Gut Informierte verhalten sich im Internet sicherer
Die Cyberstudie von Digitalswitzerland und Co. beschäftigt sich jedes Jahr mit der Einstellung zur Cyberkriminalität. Die aktuelle Ausgabe schlüsselt die Ergebnisse erstmals nach KMUs, IT-Dienstleister und der Bevölkerung auf. Trotz häufiger Betroffenheit bleibt das Risiko unterschätzt.
Für die aktuelle Cyberstudie hat das Forschungsinstitut Yougov (ehemals Link) erstmals KMUs, IT-Dienstleister und die Bevölkerung über ihre Einstellung zur Cyberkriminalität befragt. Weshalb möglichst einfache technische Lösungen, Schulungen sowie Informationskampagnen der Schlüssel für eine bessere Cyberresilienz sind, lesen Sie in diesem Artikel.
Alle drei Zielgruppen der neuen Umfrage haben in den vergangenen drei Jahren im selben Ausmass (4 Prozent) Angriffe erlitten, welche einen finanziellen Schaden, grossen Arbeitsaufwand oder auch emotionale Belastungen mit sich brachten. Bei den KMUs war die Betroffenheit bei den etwas grösseren Betrieben deutlich höher: So waren bei Unternehmen ab vier Mitarbeitenden 7 bis 10 Prozent der Betriebe Opfer eines Cyberangriffes, wobei die grössten befragten KMUs mit 20 bis 49 Mitarbeitenden am häufigsten betroffen waren.
Unterschätztes Risiko trotz häufiger Betroffenheit
Alle drei Gruppen fühlen sich mehrheitlich sicher im Internet. Das Risiko, in den nächsten zwei bis drei Jahren von einem folgenschweren Cyberangriff betroffen zu sein, schätzen nur 16 Prozent der Bevölkerung, 17 Prozent der IT-Dienstleister und 12 Prozent der befragten KMUs als eher oder sehr hoch ein. Je grösser die Unternehmen sind, desto höher ist auch ihre Risikoeinschätzung.
Danach gefragt, wie sicher sich die betreffenden Personengruppen vor Cyberkriminalität im Unternehmen oder im Haushalt fühlen, schwingen die IT-Dienstleister oben aus: Mit einem Mittelwert von 4.0 auf der 5er-Skala fühlen sich diese signifikant sicherer als KMUs (Mittelwert 3.6) und auch als die Bevölkerung (Mittelwert 3.5). IT-Dienstleister sind mit dem Thema Cybersicherheit vertraut und kennen die Möglichkeiten, sich zu schützen, sehr viel besser. Daher resultiert wohl auch das höhere Sicherheitsgefühl. Die geringe Risikoeinschätzung im Vergleich zur hohen Betroffenheit zeigt, dass sowohl KMUs als auch die Bevölkerung das Angriffsrisiko eher unterschätzen. IT-Dienstleister warnen vor dieser Unterschätzung und empfehlen, das Thema ernster zu nehmen.
Höhere Nachfrage nach Cybersicherheit in der Zukunft
Die grosse Mehrheit der IT-Dienstleister (73 Prozent) erwartet in naher Zukunft, dass ihre Kunden die Sicherheitsmassnahmen gegen Cyberkriminalität erhöhen wird, und zwar sowohl bei den technischen als auch bei den organisatorischen Massnahmen. Befragt man die KMUs, ob sie ihre Sicherheitsmassnahmen verstärken werden, haben immerhin noch 48 Prozent entsprechende Pläne.
Verbesserungspotenzial bei den KMUs verorten die IT-Dienstleister insbesondere bei der Priorisierung des Themas Sicherheit sowie bei Schulungen fürs Personal. So werde das Thema Cybersicherheit aktuell noch zu selten als geschäftsrelevant erkannt, berichten sie. Eine ganzheitliche Sichtweise fehle, und zu häufig würden organisatorische Massnahmen, wie beispielsweise Mitarbeitendenschulungen, nicht umgesetzt.
Tatsächlich setzen KMUs laut Studienergebnissen technische Massnahmen deutlich häufiger um als organisatorische. Bei den technischen Massnahmen gibt es bei den befragten Unternehmen insbesondere bei der Nutzung von Passwortmanagern und bei der Nutzung von biometrischen Daten oder Passkeys fürs Login noch Verbesserungspotential. Bei den organisatorischen Massnahmen gibt es bei der Implementierung von Sicherheitskonzepten, der Durchführung von Sicherheitsaudits und der Mitarbeitendenschulung am meisten Luft nach oben. Grundsätzlich werden Massnahmen gegen Cyberkriminalität als wichtig betrachtet, deren Umsetzung jedoch als nicht einfach.
Vertrauen in den IT-Dienstleister als zentrales Auswahlkriterium
Knapp jedes dritte Unternehmen wird zum Thema Cyberrisiko von einem externen Partner unterstützt, bei gut 20 Prozent der Unternehmen existiert intern eine spezielle Funktion oder Teilfunktion dafür. Insbesondere bei den kleinsten Unternehmen (1 bis 3 Mitarbeitende) gibt es jedoch oft keine zuständige Person, weil Cyberrisiken keine Priorität haben. Bei den grösseren befragten Unternehmen (ab 10 Mitarbeitenden) ist es nur noch rund jedes zehnte Unternehmen, bei dem die zuständige Person aufgrund fehlender Priorität fehlt. Für die Auswahl des IT-Dienstleisters sind ein guter (Kunden-)Service, Vertrauen in den IT-Dienstleister sowie ein gutes Preis-/Leistungs-Verhältnis die wichtigsten Kriterien für KMUs. Nur 7 Prozent der befragten Unternehmen beurteilen Zertifizierungen als das wichtigste Kriterium. 43 Prozent der befragen KMUs wissen nicht, ob ihr IT-Dienstleister über eine Zertifizierung verfügt.
Die Bedeutung eines guten Informationsstandes
Schweizer KMUs sind, genau wie die Schweizer Bevölkerung als Ganzes, mehrheitlich der Meinung, eher bis sehr gut Bescheid zu wissen, wie sie sich vor Cyberangriffen schützen können. Der durchschnittliche Informationsgrad auf der Fünferskala beträgt 3.4 bei den KMU und 3.3 bei der Bevölkerung. Dennoch wären 44 Prozent der KMU und gut 60 Prozent der Schweizer Bevölkerung gerne besser informiert.
Wie wichtig die Informiertheit für die Cybersicherheit ist, zeigt die Cyberstudie sowohl für KMUs als auch für die Bevölkerung sehr deutlich auf: wer sich gut informiert fühlt, verhält sich sicherer und setzt mehr Massnahmen für eine höhere Cybersicherheit um. So führen gut Informierte die Updates auf ihren Geräten eher zeitnah durch, verwenden öfter verschiedene Passwörter, führen regelmässiger Backups durch und setzen generell mehr technische Massnahmen um. Auch Schulungen haben einen positiven Effekt auf die Cybersicherheit: Befragte Personen aus der Bevölkerung, die eine Schulung besucht haben, fühlen sich sehr viel besser informiert als ungeschulte Befragte.
ITSec4KMU als Lösungsbeispiel
Die grosse Bedeutung eines guten Informationsstandes unterstreicht die Notwendigkeit von Sensibilisierungsmassnahmen für eine bessere Cyberresilienz. Gerade weil kleinere KMUs immer häufiger im Fokus von Cyberangriffen stehen, ist deren Ansprache besonders zentral. Dieses Bedürfnis adressiert der Verein ITSec4KMU. ITSec4KMU wurde 2022 auf Initiative des Kantons Zug gegründet. Als Sensibilisierungsplattform bietet ITSec4KMU Unterstützung im Bereich Cybersicherheit insbesondere für kleinere KMU an.
Die Plattform führt u.a. Awareness-Veranstaltungen durch und bietet leicht verständliche Schulungen an, die speziell auf kleine KMUs ausgerichtet sind. Zudem unterhält ITSEc4KMU ein Register zertifizierter IT-Dienstleister, damit KMUs, die das Thema Cybersicherheit durch eine externe Firma betreuen lassen möchten, einfacher einen passenden Anbieter finden. ITSec4KMU wird von starken Partnern unterstützt, darunter das Bundesamt für Cybersicherheit, der Kanton Zug, die HSLU und die SATW. Initiativen wie ITSec4KMU, die auf verständliche und einfache Weise Massnahmen und (technische) Lösungen aufzeigen sowie Schulungen und Informationskampagnen anbieten, sind zentrale Erfolgsfaktoren, um die Cyberresilienz der Schweizer KMU-Landschaft zu erhöhen.
Mehr zum Verein ITSec4KMU erfahren Sie hier in diesem Beitrag. Darin sagen der Zuger Regierungsrat Heinz Tännler und René Hüsler von der HSLU zudem, was der Verein mit der Akquisition von Cybero erreichen will und was die nächsten Meilensteine sind.
Über die Studie
Die Cyberstudie 2024 wurde vom 4. Juli bis 5. August 2024 in der gesamten Schweiz durch das unabhängige Forschungsinstitut Yougov (ehemals Link) mittels Onlineinterviews erhoben. Sie untersucht die Cybersicherheitslage von Schweizer Haushalten, KMUs und IT-Dienstleistern, um den Stand der digitalen Resilienz der Schweiz einzuschätzen und zu verbessern. Die KMU-Stichprobe umfasst 526 Interviews, die Bevölkerungsstichprobe 1247 Interviews und die Stichprobe der IT-Dienstleister 401 Interviews. Auftraggeber ist Digitalswitzerland in Zusammenarbeit mit der Mobiliar, Allianz Digitale Sicherheit Schweiz (ADSS), Fachhochschule Nordwestschweiz (FHNW), Schweizerische Akademie der Technischen Wissenschaften (SATW) und Swiss Internet Security Alliance (SISA).
Mehr zur Cyberstudie 2024 können Sie hier lesen.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
Für die verschiedenen Newsletter der SATW können Sie sich hier anmelden. "SATW News" informiert allgemein über die Aktivitäten der SATW und "MINT" fokussiert sich auf das Themengebiet Nachwuchsförderung. Beide werden auf Deutsch und Französisch angeboten.
Alle weiteren gemeinsamen Beiträge von SwissCybersecurity.net und der SATW finden Sie hier.