Bewusstsein alleine reicht nicht

Deshalb müssen KMUs in Sachen Cybersecurity aufholen

Uhr
von Nicole Wettstein, SATW

Die Digitalisierung der Schweizer KMUs schreitet voran – die Cybersicherheit jedoch nicht. Laut einer aktuellen Studie ist die Wichtigkeit des Themas geringer als noch vor Jahresfrist. Dabei könnten schon kleine Massnahmen das Sicherheitsniveau erhöhen.

(Source: REDPIXEL.PL / Shutterstock.com)
(Source: REDPIXEL.PL / Shutterstock.com)

Eine neue repräsentative Befragung von Schweizer KMUs zeigt, dass nach wie vor ein grosses Verbesserungspotenzial im Umgang mit Cyberkriminalität vorhanden ist. Trotz der starken Medienpräsenz des Themas und einer höheren Risikobeurteilung durch die KMUs, ist die Wichtigkeit der Cybersicherheit für Unternehmen mit bis zu 49 Mitarbeitenden geringer als noch vor Jahresfrist. So wurden auch die Massnahmen für den Schutz vor Cyberattacken - insbesondere im organisatorischen Bereich - im Vergleich zum Vorjahr nicht erhöht. Dieser Artikel zeigt die Gründe für die Versäumnisse und mögliche Ansatzpunkte für eine Verbesserung der Situation auf.

War die Cybersicherheit nur ein Corona-Trend?

Mit Ausbruch der Corona-Pandemie vor zwei Jahren ist auch das Thema Cybersicherheit bei vielen KMUs in den Fokus gerückt. Meldungen über gehackte Firmensysteme aufgrund unzureichend geschützter Homeoffice-Zugänge oder über erfolgreiche Angriffe auf Netzwerke von Gemeinden erhöhten die Medienpräsenz der Cybersicherheit in den vergangenen Monaten. Davon auszugehen, dass sich KMUs aufgrund des erhöhten Risikobewusstseins nun besser schützen als vor der Krise, ist jedoch ein Trugschluss: Wie die neusten Zahlen der Studie von gfs-zürich zeigen, hat sich die Massnahmenumsetzung im Vergleich zur Vor-Corona-Situation nicht verbessert und die Einschätzung der Wichtigkeit sowie Informiertheit zum Thema stagniert. Scheinbar messen KMUs anderen Risiken eine grössere Bedeutung zu. Die Cybersicherheit hat mit der Rückkehr zum Tagesgeschäft nach Ende der Homeoffice-Pflicht an Priorität verloren.

Die Schwierigkeit der Verhaltensänderung

Die Gründe dafür, dass Cyberkriminalität zwar als Risiko für das Unternehmen wahrgenommen wird, die Wichtigkeit des Themas aber unterschätzt wird, sind vielfältig:

  • Cyberangriffe sind für viele KMUs noch immer eine abstrakte Gefahr. Die Quantifizierung eines möglichen Schadens, der sich aus einem Cyberangriff ergibt, ist schwierig. Welche konkreten Folgen eine Attacke für Finanzen oder Reputation eines Unternehmens haben kann, bleibt für KMUs oftmals wenig greifbar.

  • Auch wenn immer mehr Unternehmen bereit sind, über erfolgte Angriffe und deren Konsequenzen zu berichten, wird über den Grossteil der Vorfälle aus Scham nicht geredet. Cyberangriffe werden so als eine anonyme Gefahr wahrgenommen: Sie betrifft zwar KMUs, die verschonten Unternehmen identifizieren sich jedoch selten mit den Betroffenen. Dadurch sinkt auch der Anreiz, sich mit den Risiken auseinanderzusetzen. Eine Verhaltensänderung in einem Thema zu bewirken, das als wenig kritisch für das eigene Unternehmen eingeschätzt wird, ist eine grosse Herausforderung.

  • KMUs sehen sich selbst nicht als attraktives Ziel eines Cyberangriffes. Häufig besteht noch immer der Irrglaube, dass Angreifer ihre Ziele selektiv auswählen. In der Realität erfolgt der Grossteil der Angriffe automatisiert und nicht systematisch. Selbst KMUs, bei denen es scheinbar wenig zu holen gibt, sind somit ein attraktives Ziel für Cyberkriminelle.

Bedrohungsbewusstsein allein reicht nicht

Die Studie von gfs-zürich zeigt, dass das Bedrohungsbewusstsein der KMUs deutlich höher ist als der Informationsgrad: KMUs sehen zwar, dass Cyberkriminalität eine Gefahr darstellt, aber das Verständnis für das Thema oder die eigene Betroffenheit fehlen. Auf dem Weg zu einer konkreten Auseinandersetzung mit der Cybersicherheit und einer effektiven Verhaltensänderung ist das Bedrohungsbewusstsein, das u. a. dank der Medienberichte aufgebaut wird, lediglich der erste Schritt. Prof. Ciarán Bryce der Fachhochschule Genf (HES-SO) erläutert in seiner Publikation, wie die fehlende Auseinandersetzung mit dem Thema anhand des Trans-theoretical Models erklärt werden kann. Dieses Modell wurde ursprünglich für den Gesundheitsbereich entwickelt, um aufzuzeigen, welche Schritte es braucht, damit Patientinnen und Patienten einen gesünderen Lebensstil erreichen. Gemäss Bryce ist eine Übertragung des Trans-theoretical Model auf das Thema Cybersicherheit gut möglich, um das aktuell noch immer hohe Verbesserungspotenzial der KMUs im Umgang mit Cyberrisiken zu beschreiben.

 

Selbstbefähigung als Schlüsselfaktor für eine Cybersecurity-Kultur

Gemäss dem Trans-theoretical Model durchlaufen KMUs die folgenden fünf Stufen, bis im Unternehmen eine Cybersecurity-Kultur etabliert ist:

  • Stufe 1: Bewusstsein. KMUs sind sich bewusst, dass Cyberkriminalität eine Gefahr für das Unternehmen darstellt und dass es verschiedene Möglichkeiten gibt, von einem Cyberangriff betroffen zu sein.

  • Stufe 2: Verständnis. KMUs verstehen den Impact, den ein Cyberangriff auf das eigene Unternehmen und die Geschäftstätigkeit haben kann. Das Risiko wird für die KMUs quantifizierbar wie z. B. durch geschätzte finanzielle Kosten, Betriebsausfälle etc.

  • Stufe 3: Wille zum Handeln. Auf dieser Stufe sind KMUs nicht mehr bereit, das Risiko eines Cyberangriffes zu akzeptieren und entscheiden sich dafür, Massnahmen zur Risikovermeidung umzusetzen.

  • Stufe 4. Handlungsumsetzung. Die KMUs setzen technische und organisatorische Massnahmen um und kaufen z. B. Werkzeuge ein, engagieren eine Fachperson oder implementieren anderweitige Sicherheitslösungen, um die Risiken zu mittigeren.

  • Stufe 5: Selbstbefähigung. Auf dieser Stufe stellt Cybersicherheit für das KMU einen Teil der Unternehmensführung dar, wie es beispielsweise auch die Lohnbuchhaltung ist.

KMU zielgerichtet unterstützen

Viele Aktivitäten in der Schweiz - etwa von Verbänden, Organisationen sowie nationalen und kantonalen Behörden - leisten einen Beitrag, um den Weg der KMUs zur Selbstbefähigung im Cybersecurity-Bereich zu ermöglichen und KMUs beim Durchlaufen der Stufen des Trans-theoretical Models zu unterstützen. Genau zu diesem Zweck lancierte beispielsweise der Kanton Zug die Initiative ITSec4KMU, deren Umsetzung im Frühsommer diesen Jahres Fahrt aufnahm. Der Kanton Zug möchte damit Schweizer KMUs alle wichtigen Informationen zum Thema Cybersicherheit zur Verfügung stellen, sie miteinander wie auch mit IT-Sicherheitsdienstleistern vernetzen und sie mit gezielten Veranstaltungen für die Bedeutung des Themas sensibilisieren. ITSec4KMU leistet so einen wichtigen und konkreten Beitrag, um alle Stufen des Trans-theoretical Models umzusetzen und KMUs auf dem Weg zu Selbstbefähigung rund um Cybersecurity zu unterstützen.

Über die Studie von gfs-zürich

Das Markt- und Sozialforschungsinstitut gfs-zürich befragte vom 28. Februar bis 30. März 2022 insgesamt 504 Geschäftsführende von kleinen Unternehmen (4 bis 49 Mitarbeitende) in der deutsch-, französisch- und italienischsprachigen Schweiz zu den Auswirkungen der Corona-Krise auf die Digitalisierung und Cybersicherheit. Die Befragung erfolgte im Auftrag der Mobiliar, von digitalswitzerland, der Allianz Digitale Sicherheit Schweiz, der Fachhochschule Nordwestschweiz FHNW - Kompetenzzentrum Digitale Transformation und der Schweizerischen Akademie der Technischen Wissenschaften SATW. Die Erhebungsmethode erlaubt es, die Resultate auf die Grundgesamtheit von rund 153'000 Firmen mit 4 bis 49 Mitarbeitenden in allen Landesteilen zu übertragen. Hier geht's zur Studie.

 

Ciarán Bryce, University of Applied Sciences of Western Switzerland (HES-SO): Incentive Models to Address the Cyber-Security Pandemic, 14.02.2022; https://campus.hesge.ch/ciaranbryce/wp-content/uploads/2022/02/incentive.pdf

 

Webcode
DPF8_265703

Dossiers

» Mehr Dossiers

Aktuelle Ausgabe

Direkt in Ihren Briefkasten CHF 60.- » Magazin Abonnieren » Zum shop » Newsletter