Ist Cyber Security (IT-Sicherheit) für KMU tatsächlich notwendig? Sind es nicht vor allem die grossen Konzerne und Institutionen, die ins Visier von Cyberkriminellen geraten? Zweifellos sind heute IT-Infrastrukturen das Rückgrat von Unternehmen jeglicher Grösse und die elektronischen Daten ihr Kapital. Doch welche Unternehmen müssen sich wirklich umfassend um die betriebliche IT-Sicherheit kümmern?Das Bewusstsein um die Bedeutung der Cyber Security ist heute fast flächendeckend vorhanden. Es ist bekannt, dass die IT-Sicherheit eine wesentliche Rolle spielt, wenn es gilt, negative Auswirkungen wie etwa Betriebsausfälle, Leistungseinbussen oder Datenverluste zu minimieren. Dennoch herrscht in vielen KMU die Meinung vor, dass bei ihnen unbefugte Zugriffe auf Daten oder die Manipulation ihrer IT nicht vorkommen können, da sie für Cyberkriminelle eine zu geringe Bedeutung hätten. In Wirklichkeit ist allerdings festzustellen, dass Cyberangriffe auf Unternehmen und Organisationen jeder Grösse stattfinden. KMU sind dabei besonders attraktiv für Cyberkriminelle, da sie davon ausgehen, in kleineren Unternehmensstrukturen schwächere Sicherheitsmassnahmen vorzufinden.
Ausserdem hat Cyber Security nicht ausschliesslich mit Cyberkriminalität zu tun, denn Sicherheitsrisiken entstehen auch aufgrund anderer Ursachen – etwa bei Datenverlust durch versehentliches Löschen von Dateien durch Mitarbeitende, bei Elementarschäden (Feuer, Wasser, Erdbeben), die die IT-Infrastruktur beschädigen, Hard- und Softwareausfälle etc. Gerade KMU tun daher schon aus diesen Gründen gut daran, ihre Cyber Security nicht zu vernachlässigen.
Je zielgerichteter und aufwendiger die IT-Sicherheitsmassnahmen angelegt werden, desto intensiver und extensiver lassen sich die Risiken reduzieren. Doch aufwendige Massnahmen bedingen auch entsprechende Investitionen und laufende Kosten für die Cyber Security. Daher ist die Frage zu stellen, wie dieser Mitteleinsatz einzuordnen ist im Vergleich zu den effektiven potenziellen Schäden, die durch IT-Ausfälle und Cyberkriminalität bei einem KMU auftreten können.
Wer schon IT-Leistungseinbussen oder Datenverluste erlebt hat oder wem die letzte Version einer wichtigen Präsentation kurz vor dem entscheidenden Auftritt plötzlich nicht mehr zur Verfügung stand, weiss, wie zeitraubend und belastend IT-Ausfälle sein können. Das Spektrum der Folgen reicht von subjektiv empfundenen negativen Auswirkungen, die den Alltag einzelner Nutzer einschränken bis hin zu grossflächigen Ausfällen der gesamten Infrastruktur oder massiven Datenverlusten. Diese können zum Verlust von wichtigem Unternehmens-Know-how und damit von Wettbewerbsvorteilen führen. Auch Reputationsschäden für das Unternehmen und finanzielle Einbussen können die Folge sein. Gemäss dem letzten Cyber Security Trends Report von Crowd Research Partners führten Cyber-Security-Zwischenfälle bei 1'900 befragten Unternehmen zu bedeutenden negativen Folgeerscheinungen:
- die Geschäftsaktivitäten reduzierten sich um durchschnittlich 41%
- die Mitarbeiterproduktivität ging um durchschnittlich 33% zurück
- der Umsatzrückgang betrug durchschnittlich 9%
Für Geschäftsführer oder IT-Verantwortliche in KMU ist es daher wichtig zu verstehen, was Cyberrisiken im Ernstfall für ihr Unternehmen bedeuten können. Dies hängt vom Geschäftsmodell und von der Dynamik der bearbeiteten Märkte ab. Mittels einem Risk-Management-Plan werden die möglichen Auswirkungen von Cyberrisiken im Unternehmen eingeschätzt. Zur Berechnung der potenziellen Schäden sind folgende mögliche Verlustfaktoren zu berücksichtigen und hochzurechnen:
- Entgangener Umsatz und Bruttogewinn
Zunächst gilt es, diejenigen Bereiche des Unternehmens zu identifizieren, die Einnahmen generieren und ihren jeweiligen Anteil am Gesamtumsatz festzulegen. Danach ist zu bestimmen, welcher prozentuale Anteil dieser Umsätze von der IT-Betriebsbereitschaft abhängt. Aus dem ermittelten Wert je Zeiteinheit (z.B. pro Tag ,Stunde oder Minute) lässt sich anschliessend der potenziell entgangene Bruttogewinn errechnen. Dieser widerspiegelt die unmittelbaren Ausfallkosten, die eine nicht einsatzfähige oder beschränkt leistungsfähige IT je Unternehmensbereich erzeugen würde. - Produktivitätsverlust
Für jeden Mitarbeitenden ist die Produktivität zu bestimmen. Dazu wird der erwartete zeitliche Anteil ermittelt, in dem der jeweilige Mitarbeitende auf die IT-Leistungsbereitschaft angewiesen ist, damit dieser seine Tätigkeit ausüben kann. Um die potenziellen Ausfallkosten und damit den Produktivitätsverlust zu ermitteln, werden die daraus kalkulierten Stunden mit dem zu verrechnenden Stundensatz des Mitarbeitenden multipliziert. Die auf diese Weise errechneten Kosten, hochgerechnet auf das gesamte Personal, werden anschliessend addiert. Die Summe zeigt den Produktivitätsverlust pro Zeiteinheit auf, der aufgrund eines IT-Ausfalls entsteht. - Kosten für die Wiederherstellung
Um nach Ausfällen so rasch wie möglich die Betriebsbereitschaft wiederherzustellen (Disaster Recovery), kommen interne oder externe IT-Dienstleister (IT Support) zum Einsatz. Je nach Zwischenfall installieren diese eine blockierte Software neu, nehmen Einstellungen vor, ersetzen oder reparieren defekte Hardware oder kümmern sich um die Neukonfiguration der Systeme. Bei Bedarf ergänzen sie die IT mit zusätzlichen Sicherheitsmassnahmen oder sie versuchen, einen möglichst hohen Anteil an verlorenen Daten zu retten. Um die Kosten von solchen Einsätzen einzuschätzen, empfiehlt sich ein Beratungsgespräch mit einem Anbieter von IT Support oder von Managed IT Services. - Immaterielle Verluste
Die immateriellen Einbussen eines IT-Ausfalls haben unterschiedliche Ursachen: Gelangen aufgrund eines Datendiebstahls vertrauliche Informationen direkt oder auf Umwegen zu Mitbewerbern oder an die Öffentlichkeit, kann die Wettbewerbsfähigkeit des Unternehmens empfindlich getroffen werden. Wenn persönliche Daten von Mitarbeitenden (Gehaltsdaten, Mitarbeiterbeurteilungen, Arbeitsverträge etc.) von Unbefugten eingesehen werden können und die Privatsphäre des Personals verletzt wird, nimmt die Reputation und Arbeitgebermarke (Employer Branding) eines KMU Schaden. Gestohlene Kunden- oder Lieferantendaten führen zu Image-Einbussen bei Kunden und Öffentlichkeit, welche den Ruf eines Unternehmens dauerhaft negativ beeinträchtigen können.
Jede negative Auswirkung auf die Unternehmensreputation oder auf die Marke richtet auch finanziellen Schaden an. So kann schon eine geringe Ausfallzeit unter bestimmten Umständen langfristige, negative Folgen auf das Kundenvertrauen und die Geschäftsentwicklung haben.
Die aufgezählten potenziellen Verlustfaktoren gelten sowohl für grosse Konzerne als auch für KMU gleichermassen. Für KMU geht davon insofern ein grösseres Risiko aus, als dass sie oft nicht über die hohen finanziellen Mittel wie ein Grossunternehmen verfügen, um solche Störungen abzufedern – so kann ein Zwischenfall rasch zu existenziellen Fragen führen. Es gilt daher insbesondere in KMU die Cyber Security als eigenständige Disziplin wie etwa die Rechnungslegung im Unternehmen zu verankern und sich damit gegen die Gefahren, die die IT mit sich bringt zu schützen.
42% der Unternehmen mit finanziellen Schäden
Wie eine Umfrage von KPMG Schweiz zeigt, erlitten 2018 42% der Unternehmen (2017: 36%), die Opfer einer Cyberattacke wurden, finanzielle Schäden und Störungen der Geschäftstätigkeiten. Bei 33% der Firmen gelangten vertrauliche Informationen an die Öffentlichkeit, und bei einem Viertel verursachten die Angriffe Reputationsschäden. Umso mehr erstaunt es, dass sich die meisten Schweizer Unternehmen der Bedrohung durch Cyber-Attacken zwar bewusst sind, doch nicht ausreichend Massnahmen zum Risikomanagement ergreifen oder selten einen Disaster Recovery Plan (Wiederherstellungsplan) vorbereiten. Ein einziger Zwischenfall kann genügen, um dauerhaften Schaden für das Unternehmen anzurichten.
Prävention reduziert kostspielige Notfalleinsätze
Um die Cyber Sicherheit und Damit die Datensicherheit sowie die IT-Betriebszeit (Uptime) in KMU zu maximieren, hat sich die präventive Überwachung der IT-Infrastruktur bewährt. Potenzielle Schwachstellen für Cyberangriffe, drohender Datenverlust oder Systemausfälle werden dabei frühzeitig erkannt und schon vor dem Eintritt eines für die Unternehmensprozesse kritischen IT-Ereignisses beseitigt. Dieses proaktive Monitoring und die Bereinigung der Schwachstellen wird von seriösen Anbietern von Managed IT Services erbracht. Auf diese Weise lassen sich Betriebsausfälle, kostspielige Notfalleinsätze und die potenziellen Verlustfaktoren in KMU vermeiden.