Bei KMU scheint Security an Relevanz zu verlieren

28. Juni 2022, 11:52
image
In kleineren Betrieben ist häufig die Geschäftsleitung für das Thema Cybersecurity zuständig.

Eine Befragung zeigt, dass die Geschäftsleitungen kleiner Firmen sehen, dass das Cyberrisiko steigt, aber auch, dass die Umsetzung von Massnahmen stockt.

Bereits zum dritten Mal wurden in der Schweiz Kleinunternehmen mit 4 bis 49 Mitarbeitenden zum Thema Cybersicherheit und Homeoffice befragt. Die Ergebnisse zeigen, dass das Thema IT-Sicherheit bei den KMU präsenter wird. 2020 schätzten erst 11% der Befragten das Risiko, durch einen Cyberangriff einen Tag lang ausser Kraft gesetzt zu werden, als gross oder sehr gross ein. Bei der aktuellen Befragung sagten dies 18%. Auch der Anteil, der ein sehr kleines Risiko sieht, ist von 36 auf 27% gesunken.
Obwohl sich die rund 500 Teilnehmenden einig sind, dass Cyberkriminalität ein ernstzunehmendes Problem ist, stockt die Umsetzung von entsprechenden Massnahmen. Laut den Studienautoren ist keine Verbesserung bei der Umsetzung der Massnahmen zu erkennen. Im Vergleich zu 2021 gingen die Umsetzungsgrade tendenziell sogar eher zurück. Die wachsende Risikoeinschätzung scheint keinen Einfluss auf die Massnahmen zu haben, bilanzieren die Autoren.
Technische Massnahmen wie regelmässige Security-Updates, der Einsatz von Firewalls oder die Nutzung sicherer Passwörter seien in den KMU in der Regel gut umgesetzt, Potenzial gebe es vor allem bei den organisatorischen Massnahmen, sagte Studienautorin Karin Mändli Lerch von GFS Zürich. Dazu gehören etwa ein Notfallplan, Mitarbeiterschulung oder die Durchführung von Sicherheitsaudits.
Bei mehr als der Hälfte der befragten KMU sind die Geschäftsführenden für die Cybersicherheit im Unternehmen verantwortlich und bei 33% ein externer IT-Dienstleister. Bei letzteren Unternehmen sei ein höherer Umsetzungsgrad der Security-Massnahmen zu erkennen, führen die Studienautoren aus.

Klarer Plan für den "Krisenfall" nötig

Die Befragung zeige, wie wichtig ein IT-Dienstleister für kleine Firmen sein könne, ergänzte Andreas W. Kaelin, Geschäftsführer der Allianz Digitale Sicherheit Schweiz und Senior Advisor bei Digitalswitzerland. Ein Drittel der KMU verlasse sich in Sachen Security auf einen externen Partner. Dabei aber müsse man sich die Frage stellen, ob sie dies auch können, ergänzt Simon Seebeck, Schadenspezialist der Mobiliar. Denn die Zuständigkeiten seien nicht automatisch geklärt. Es sei Aufgabe der Geschäftsleitung, diese klar zu definieren und auch eine verbindliche Regelung im Krisenfall zu vereinbaren. Ein Cyberangriff sei schliesslich eine "unmittelbare Krise" für die Unternehmen und es sei wichtig, dass jeder genau wisse, was gemacht werden muss.
Hier setze man mit dem Label Cyberseal der Allianz Digitale Sicherheit Schweiz an. Im Rahmen eines Audits werden Organisation, Technik und Prozesse beim IT-Dienstleister überprüft. Auch soll die aktuelle Bedrohungslage mit einfliessen.
Kaelin erklärt, dass man insbesondere sehr kleine IT-Dienstleister, die sich auch um eher kleine Kunden kümmern, im Visier habe. Dort bestünden auch die grössten Lücken. Einen Anreiz will die Organisation mit der Listung der überprüften Unternehmen auf der Website schaffen. Damit, so die Hoffnung, gebe es für die Firmen einen kleinen Wettbewerbsvorteil, was sie motivieren könnte, Geld und Zeit in den Audit-Prozess zu stecken.

Loading

Mehr zum Thema

image

Atlassian patcht kritische Jira-Lücke

Die Schwachstelle mit einem Score von 9.4 ermöglicht es Angreifern, sich als andere Benutzer auszugeben und Zugriff auf eine Jira-Service-Management-Instanz zu erhalten.

publiziert am 6.2.2023
image

Das Security-Center der Armee ist nur zu Bürozeiten besetzt

Für eine Rund-um-die-Uhr-Überwachung braucht es mehr Leute. Die sollen nun beantragt werden.

publiziert am 6.2.2023
image

Cyberangriff auf die Uni Zürich

Die Angreifer scheinen äusserst professionell vorzugehen, erklärt die Zürcher Hochschule. Noch gebe es keine Hinweise, dass Daten verschlüsselt oder abgegriffen worden sind.

publiziert am 3.2.2023
image

So arbeiten Googles interne Hacker

Hoodies, Plasmalampen, digitale Brandstiftung. Daniel Fabian, Leiter von Googles Team Red, zeigt Praktiken seiner Hacker-Gruppe.

publiziert am 2.2.2023