Schweizer KMUs machen kaum Fortschritte bei der Security

KMUs machen im Bereich Cybersicherheit kaum Fortschritte. Zu diesem Schluss kommt eine Studie von Allianz Digitale Sicherheit Schweiz, Digitalswitzerland, der Fachhochschule Nordwestschweiz (FHNW), der Mobiliar und der Schweizerischen Akademie der Technischen Wissenschaften (SATW). Durchgeführt wurde die Studie vom Markt- und Sozialforschungsinstitut GFS-Zürich. Die Unternehmen präsentieren die Resultate im Rahmen einer Onlinemedienkonferenz.

Laut der Studie gaben 11 Prozent der befragten Unternehmen an, bereits Opfer einer Cyberattacke gewesen zu sein, bei dem ein erheblicher Aufwand nötig war, um die Schäden zu beheben. Über die Hälfte (55 Prozent) der befragten Unternehmen, die Opfer eines Cyberangriffs wurden, beklagten einen finanziellen Schaden. 13 Prozent gaben an, dass der Angriff zu einem Verlust von Kundendaten oder Reputationsschäden führte. 

Schäden, die durch einen erfolgreichen Cyberangriff entstanden sind. (Source: zVg)

Bei den Massnahmen, die KMUs zum Selbstschutz umsetzen, zeige sich ein praktisch unverändertes Bild. Die Studie misst den Umsetzungsgrad auf einer Skala von 0 bis 5, wobei 5 der höchste Wert ist. Die Kategorien "regelmässige Softwareupdates" und "Einsatz einer Firewall" erhielten jeweils die höchste Bewertung - beide liegen in der aktuellen Studie bei 4,5.

Simon Seebeck, Leiter des Kompetenzzentrum Cyber Risk der Mobiliar erinnerte während der Konferenz daran, dass diese Massnahmen auch aktuell gehalten und gewartet werden müssen. Eine Firewall in einem nicht oder falsch konfigurierten Netzwerk biete überhaupt keine Sicherheit - höchstens eine falsche Sicherheit -, sagte er.

Zustimmung zu den Aussagen aus der Perspektive der Geschäftsleitenden von Schweizer KMUs. (Source: zVg)

Mängel bei den organisatorischen Massnahmen

Insgesamt befinden sich alle geprüften technischen Massnahmen auf einem relativ hohen Niveau. Dies kann man von den organisatorischen Massnahmen nicht behaupten. Während die Wiederherstellbarkeit von Daten geprüft (4,2) und persönliche Informationen nur vorsichtig geteilt (4,2) werden, liegen die regelmässige Mitarbeitendenschulung (2,9) und die Durchführung eines Sicherheitsaudits (2,8) am anderen Ende des Spektrums.

"Wer seine Cybersicherheit vernachlässigt, wird zur einfacheren Beute für Angreifende", sagte Seebeck. "Cyberkriminelle denken ökonomisch und suchen den Weg des geringsten Widerstandes." Je grösser die Lücke in der Abwehr eines Unternehmens sei, desto wahrscheinlicher werde es Opfer eines vollautomatisierten - also für die Angreifenden enorm günstigen - Angriffs.

Das Bewusstsein für Cybersicherheit sei aber vorhanden. 56 Prozent der befragten Geschäftsführenden fühlen sich eher oder sehr gut informiert in diesem Bereich. Knapp zwei Drittel (65 Prozent) schätzen das Thema Cybersecurity als eher oder sehr wichtig ein. Der Anteil, für den IT-Security eher unwichtig oder unwichtig ist, liegt bei 14 Prozent.

Bei den organisatorischen Massnahmen zeigen sich grössere Unterschiede. (Source: zVg)

Entsprechend will rund die Hälfte der befragten Unternehmen in den nächsten drei Jahren die Sicherheitsmassnahmen erhöhen ("eher oder sehr wahrscheinlich"). Diese Zahl ist aber wohl mit etwas Skepsis zu geniessen. Der Wert lag nämlich im Vorjahr schon leicht höher (55 Prozent) und trotzdem konstatierte die Studie ein praktisch unverändertes Bild bei den umgesetzten Massnahmen.

KMUs setzen auch bei Security auf Dienstleister

Ein neues Thema in der diesjährigen Studie - die zum vierten Mal durchgeführt wurde - sind externe IT-Dienstleister. 79 Prozent der befragten Unternehmen setzen die Dienste eines Dienstleisters ein. Diese externen Unternehmen übernehmen rund einen Drittel (36 Prozent) der IT-Arbeiten. 84 Prozent der Befragten, die mit einem externen Dienstleister zusammenarbeiten, lassen sich von diesem auch bei der Cybersecurity beraten und unterstützen. 

Andreas Kaelin, Geschäftsführer der Allianz Digitale Sicherheit Schweiz und Senior Advisor Digitalswitzerland, bemängelt in diesem Zusammenhang, dass nur wenig mehr als die Hälfte der IT-Dienstleister eine IT-Security-Zertifizierung vorweisen kann. "Es ist zwingend notwendig, dass grundlegende Kompetenzen in Cybersicherheit nachgewiesen werden können", sagte er während der Medienkonferenz.

Anschliessend rührte Kaelin noch die Werbetrommel für den Cyberseal - ein Gütesiegel der Allianz Digitale Sicherheit Schweiz für ebendiesen Zweck. "Der Cyberseal ist schlank, pragmatisch, praxisorientiert und günstig", sagte er. Die drei Jahre gültige Zertifizierung koste 4900 Franken - darin seien die Mini-Audits, die man in den letzten beiden Jahren machen muss, bereits enthalten. Kaelin verspricht mit dem Cyberseal eine "wirksame Prävention von Cyberrisiken" und ein "angemessenes Schutzniveau" für KMUs.

Keine Supply Chain Security und eine verpasste Chance

Für die Studie befragten die Verfasser 502 Geschäftsführer und -führerinnen zwischen dem 18. April und dem 13. Juni. Die Anzahl Angriffe stieg gegen Ende und vor allem nach der Befragungszeit deutlich an. Ende August etwa wurden dem NCSC in einer Woche 1342 Vorfälle gemeldet, wie Nicole Wettstein, Leiterin des Schwerpunktprogramms Cybersecurity der SATW, aufzeigte. Während des Befragungszeitraums lag die Anzahl Meldungen pro Woche jeweils im mittleren bis hohen dreistelligen Bereich.

Der weite Kreise ziehende Angriff auf den IT-Dienstleister Xplain erfolgte am Rande der Befragungszeit. Das volle Ausmass wurde erst nach und nach in den darauffolgenden Wochen bekannt. Daher hatte dieser Fall laut den Studienautoren noch keinen Einfluss auf die Ergebnisse. Lesen Sie hier mehr zum Xplain-Angriff, von dem auch der Bund betroffen war.

Die Entwicklung der Anzahl Meldungen beim NCSCS vor, während und nach der Befragungszeit (etwa KW 16 bis KW 24). (Source: Screenshot / Medienkonferenz)

"Die Sicherheit der Lieferkette wird hierzulande noch fast nicht besprochen", sagte Marc K. Peter, Leiter des Kompetenzzentrums für Digitale Transformation an der FHNW. "Wir sind noch nicht genügend sensibilisiert, die Abhängigkeit von Lieferanten mit in die IT-Sicherheit einzubeziehen." Die Verfasser der Studie könnten es sich aber gut vorstellen, das Thema in einer künftigen Studie zu analysieren.   

In der nächsten Ausgabe der Studie dürfte es auch interessant werden, zu sehen, wie sich das revidierte Datenschutzgesetz auf die Ergebnisse auswirkt. Das neue DSG trat am 1. September in Kraft. 

Laut Peter wurde bei der Revision des Gesetzes jedoch eine grosse Chance verpasst. Die Anforderung, ein Datenregister zu führen, gilt für Unternehmen erst ab einer Grösse von mindestens 250 Mitarbeitenden. Für KMUs sei sie nicht gesetzlich verankert. 

"Das wäre der wichtigste Punkt überhaupt gewesen, um KMUs zu schützen", sagte Peter. "Dass die KMUs angestossen werden, sich eine Übersicht über ihre Daten zu verschaffen und zu prüfen, ob diese Daten gut geschützt sind."

Begeisterung für Homeoffice sinkt in der Führungsetage

Die Studie untersuchte auch das Homeoffice-Verhalten der befragten Unternehmen. Dabei wird ein klarer Trend sichtbar: Die Anzahl Unternehmen, die sagen, dass keine Mitarbeitenden Homeoffice machen können, steigt jedes Jahr. Von 32 Prozent in 2020 (die erste Erhebung) auf 35, 39 und nun 43 Prozent in der aktuellen Studie. 

Die Wahrscheinlichkeit, dass KMUs in den nächsten ein bis drei Jahren ihre Sicherheitsmassnahmen erhöhen. Links: Im Jahresvergleich. Rechts: Vergleich derjenigen, die sich als uninformiert einschätzen vs. diejenigen, die sich als informiert sehen. (Source: zVg)

"Wir gehen nicht davon aus, dass sich diese Stellen an und für sich verändert haben", sagte die Studienverfasserin Karin Mändli Lerch von GFS-Zürich. Verändert habe sich vielmehr die Einstellung der Geschäftsführenden dazu, welche Stellen Homeoffice tauglich sind und welche nicht. Die Ergebnisse würden also nicht bedeuten, dass weniger Personen im Homeoffice arbeiten. "Im Gegenteil: Wir wissen aus anderen Studien, dass immer mehr Personen im Homeoffice arbeiten." Vielmehr zeige es eine Diskrepanz in der Wahrnehmung zwischen den Arbeitgebenden und den Arbeitnehmenden.

In den Unternehmen, in denen Homeoffice möglich ist, würden rund zwei Fünftel (42 Prozent) der Mitarbeitenden teilweise oder hauptsächlich von zuhause aus arbeiten. Knapp drei Viertel der Befragten (73 Prozent) gehen davon aus, dass dieser Anteil langfristig gleich bleiben wird.

Die vollständige Studie können Interessierte hier als PDF herunterladen.