von rund jedem zehnten KMU ergriffen. Brigitte Imbach, Anwältin und Data Privacy Officer der AXA-ARAG, warnt davor, die Auswirkungen des neuen Datenschutzgesetzes zu unterschätzen: «Mit der Totalrevision des Schweizer Datenschutzgesetzes ändern sich ab September 2023 wichtige Bestimmungen über die Bearbeitung von Personendaten, davon sind auch kleine und mittlere Unternehmen betroffen.»
Vorsätzliche Verstösse gegen das neue Datenschutzgesetz wie Verletzung von Informations-, Auskunfts-, Mitwirkungs- oder Sorgfaltspflichten können mit Bussen bis 250’000 Franken sanktioniert werden. Gebüsst wird grundsätzlich die verantwortliche natürliche Person. Neu kann jedoch auch das Unternehmen selbst mit einer Busse bis 50’000 Franken betraft werden, wenn die Ermittlung der fehlbaren Person innerhalb des Unternehmens mit unverhältnismässigem Untersuchungsaufwand verbunden wäre. «KMU tun deshalb gut daran, die neuen gesetzlichen Datenschutzanforderungen rechtzeitig in ihrem Unternehmen umzusetzen sowie ihre Datenschutzerklärungen und -richtlinien zu überprüfen und entsprechend anzupassen. Wer unternehmensintern nicht über die nötigen Kompetenzen verfügt, sollte externe Unterstützung in Anspruch nehmen und sich unbedingt beraten lassen», rät die Expertin.
Quelle: AXA