IT-Sicherheit: In der Schweiz noch keine Chefsache

Cybersecurity gehört in vielen Schweizer Chefetagen nicht zu den Topthemen. Zu diesem Schluss kommt eine Studie von Sophos. Das Meinungsforschungsinstitut Ipsos habe hierfür im Frühsommer 2022 "hohe und höhere Führungskräfte (C-Level)" in der DACH-Region befragt. IT-Personal wurde hierbei ausdrücklich ausgenommen. Konkret wurden 201 Personen aus Deutschland sowie je 50 aus der Schweiz und Österreich befragt.

Verantwortlich ist die IT-Abteilung

Die grosse Mehrheit der befragten Manager (84 Prozent) gibt an, ein hohes bis sehr hohes Bewusstsein für IT-Sicherheit zu haben. Auch wurde den Angaben der Befragten zufolge in der Mehrheit der Unternehmen (72,5 Prozent) die IT-Sicherheit innerhalb der vergangenen drei Jahre auf einer höheren beziehungsweise der höchsten Hierarchieebene angesiedelt.

Bei der Frage nach der tatsächlichen Verantwortung für die IT-Sicherheit zeige sich jedoch ein anderes Bild. Je grösser die Unternehmen sind, desto weniger steht die Führungsebene in der Verantwortung. Dies gilt vor allem für Unternehmen mit mehr als 200 Mitarbeitenden. Hier geben nur 5,3 Prozent der Befragten an, dass die IT-Sicherheit auf Geschäftsführungs- beziehungsweise Vorstandsebene angesiedelt ist. Bei kleineren Unternehmen mit bis zu 199 Mitarbeitenden liegt dieser Wert deutlich höher. Hier ist der Chef zu rund 22 Prozent noch höchstpersönlich mit eingebunden.

Die Hauptverantwortung für Cybersicherheit trage in grösseren Unternehmen zu 58 Prozent die eigene IT-Abteilung. Bei 34,4 Prozent der kleineren Unternehmen sind ebenfalls die eigenen IT-Teams in der Pflicht. 31,3 Prozent bei den grösseren und dem gegenüber 21,1 Prozent bei den kleineren Unternehmen übertragen die Verantwortung für ihre IT-Sicherheit auf externe Dienstleister.

Chester Wisniewski, Principal Research Scientist bei Sophos (Source: zVg)

"Die Ergebnisse in der DACH-Region sind zwar enttäuschend, entsprechen aber dem, was wir in Nordamerika, ASEAN und anderen Regionen beobachten", sagt Chester Wisniewski, Principal Research Scientist bei Sophos zu den Ergebnissen der Studie. "Leider wird die Sicherheit, wenn sie als Bestandteil der IT verwaltet wird, in der Regel auf den Status einer Aufgabe zurückgestuft, anstatt eine Priorität zu sein. Die Rolle des Sicherheitsteams besteht darin, Risiken zu identifizieren und dem Vorstand dabei zu helfen, diese Risiken nach Prioritäten zu ordnen, wohingegen die IT-Abteilung die Aufgabe hat, die erforderlichen Änderungen zu implementieren, je nachdem, wie diese Risiken angegangen werden sollen."

72 Prozent fühlen sich gewappnet

Ebenfalls untersucht wurde, ob und inwieweit angesichts der weltpolitischen Lage - nicht zuletzt des aktuellen Kriegs in Europa, der bereits lange vor dem eigentlichen Einmarsch Russlands in die Ukraine auf Cyberebene tobte - die Wahrnehmung und Bedeutung von IT-Sicherheit innerhalb der vergangenen zwei Jahre verändert haben.

Hierzu bestätigten 47,4 Prozent der Befragten aus Schweizer Unternehmen mit mehr als 200 Mitarbeitenden sowie 46,9 Prozent aus kleineren Unternehmen, dass Cybersicherheit noch wichtiger geworden sei. Gleichwohl fühlt man sich auch sicher: 47,3 Prozent der kleineren und 40,6 Prozent der grösseren Unternehmen geben an, dass sich hinsichtlich des Bewusstseins für das Thema Cybersicherheit in den vergangenen zwei Jahren nichts verändert habe und man hierfür bereits gut aufgestellt gewesen sei.

Auch in Bezug auf die bestehenden IT-Sicherheitsstrukturen im Unternehmen herrsche Zufriedenheit: 72,5 Prozent geben an, Ihr Unternehmen sei gut bis sehr gut gegen Cyberattacken gewappnet.

Diese Zufriedenheit steht in Kontrast mit einer Analyse von Axa: Demnach bereiten sich insbesondere KMUs zu wenig auf Cyberattacken vor. Mehr dazu lesen Sie hier.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.