Bis zu 91 Prozent der Cyber-Angriffe zielen auf kleinere und mittlere Organisationen – und nicht, wie vielleicht erwartet, auf Grossbanken, medizinische Einrichtungen oder Behörden. Für Hacker ist jedes Unternehmen ein mögliches Ziel, denn es geht bei diesen Angriffen weniger um die Daten selbst als um die Erpressung des Unternehmens mittels des Besitzes dieser Daten.
Warum werden jedoch KMU unverhältnismässig oft Ziel solcher Attacken? Einerseits haben sie aufgrund fehlender Ressourcen, Budgets und Expertise Lücken in ihrer Cyber-Security und dem Datenschutz; es fehlt an geschultem Personal und der entsprechenden IT-Infrastruktur. Andererseits verlangen ihre Kunden im Vergleich zu Grossunternehmen seltener entsprechende Zertifizierungen, wodurch der direkte Druck zur Aufsetzung einer IT-Strategie sinkt.
Dies ändert sich jedoch zunehmend, denn Konsumenten werden immer sensibler bezüglich des Umgangs und Schutzes ihrer Daten und evaluieren ihre Anbieter verstärkt auch unter diesem Aspekt.
IT-Sicherheit wird wichtiger
Nutzer stellen sich vermehrt Fragen, bevor sie eine Dienstleistung nutzen, wie ihre Versicherung oder ihr Mobilfunkanbieter ihre (sensiblen) Daten verarbeiten. Wo werden ihre Daten gespeichert? Werden sie mit Daten an anderen Stellen kombiniert und ausgewertet? Und werden sie ausreichend geschützt oder gelangen sie womöglich an Stellen, die keinen Zugang haben sollten und sie sogar missbrauchen könnten? Der Einbezug des Datenschutzes und der IT-Sicherheit bei der Auswahl eines Anbieters ist eine Entwicklung, die sich auch auf die Arbeit von KMU auswirkt. Wer heute schon Sicherheit bieten und vermitteln kann, hat die Chance, dies in einen Wettbewerbsvorteil umzuwandeln.
Darüber hinaus hat mit der Anwendbarkeit der EU-Datenschutzgrundverordnung (EU-DSGVO) seit Mai 2018 das Thema auch in der Schweiz neue Schubkraft erhalten. Die EU-Standards gelten dabei auch für Schweizer Unternehmen, die eine Niederlassung in der EU haben und personenbezogene Daten verarbeiten oder Produkte beziehungsweise Dienstleistungen in der EU anbieten. Sie betreffen also einen Grossteil der Schweizer KMU und haben einen direkten Einfluss auf das Geschäft.
Derzeit wird auf nationaler Ebene innerhalb der Schweiz über das Schweizer Datenschutzgesetz und dessen Konformität mit den europäischen Standards diskutiert. Nach einer Lösung, die innerhalb der Schweiz von allen Seiten mitgetragen und auch von der EU als adäquat zum Schutzniveau der EU-DSGVO anerkannt werden wird, wird noch gesucht. Erst im Dezember 2019 hat der Ständerat eine Verschärfung des Vorschlags des Nationalrats beschlossen.
Unternehmen unter Druck
Die drei Prämissen sind demnach, ein mindestens gleiches Schutzniveau wie heute zu sichern, ein mit EU-Standards kompatibles Gesetz zu verabschieden und einen Kompromiss beim sogenannten Profiling, das heisst der automatisierten Verarbeitung personenbezogener Daten zur Erstellung von Persönlichkeitsprofilen, deren Bewertung und Analyse, zu finden. Die Vorlage des Ständerats geht nun zurück an den Nationalrat, und es ist mit längeren Diskussionen zu rechnen. Gleichzeitig steigt der Zeitdruck, da die EU voraussichtlich im Mai darüber befinden wird, ob die Schweiz die EU-Standards sicherstellen und damit weiterhin als Drittland mit adäquatem Schutz angesehen werden kann. Sollte dies nicht der Fall sein, würde der Austausch von Daten zwischen der Schweiz und EU-Ländern erschwert.
Damit stehen Unternehmen nicht nur von Seiten ihrer Kunden, sondern auch der Politik zunehmend unter Druck. Daten werden auch für KMU in Zukunft zu einem der wichtigsten Wirtschaftsgüter. Sie sollten genauso verlässlich wie Produktions- und Businesspläne verarbeitet und gesichert werden. Gibt es einmal eine undichte Stelle, bedeutet dies nicht nur einen erheblichen technischen und finanziellen Aufwand, die Daten zurückzugewinnen beziehungsweise wiederherzustellen, sondern auch einen Reputationsschaden und Vertrauensverlust der Kunden.
Intern Bewusstsein schaffen
Um die rechtlich und technisch komplexer werdenden Strukturen als Wettbewerbsvorteil für sich zu nutzen, sollten Unternehmen die sichere Verarbeitung der Daten in ihrem Betrieb proaktiv regeln. Leider fühlen sich die Themen Datenschutz und IT-Sicherheit sowie ihre Umsetzung im täglichen Geschäft für viele KMU wie ein Fass ohne Boden an. Es dominiert die Sorge, dass man, wenn man erst einmal damit anfängt, nie fertig wird. Die allzu häufige Reaktion ist, gar nicht erst zu beginnen. Dabei können die ersten und wichtigsten Sicherheitsmassnahmen oft relativ schnell, effizient und effektiv umgesetzt werden. Der zentrale – und für viele Unternehmen oft schwierigste – Schritt dabei: sich trauen, das Thema anzupacken. Am Anfang geht es zunächst darum, die richtigen Fragen zu stellen und das Bewusstsein für den verantwortungsvollen Umgang mit Daten zu schaffen.
Das Bewusstsein für die IT-Sicherheit und den Datenschutz ist zwar da, die Umsetzung ist aber oft weniger konsequent. Da viele Unternehmen vermuten, dass der finanzielle Aufwand hoch und die technische Umsetzung komplex ist, werden Massnahmen häufig nicht unmittelbar ergriffen und in die (unbestimmte) Zukunft verschoben.