Zwei Drittel aller Schweizer KMU stufen IT-Sicherheit als wichtig ein. Aber nur 18 Prozent befürchten, selbst angegriffen zu werden. Das ist das ernüchternde Fazit einer Studie. Denn KMU sind durchaus lohnende Ziele für Attacken von Cyberkriminellen.
Es ist ein Paradox: 80 Prozent der KMU sind sich der Cyberbedrohungen bewusst. Und zwei Drittel halten IT-Sicherheit für wichtig. Doch nur etwa ein Fünftel befürchtet einen Angriff aufs eigene Unternehmen. Ein Ungleichgewicht, das sich auch in der dritten Ausgabe der Studie der gfs-zürich nicht wesentlich verändert hat. Und dies, obwohl die mediale Berichterstattung über Cyberangriffe zugenommen hat.
Kleine und mittlere Unternehmen gehen fälschlicherweise oft davon aus, keine lohnenden Ziele zu sein. Da irren sie sich leider: Ein Drittel aller KMU in der Schweiz ist schon mindestens einmal Opfer eines Angriffs mit schwerwiegenden Folgen geworden. Denn Attacken auf viele kleine, oft schlechter geschützte Unternehmen lohnen sich in der Summe genauso wie ein Angriff auf ein Grossunternehmen. Kreditkarteninformationen oder Patientendaten lassen sich im Darknet leicht zu Geld machen.
Oder Cyberkriminelle verschlüsseln mittels Ransomware die Daten von KMU und geben sie erst gegen ein Lösegeld wieder frei. Dieses erhalten die Kriminellen oft auch, schliesslich sind die eigenen Daten für ein Unternehmen mitunter das Wichtigste, auch wenn sie objektiv betrachtet keinen Weiterverkaufswert haben. Hinzu kommt, dass Cyberkriminelle KMU und deren Daten auch als Eingangstor nutzen, um die IT-Systeme von Grossunternehmen zu hacken.
Die Studie über die mangelnden Sicherheitsmassnahmen in KMU war auch Thema in der «Tagesschau» vom 28. Juni 2022. (Quelle/Video: SRF)
Sicherheitslücken und Schwachstellen bei KMU
Für Cyberkriminelle sind KMU leichte Beute, weil sie ihre geschäftskritischen Daten nicht ausreichend sichern. Es ist fast schon fahrlässig, dass 7 Prozent der Schweizer KMU ihre IT-Arbeitsplätze nicht mit Antiviren-Software und 8 Prozent ihre Netzwerke nicht mit Firewalls schützen. 24 Prozent sichern zwar ihre Daten regelmässig, haben aber nicht getestet, ob sie die Daten überhaupt wiederherstellen können.
Dies wäre wichtig, da sonst viele KMU erst im Krisenfall beim Zurückspielen der Daten feststellen, dass Teile des Backups fehlen. Nur 44 Prozent der befragten KMU haben ein Sicherheitskonzept und schulen die Mitarbeitenden in IT-Sicherheit, obwohl mehr als 90 Prozent aller Sicherheitsvorfälle auf menschliche Fehler zurückzuführen sind – Stichwort Phishing-Mails.
Das Homeoffice ist eine Achillesferse
Die wenigsten KMU kennen ihre Sicherheits-Schwachstellen. Gemäss Studie hat nur ein Drittel der befragten KMU je ein IT-Sicherheitsaudit durchgeführt, also eine Prüfung der eigenen Infrastruktur. Solche Audits decken Sicherheitslücken auf und identifizieren Risiken. Sie sollten deshalb regelmässig durchgeführt werden.
Besonders Änderungen in der IT-Landschaft, wie gerade jetzt durch die Corona-Situation ausgelöst, schaffen neue Rahmenbedingungen oder Arbeitsweisen. Dadurch entstehen neue Schwachstellen in der IT, beispielsweise durch mehr Homeoffice: Die Hälfte aller Mitarbeitenden hat laut Studie bei der Arbeit von zu Hause Zugriff auf sämtliche Dokumente und Systeme der Firma, 15 Prozent verschicken geschäftskritische Firmendaten und sensitive Kundeninformationen per Mail oder transportieren sie per Datenträger ins Homeoffice. Damit steigt die Gefahr, dass Daten in falsche Hände geraten oder Schadsoftware ins Firmennetzwerk gelangt.
Wie sicher sind Ihre IT und Ihre Daten?
Hand aufs Herz: Wie gut schützen Sie Ihre IT-Infrastruktur, Netzwerke und Daten? Mit unserem Selbsttest entdecken Sie in 10 Minuten mögliche Schwachstellen und Sicherheitslücken. Sie müssen dafür kein Experte sein. Gerne beraten wir Sie auch persönlich und unverbindlich.
Aktualisierter Artikel vom März 2021.