Schweizer KMU haben Nachholbedarf bei der IT-Sicherheit
KMUs fehlt es an Wissen zum Umgang mit Informationssicherheit. Zu diesem Schluss kommt eine Studie der Hochschule Luzern. Nachholbedarf gibt es insbesondere auf organisatorischer Ebene.
«Seit längerem ist bekannt, dass nicht nur grosse Firmen, beispielsweise aus der Finanzbranche, von den zunehmenden Gefahren aus dem Cyber-Space bedroht sind, sondern auch die in jeder Hinsicht sehr vielfältige Landschaft der Schweizer KMU.» Das schreiben Oliver Hirschi und Armand Portmann, zwei Dozenten des Departements Informatik an der Hochschule Luzern, in der Einleitung zu ihrer nationalen Studie zur Informationssicherheit in Schweizer KMU. In ihrem Forschungsbericht kommen die beiden zu einem ernüchternden Schluss: «In vielen KMU fehlt es noch immer an Wissen zum Umgang mit dem Thema Informationssicherheit.» Diese Aussage treffen die Forscher auf Basis einer Online-Umfrage, die das Departement Informatik zwischen Juli und Dezember 2016 durchgeführt hat. 230 Unternehmen nahmen daran teil, knapp drei Viertel davon aus der Deutschschweiz, rund 20 Prozent aus der Romandie und der Rest aus dem Tessin und Liechtenstein. An der Umfrage beteiligten sich viele kleine Firmen. Knapp 60 Prozent wiesen eine Mitarbeiterzahl von weniger als zehn Personen auf, die restlichen Prozente teilen sich Unternehmen mit 10 bis 49 respektive 50 bis 249 etwa in gleichem Umfang auf. Am stärksten vertreten waren in der Studie Dienstleistungserbringer, etwa aus dem ICT-Bereich sowie Wirtschaftsprüfer, Rechts- und Steuerberater.
Nächste Seite: Auch KMU sind lohnenswerte Ziele
Auch KMU sind lohnenswerte Ziele
Interessant ist das Fazit der Autoren vor dem Hintergrund, dass die Geheimhaltung von Informationen laut der Studie nicht nur bei Grossunternehmen, sondern auch bei KMU einen hohen Stellenwert hat. Rund zwei Drittel der Befragten beurteilen die Schäden, welche durch die missbräuchliche Veröffentlichung von vertraulichen Informationen entstehen als «gross» oder «sehr gross».
Die Ressourcen, die KMU zum Schutz ihrer Informationen aufwenden, sind dabei aber offenbar verhältnismässig klein. Dem grössten Teil der befragten Unternehmen steht weniger als eine Vollzeitstelle für die Betreuung der Informationssicherheit zur Verfügung. Jedes vierte Unternehmen stellt dem Thema überhaupt keine Ressourcen bereit. «Aufgrund des adressierten Firmensegments waren kleine Zahlen zu erwarten», schreiben Hirschi und Portmann dazu. Erfreulich ist hingegen, dass immerhin 41 Prozent der befragten Firmen über Sicherheitskonzepte und Weisungen sowie eine Informationssicherheitspolitik verfügen. Dieser Wert sei – gemessen an den eher kleinen Stellenprozenten für die IT-Sicherheit – ziemlich hoch.
Überrascht zeigten sich die Forscher zudem von der Tatsache, dass nur acht Prozent der Umfrageteilnehmenden als Funktion Informationssicherheitsbeauftragter, Chief Information Security Officer (CISO) oder eine vergleichbare Funktion angaben. «Dies deutet darauf hin, dass eher wenige der teilnehmenden Firmen diese Rolle überhaupt besetzt haben», schreiben Hirschi und Portmann. Beantwortet wurden die Fragen in vielen Fällen von einem Mitglied der Geschäftsleitung. Nächste Seite: Risiko wird nicht kleiner
Sicherheitsvorfälle bei zwei Drittel der KMU
Vor Cyber-Gefahren schützen sich die meisten KMU mit Backups, Antiviren-Software, Firewalls und Updates, wie die Ergebnisse zeigen. Rund ein Viertel der Befragten setzt beim Datenschutz zudem auf Verschlüsselungstechnologien. Aus der Studie geht jedoch auch hervor, dass rund zwei Drittel aller befragten Firmen im Jahr vor der Studie von Sicherheitsvorfällen betroffen waren. Dabei handelte es sich zu einem grossen Teil um böswillige Angriffe von aussen.
Nur bei wenigen Unternehmen beeinträchtigten die Vorfälle allerdings das Kerngeschäft, somit scheinen die von den KMU getroffenen Massnahmen mehrheitlich zu funktionieren. Laut Hirschi und Portmann wird die Angriffsfläche der KMU in Zukunft aber nicht kleiner – insbesondere durch den Einsatz neuer Technologien wie Remote-Desktops oder Cloud-Anbindungen. Ohne geeignete Schutzmassnahmen würden erfolgreiche Angriffe damit wahrscheinlicher. Nachholbedarf sehen die beiden Experten deshalb vor allem in den Bereichen Governance und Organisation. «Eine gesamtheitliche Verbesserung der Situation in den KMU setzt voraus, dass die Firmen einerseits mehr Personal für die Informationssicherheit bereitstellen und die betreffenden Mitarbeiter besser schulen», so Empfehlung der Studienautoren.
Genau diese beiden Aspekte hindern KMU aber auch an der Umsetzung von Sicherheitsmassnahmen. Viele von ihnen gaben in der Studie fehlendes Know-how und fehlende personelle Ressourcen als grösste Hürden an. Zuversichtlich stimmt hingegen: 30 Prozent der Befragten haben angegeben, dass es bei der Umsetzung von Sicherheitsmassnahmen eigentlich keine Hindernisse gibt. Die gesamte nationale Studie zur Informationssicherheit in Schweizer KMU kann hier heruntergeladen werden.
