Cybersicherheit in Schweizer KMUs: Es besteht Aufholpotenzial
KMUs nutzen die Möglichkeiten der Digitalisierung zu wenig. Dies ist eines der Resultate der kürzlich veröffentlichten Studie zu Cybersicherheit und Homeoffice unter KMUs bis 50 Mitarbeitende. Die Anzahl Arbeitsstellen, die von KMU-Geschäftsführenden als Homeoffice-tauglich bezeichnet werden, ist das vierte Jahr in Folge rückläufig. Auch die Verwendung digitaler Kommunikationskanäle wie Skype oder Microsoft Teams liegt 2023 tiefer als noch 2022. Zudem bezeichnen sich deutlich weniger KMUs selbst als "digitale Pioniere", sprich schätzen sich selbst als besonders aufgeschlossen gegenüber technologischen Innovationen ein.
Die nach der Pandemie merklich gesunkene Nutzung der Möglichkeiten der Digitalisierung (unter anderem Homeoffice, Onlinekonferenzen etc.) hat nicht nur einen Einfluss auf
die Arbeitsweise der KMUs, sondern auch auf die Cybersicherheit in den Unternehmen. Eine aktuelle Studie zu Cybersicherheit und Homeoffice unter KMUs bis 50 Mitarbeitende zeigt: Je besser sich ein Unternehmen in Sachen Cybersicherheit informiert fühlt, umso mehr setzt es auch Massnahmen für eine höhere Cybersicherheit um. Unternehmen, die sich als "digitale Pioniere" bezeichnen, sind besser informiert, setzen mehr Massnahmen um und messen dem Thema Cybersicherheit eine höhere Bedeutung zu. Dass die Zahl der digitalen Pioniere abnimmt, stimmt nachdenklich, gerade auch vor dem Hintergrund der steigenden Anzahl Cyberangriffe.
Tatsächlich weniger Homeoffice-taugliche Stellen?
Während der Pandemie waren die KMUs gezwungen, Homeoffice für ihre Mitarbeitenden zu ermöglichen und digitale Kommunikationskanäle wie Skype, MS Teams, etc. gehörten zum Arbeitsalltag. Heute, ohne den Druck der Homeoffice-Pflicht, sind viele KMUs wieder in den alten Trott zurückgefallen, und sowohl der Anteil der als "Homeoffice-tauglich" bezeichneten Stellen als auch die Nutzung von digitalen Kommunikationskanälen hat sich reduziert. Wie die Studie zeigt, hat sich der Anteil an Homeoffice-Stellen auf einem Niveau eingependelt, das längerfristig gleichbleiben wird. Das digitale Potenzial, wie es während der Pandemiezeit genutzt wurde, bleibt unausgeschöpft.
Externe IT-Dienstleister und digitale Sorglosigkeit
Wie die Studie zeigt, stützen sich 80 Prozent der KMUs auf einen externen Dienstleister im Bereich IT und Cybersicherheit. Die Mehrheit der KMUs will oder kann sich selbst nicht um das Thema IT kümmern und externalisiert diesen wichtigen Themenbereich. Die KMUs sind mit der Arbeit ihres Dienstleisters grossmehrheitlich sehr zufrieden. Die Tatsache, dass viele KMUs nicht wissen, ob ihr Dienstleister über eine anerkannte Sicherheitszertifizierung verfügt, kann auf eine "digitale Sorglosigkeit" der KMUs hinweisen. Die KMUs gehen selbstverständlich davon aus, dass der IT-Dienstleister kompetent ist und sich in Sachen Cybersicherheit bestens auskennt. Dies kann ein Risiko mit sich bringen, wie diverse Supply-Chain-Angriffe aus der Vergangenheit zeigen. Ein engerer Austausch zwischen KMU und IT-Dienstleister, insbesondere die Überprüfung der Kompetenzen des Dienstleisters, sollte von den KMUs an die Hand genommen werden – im eigenen Interesse.
Cyberangriffe können jedes KMU treffen
Die Studie zeigt, dass bereits 11 Prozent der KMUs Opfer eines Cyberangriffs wurden – und zwar so, dass ein grosser Aufwand nötig war, um den Schaden zu beheben. Zwischen den Branchen konnte kein Unterschied bezüglich Betroffenheit durch einen Cyberangriff festgestellt werden: Ein Angriff kann sich in jedem Unternehmen ereignen. Wie bereits in den Vorjahresstudien bestätigte sich auch in diesem Jahr die Tatsache, dass insbesondere bei der Umsetzung von organisatorischen Massnahmen Aufholpotenzial besteht. Während ein Grossteil der KMUs die wichtigsten technischen Massnahmen umsetzt, werden noch in zu wenigen KMUs regelmässige Mitarbeiterschulungen oder Sicherheitsaudits durchgeführt. Bei den organisatorischen Massnahmen fühlen sich die KMUs zu wenig in der Verantwortung und es fehlt das Wissen zur Umsetzung. Gerade vor dem Hintergrund der zahlreichen Ransomware-Angriffe (Erpressung von Lösegeld für entwendete Daten), bei denen häufig der Faktor Mensch eine entscheidende Rolle spielt, ist diese Entwicklung besorgniserregend.
Noch immer Potenzial vorhanden, um Cybersicherheit zu erhöhen
Beim Nationalen Zentrum für Cybersicherheit NCSC wurden in diesem Jahr mit mehr als 19'000 Meldungen bisher noch nie so viele Cybervorfälle gemeldet. Von allen Meldungen stammen 10 Prozent von Unternehmen, Vereinen und Verbänden; der Rest von Privatpersonen. Die Dunkelziffer bei der Anzahl gemeldeter Vorfälle liegt vermutlich höher, da einerseits ein Siebtel (fast 15 Prozent) aller KMUs die Cybersicherheit im eignen Unternehmen als eher oder sehr unwichtig erachtet oder weil die Meldestelle vielen KMUs schlichtweg noch kein Begriff ist. Mit der Einführung des neuen Datenschutzgesetzes gilt seit dem 1. September 2023 eine gesetzlich vorgeschriebene Meldepflicht für Cybervorfälle, wenn personenbezogene Daten betroffen sind. Die Vorfälle müssen dem EDÖB gemeldet werden. Es ist davon auszugehen, dass dadurch auch die Anzahl Meldungen beim NCSC steigt.
Eine Mehrheit der KMUs ist sich der Bedeutung der Cybersicherheit bewusst und anerkennt, dass es wichtig ist, entsprechende Massnahmen umzusetzen. Auch plant rund die Hälfte der Unternehmen, in den nächsten 1 bis 3 Jahren die Kadenz der Massnahmenumsetzung zu erhöhen. Der Informationsstand zum Thema Cybersicherheit ist bei den KMUs hoch – mehr als die Hälfte fühlt sich gut oder sogar sehr gut informiert.
Unterstützung in der Cybersecurity-Welt
Viele Initiativen und Projekte zielen darauf ab, KMUs Unterstützung in der komplexen Welt der Cybersicherheit zu bieten. Diese Aktivitäten sind wichtig und stellen jede für sich einen Baustein für eine sicherere KMU-Welt dar. Zentral dabei ist, dass alle Player die KMUs in ihrer Sprache abholen, dieselben Botschaften vermitteln, auf die wirklich
relevanten Themenfelder ansprechen und Unterstützung und Orientierungshilfe bieten hin zu einem grösseren Verständnis der Cybersecurity-Thematik. Seit Kurzem ist die Plattform ITSec4KMU, die auf Initiative des Kantons Zug entstanden ist, online. Sie bietet KMUs Orientierung im Cybersecurity-Dschungel und informiert über die wichtigsten Handlungsfelder für einen Cybersecurity-Grundschutz. In einem nächsten Schritt liegt der Fokus des Projekts im Aufbau des Netzwerks und einer direkten Aktivierung und Ansprache der KMUs.
Über die Studie
Das Markt- und Sozialforschungsinstitut gfs-zürich befragte vom 18.4.-13.6.2023 insgesamt 502 Geschäftsführende von KMUs mit 4 bis 49 Mitarbeitenden in der Deutsch-, Französisch- und Italienischsprachigen Schweiz telefonisch zu den Auswirkungen der Digitalisierung und der Cybersicherheit. Die Befragung erfolgte im Auftrag von digitalswitzerland, der Mobiliar, der Fachhochschule Nordwestschweiz FHNW, der Schweizerischen Akademie der Technischen Wissenschaften SATW und der Allianz Digitale Sicherheit Schweiz.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
Für die verschiedenen Newsletter der SATW können Sie sich hier anmelden. "SATW News" informiert allgemein über die Aktivitäten der SATW und "MINT" fokussiert sich auf das Themengebiet Nachwuchsförderung. Beide werden auf Deutsch und Französisch angeboten.
Alle weiteren gemeinsamen Beiträge von SwissCybersecurity.net und der SATW finden Sie hier.
Partner
Bitdefender startet Förderprogramm für Start-ups
Update: Google verschiebt Privacy-Sandbox auf 2025
Update: Kapo Zürich nutzte russische Software zu Testzwecken
Schweden seit Nato-Beitritt verstärkt im DDoS-Visier
Scammer kommen via Phishing-Mail an Facebook-Bezahldaten
Schweizer Strafverfolger überwachen etwas weniger, holen aber mehr Auskünfte ein
Wenn die Tribute von Panem ein Disney-Film wären
Commvault übernimmt Appranix
Wieso man nicht ziellos herumirren sollte beim Telefonieren
