Cyberrisiko für KMU: nicht so klein wie vielleicht gedacht

Unser Nachbarland Liechtenstein gewann einige interessante Erkenntnisse zum Thema Cyberrisiko für kleine und mittelständische Unternehmen (KMU). Befragungen ergaben: Das Risiko wird wahrgenommen – aber in vielen Fällen folgt keine aktive Reaktion auf die Bedrohungslage.

Kampagne zu Cyberrisiko für KMU

Digital-Liechtenstein beauftragte die Universität des Landes mit der Erstellung einer ausführlichen Studie. Die Universität Liechtenstein befragte von Ende 2019 bis Anfang 2020 kleine und mittelständische Unternehmen zur Einschätzung des eigenen Cyberrisikos.

Wir wollen die Erkenntnisse dieser Studie nicht für uns behalten – denn es zeigt sich, dass KMU ihr Cyberrisiko oft anders einschätzen, als es sich tatsächlich darstellt.

Über die Hälfte von KMU schon einmal Opfer von Cyber-Angriffen

Auffällig: Liechtensteiner KMU waren zu einem Grossteil bereits mindestens einmal Opfer von Cyber-Attacken. Es handelt sich um jedes zweite Unternehmen. Die häufigsten Angriffsmethoden ähneln dabei dem internationalen Bild.

1. auf Platz 1 liegt unangefochten das klassische Phishing via E-Mail (39 %)
2. unmittelbar dahinter folgt, unabhängig des Verteilungsweges, die Infektion des internen Netzwerks mit Malware (26 %)
3. auch DDoS-Attacken sind mit einem Anteil von 16 % ein nicht zu unterschätzendes Cyberrisiko für KMU
4. weitere 10 Prozent verteilen sich auf sonstige Cyberbedrohungen
5. den letzten Platz belegen mit nur 5 Prozent interne Bedrohungen

KMU sehen häufig keinen Handlungsbedarf

Die Studie zeigte ausserdem: KMU schätzen das Cyberrisiko ihres Landes in der Regel viel höher ein als das eigene. Die Annahme, dass es ohnehin nur «die Anderen» trifft, kann fatale Folgen haben. In Liechtenstein sind 90 Prozent der befragten KMU der Meinung, die Bedrohungslage auf Landesebene sei ausgesprochen hoch – das eigene Unternehmen stelle dagegen kein potenzielles Angriffsziel dar.

Diese Fehleinschätzung ist menschlich nachvollziehbar. In den Medien landen fast ausschliesslich Cyberangriffe in grossem Ausmass. Betroffene KMU erregen kaum mediales Interesse – und melden Vorfälle manchmal nicht einmal behördlich.

Cyberrisiko für KMU: klein bedeutet nicht zwangsläufig uninteressant

Andere Studien zeigen, dass das Gesamtangebot an gestohlenen und gehackten Daten – etwa im Dark Web – stetig ansteigt. Seit 2018 ist dort ein Sammelsurium aus illegalen «Attacken auf Abruf» und gestohlenen Daten auf sage und schreibe 15 Milliarden Einträge angewachsen.

In einem früheren Artikel haben wir beschrieben, dass ein Angriff auf eine einfache Webseite – je nach Aufwand – schon für 10 Dollar zu haben ist. Betrachtet man das Preisniveau im Dark Web als Ganzes, liegt der Schluss nahe: Das Cyberrisiko für KMU fällt damit weit höher aus als oft angenommen.

Die Baustellen der eigenen IT-Sicherheit

Die Liechtensteiner Studie deckte einiges an Verbesserungspotenzial auf. Nicht nur in Liechtenstein – auch in der Schweiz sollte Cyberresilienz eine wichtige Rolle spielen, unabhängig der Unternehmensgrösse. Vier Fragen helfen bei einer ersten Standortbestimmung:

• Weist deine IT-Infrastruktur eine vollständige und zeitaktuelle Dokumentation auf?
• Gibt es eine zentrale Anlaufstelle beziehungsweise ein Management für den allgemeinen Umgang mit IT-Sicherheit?
• Verwendest du eine Verschlüsselung für Datenübermittlungen sowie eine sichere Authentifizierung für Benutzeranmeldungen?
• Hat dein Unternehmen einen Plan für Business-Continuity-Management (BCM)?

Kannst du alle vier Fragen mit einem klaren «Ja» beantworten, ist das Cyberrisiko für dein KMU wahrscheinlich relativ gering. Fehlt auch nur einer dieser Sicherheitsaspekte, lohnt es sich, das Thema IT-Sicherheit gezielt anzugehen.

Mit unserem Ratgeber für IT-Security erstellst du mit überschaubarem Aufwand ein individuelles Security-Konzept. Melde dich gerne direkt bei uns – wir beraten dich. Investieren, um zu sparen – mit dataloft.