Hacker haben bei Schweizer KMU leichtes Spiel. Nicht einmal jedes zweite KMU kennt Passwortrichtlinien. Die Mitarbeitenden sind nicht gezwungen, Gross- und Kleinschreibung, Ziffern oder Sonderzeichen in ihren Passwörtern zu verwenden. Stattdessen können sie etwa «Passwort» als Passwort wählen. Das öffnet Cyberkriminellen Tür und Tor.
Im vergangenen Jahr wurden in der Schweiz 30'000 digitale Verbrechen begangen. Das entspricht einer Zunahme um 24 Prozent im Vergleich zum Vorjahr, wie der Versicherungskonzern Axa in einer neuen Studie schreibt, die Blick vorab vorliegt.
Je kleiner, desto sorgloser
Viele KMU seien sich der Gefahr schlicht nicht bewusst und träfen wenige bis gar keine Vorkehrungen, um sich zu schützen, so die Studie. Und das, obwohl 15 Prozent aller KMU in den vergangenen Jahren laut eigenen Angaben schon Opfer von Hackern wurden. Dennoch: «Ganze 62 Prozent der befragten KMU erachten das Risiko als gering, künftig Opfer einer Attacke zu werden», so Studienautorin Andrea Rothenbühler (32).
Je kleiner das KMU, desto sorgloser: Bei grossen KMU mit 50 bis 250 Angestellten sehen immerhin 37 Prozent der befragten Firmen ein erhöhtes Risiko von Cyberattacken gegen sie. Bei den ganz kleinen Geschäften mit maximal neun Mitarbeitenden sehen die Gefahr lediglich 10 Prozent.
50'000 Franken Busse
Klar haben kleinere Firmen weniger Mittel und meistens auch weniger sensible Daten. Doch auch diese gilt es zu schützen. Vor allem, weil den KMU ab nächstem Jahr happige Bussen drohen, wenn sie sich nicht darum kümmern!
Im September 2023 tritt in der Schweiz das neue Datenschutzgesetz (DSG) in Kraft. Wer den Datenschutz vorsätzlich verletzt, kassiert eine Busse von bis zu 250'000 Franken. Bestraft wird grundsätzlich die verantwortliche Einzelperson. Neu kann aber auch das Unternehmen mit bis zu 50'000 Franken gebüsst werden, wenn nicht ermittelbar ist, wer innerhalb des Unternehmens für den Fehler verantwortlich ist.
Eine solche Busse trifft gerade kleine Unternehmen hart. Doch die wirtschaftlichen Konsequenzen eines Cyberangriffs sind meist noch drastischer. Die IT-Systeme und Daten der Opfer werden oft gesperrt, die KMU damit erpresst. Nur wer zahlt, erhält wieder Zugriff auf seine Systeme. Neben dem Erpressungsgeld fallen Kosten für den Erwerbsausfall an – und im schlimmsten Fall ein erheblicher Reputationsschaden.
Schwachstelle Mitarbeitende
Dennoch hat laut Axa-Studie ein Fünftel der befragten KMU das Gefühl, IT-Sicherheit und das neue Datenschutzgesetz beträfen sie nicht.
Besonders wichtig wäre die Sensibilisierung der Mitarbeitenden, schreibt Axa dazu. «Bei rund 70 Prozent der Cyberattacken öffnen die Mitarbeitenden das Einfallstor für die Schadsoftware selber», so Andrea Rothenbühler. Etwa indem sie auf einen Link eines Hackers klicken.
