Datendiebstahl: Wie gut sind Schweizer Unternehmen dagegen gewappnet?

Die KOF untersuchte im Auftrag des Staatssekretariats für Bildung, Forschung und Innovation (SBFI) die Innovationsaktivitäten und den Digitalisierungsgrad der Schweizer Wirtschaft zwischen 2014 und 2016. Es zeigte sich, dass Unternehmen immer mehr in den Bereich Informations- und Kommunikationstechnologien (IKT) investieren, besonders in Sicherheitstechnologie. In ihrer Studie stellten die Autoren fest, dass Sicherheitstechnologien bei der Verbreitung ausgewählter IKT die Hauptrolle spielen (siehe G 8). Über 60% der Unternehmen in der Schweiz mit mehr als fünf Beschäftigten verwenden externe Datenträger (offsite data backup) zur Sicherung ihrer Datenbestände, mehr als die Hälfte verwenden «secure servers» und immerhin noch 40% zeichnen die Netzaktivitäten regelmässig auf.  

Datenverschlüsselungssoftware (35%), Authentifikationssysteme (30%), wie z.B. digitale Unterschrift, PIN-Code, biometrische Methoden oder «smart cards» und «intrusion detection systems» (20%; «IDS Software»), sind ebenfalls wichtige Sicherheitstechnologien. Deren Verbreitung ist zum Teil aber deutlich geringer. Das erklärt sich zum einen durch geringere Anwendungsmöglichkeiten, vor allem bei kleineren Unternehmen, und zum anderen durch höhere, einmalige Einführungskosten, in die oft nur grössere Unternehmen investieren können.

In der Tat sehen die Autoren im Vergleich der Verbreitungsmuster nach Grössenklassen, dass mit Ausnahme der «externen Datensicherung» alle Sicherheitstechnologien bei grossen Unternehmen stärker verbreitet sind als bei kleinen und mittelgrossen Unternehmen. Die Grössenunterschiede sind bei «IDS Software» und Authentifikationssystemen besonders gross, bei der «externen Datensicherung» besonders klein. Daraus lässt sich aber nicht der Schluss ziehen, dass Daten in grossen Unternehmen besser geschützt sind. Vielmehr überwiegen dort die Automatisierungsvorteile, die grössere Investitionen betriebswirtschaftlich rechtfertigen.

Grosse Unterschiede nach Unternehmensgrösse, geringe nach Branchen

Es zeigen sich relativ geringe Unterschiede in den Verbreitungsmustern von Sicherheitstechnologien nach Sektoren (siehe G 9). Nur der Bausektor gilt als eine Ausnahme, da in diesem Sektor alle betrachteten Technologien weniger stark verbreitet sind. Während Technologien zur «externen Datensicherung» in der Industrie und im Dienstleistungssektor häufig vorzufinden sind, werden Netzwerkaktivitäten vermehrt von Unternehmen der Dienstleistungsbranchen aufgezeichnet. Auch Technologien zur Datenverschlüsselung finden sich bei Dienstleistern häufiger als bei Industrieunternehmen. «Secure servers» sind hingegen am häufigsten in Industrieunternehmen vorzufinden.

Das zeitliche Diffusionsmuster von Sicherheitstechnologien zeigt einen eindeutigen Trend: Seit Beginn der Erhebung dieser Fragen im Jahr 2004 hat sich die Verbreitung aller Technologien erhöht. Am aktuellen Rand etablieren sich externe Datensicherung, Software zur Datenverschlüsselung und IDS Software am deutlichsten.

Trotz Sicherheitsstrategien …

Unternehmen schenken der Sicherheit ihrer Daten nicht nur in technologischer Hinsicht Aufmerksamkeit, jedes vierte Unternehmen, das an der Umfrage teilnahm, hatte auch eine explizite Sicherheitsstrategie für die Verwendung von IKT in ihrem Betrieb definiert. Im Bausektor kommt das allerdings deutlich weniger häufig vor als im Industrie- und Dienstleistungssektor. Über 70% der grossen Unternehmen können auf eine derartige Strategie verweisen. Bei mittelgrossen Unternehmen sind es immerhin noch rund 50%.

Nicht alle Unternehmen mit einer Sicherheitsstrategie haben auch einen Cyber-Security-Verantwortlichen. Insgesamt ist dies bei 20% aller Umfrageteilnehmer der Fall. Bei grossen Unternehmen ist es fast jedes zweite und bei mittelgrossen Unternehmen immerhin noch circa ein Drittel.

Bei den meisten Unternehmen wird diese Funktion von einer Person wahrgenommen, bei rund 15% der Unternehmen sind es bereits zwei Personen. Die Anzahl ist jedoch nicht nur Ausdruck der Bedeutung einer sicheren Infrastruktur für ein Unternehmen, sondern hängt auch mit der Grösse des Unternehmens zusammen.

… treten Sicherheitsprobleme auf, vor allem in grossen Unternehmen

Trotz der Tatsache, dass viele Unternehmen explizite Sicherheitsstrategien verfolgen und in zunehmendem Masse Sicherheitstechnologien eingesetzt werden, kam es im Beobachtungszeitraum von 2014 bis 2016 zu einigen Sicherheitsproblemen und in der Folge zu Kosten der Schadensbehebung. Rund 40% der Unternehmen verzeichneten Sicherheitsprobleme wie z.B. einen Virus in der IKT-Infrastruktur oder Trojaner. Hinsichtlich der Häufigkeit dieser Vorfälle unterscheidet sich der Industriesektor kaum vom Bau- und dem Dienstleistungssektor. Starke Unterschiede gibt es jedoch nach Unternehmensgrösse: Rund 70% der grossen Unternehmen und rund 50% der mittelgrossen Unternehmen verzeichneten Sicherheitsprobleme, wogegen dies bei knapp 40% der kleinen Unternehmen der Fall war.

Die Schadensfälle verursachten Kosten in vielfacher Hinsicht: Es kam zu Erwerbsausfällen, wobei beispielsweise Aufträge nicht fristgerecht ausgeführt werden konnten, wesentliche Daten nicht wiederbeschafft werden konnten oder die Unternehmen Kunden verloren haben. Etwas mehr als 10% aller Unternehmen bzw. rund ein Viertel der von Schadensfällen betroffenen Unternehmen verzeichneten aufgrund von Sicherheitsproblemen einen mittleren oder starken Erwerbsausfall. Vor allem im Bausektor war der Anteil der Unternehmen mit fast 20% besonders hoch. Kaum Unterschiede sieht man in der Industrie und in den Dienstleistungsbranchen. Der Erwerbausfall war bei kleinen Unternehmen deutlich häufiger zu beobachten als bei grossen und mittelgrossen Unternehmen.

Zudem mussten Unternehmen in die Schadensbehebung investieren. Bei rund 17% der Unternehmen war der Aufwand dafür mittel- bis sehr gross (siehe G 10). In grossen Unternehmen war der Aufwand zur Schadensbehebung häufiger höher als bei kleinen und mittleren Unternehmen.