Bei der Informationssicherheit hapert es im KMU
Auch Schweizer KMU sind von Cyber-Kriminalität betroffen. Trotzdem rückt das Thema bei den Unternehmen nur langsam in den Fokus der Aufmerksamkeit, wie eine Studie der Hochschule Luzern zeigt.
Cyber-Angriffe nehmen zu. Deshalb hat das Departement Informatik der Hochschule Luzern (HSLU) eine Umfrage bei KMU zum Thema Informationssicherheit gemacht. Hauptautor Hirschi fasst die Ergebnisse wie folgt zusammen: «In vielen KMU fehlt es an Wissen zum Umgang mit dem Thema Informationssicherheit.» Dies, obwohl rund 40% der befragten Unternehmen angegeben hätten, in den zwölf Monaten vor der Umfrage (Jahr 2016) von Cyber-Angriffen (Malware, Phishing-Mails) betroffen gewesen zu sein.
Laut Umfrage erlaubt fast zwei Drittel der Firmen ihren Mitarbeitenden, geschäftliche E-Mails auf privaten Geräten zu bearbeiten (vgl. BYOD). Knapp ein Drittel ermöglicht den Zugriff auf sämtliche IT-Anwendungen. «Das vergrössert natürlich die Angriffsfläche», so Hirschi, «genauso wie die Verwendung von Cloud- Diensten, also beispielsweise Daten speichern, auf die man jederzeit von überall her zugreifen kann.» Fast 60% der Firmen würden Cloud-Dienste in irgendeiner Form nutzen.
Grosse Schäden befürchtet
Wer als Firma von Cyber-Angriffen betroffen sei, setze sich anschliessend stärker mit dem Thema Informationssicherheit auseinander, so das Institut. Im Zentrum des Interesses stehe dabei die Sicherstellung des Geschäftsbetriebs. Dies geschehe vor dem Hintergrund eines grossen Vertraulichkeitsanspruchs: Über zwei Drittel der befragten Firmen beurteilen die Schäden, die durch die missbräuchliche Veröffentlichung ihrer vertraulichen Daten entstehen würde, als gross oder sehr gross.
Schutzmassnahmen seien also wichtig. «Trotzdem gab die grosse Mehrheit der Unternehmen an, keine oder nur minimale Ressourcen für das Thema Informationssicherheit bereitzustellen», sagt Armand Portmann, Co-Autor der Studie. Viele Unternehmen hätten zudem ihr Personal im Jahr vor der Umfrage nach eigenen Angaben nicht im Umgang mit Gefahren geschult. Dementsprechend schwach entwickelt seien vielerorts die Steuerung und Kontrolle der Informationssicherheit: Nicht einmal die Hälfte der KMU prüfe ihre Sicherheitsmassnahmen regelmässig auf deren Wirksamkeit. Dies erkläre auch, warum Standards oder Leitfäden für die Informationssicherheit eher selten zum Einsatz kämen. Besser sehe es bei technischen Massnahmen wie beispielsweise Backups, Virenscanner und Firewalls aus. Diese setzen gemäss Umfrage fast alle befragten Unternehmen ein.
Wanted: mehr Personal, mehr Schulungen
Angesichts dieser Resultate sehen die beiden Studienautoren gerade im organisatorischen und personellen Bereich Nachholbedarf: Um die Situation in den Schweizer KMU zu verbessern, müssten die Firmen mehr Ressourcen für die Informationssicherheit bereitstellen und ihre Mitarbeitenden in Schulungen besser auf die Gefahren von Cyber-Angriffen vorbereiten. Quelle: HSLU
Die Studie basiert auf einer Online-Umfrage, welche die Forschenden bei 230 KMU aus diversen Branchen durchgeführt haben.
- Sicherheitstipps auf der Plattform «eBanking – aber sicher»: www.ebas.ch
- Fachkurs Informations- und Cyber-Sicherheit in kleinen Unternehmen sowie weitere Weiterbildungen zu Informationssicherheit: www.hslu.ch/information-security-privacy
