Jedes dritte kleine und mittlere Schweizer Unternehmen (KMU) hat bereits eine Cyberattacke erlebt. Dennoch sehen sich mehr als die Hälfte der KMU-Geschäftsführer gut geschützt vor Cyberrisiken. Dies ergibt eine aktuelle Umfrage im Auftrag von ICTswitzerland und anderen.

Die Sorglosigkeit der KMU sei beunruhigend, teilt der Dachverband mit. Nur vier Prozent der KMU-Chefs sähen es als grosse oder sehr grosse Gefahr, durch einen Cyberangriff in der Existenz gefährdet zu sein.

Laut einer Umfrage bei 300 KMU-Chefs führten die Cyberangriffe sechs Prozent der Unternehmen zu Datenverlust. Rund drei Prozent wurden Opfer eine DDoS-Attacke.

Weitere zwei Prozent beklagten Datendiebstahl und vier Prozent der Firmen wurden Ziel einer Erpressung. Obwohl gravierende Folgen bisher selten waren, dürften die Angriffe nicht verharmlost werden, schreibt ICTswitzerland. Hochgerechnet auf die total 580'000 Schweizer KMU waren 23'000 KMU von Erpressung betroffen. Rund 209'000 Unternehmen, also über ein Drittel, wurden von Malware wie Viren und Trojaner heimgesucht.

Der Schutz vor Cyberangriffen sei ungenügend, schreibt der Dachverband weiter. Nur 60 Prozent der Befragten hätten nach eigenen Angaben einfache Schutzmassnahmen wie Malware-Schutz, Firewall und Backup voll und ganz umgesetzt.

Ausserdem habe nur jedes fünfte KMU Systeme zur Erkennung von Cyber-Vorfällen vollständig eingeführt. Mitarbeiter-Schulungen über den sicheren Gebrauch von IT fanden nur bei 15 Prozent der KMU statt.

In über der Hälfte der Unternehmen ist der Geschäftsführer für die IT-Sicherheit verantwortlich. 23 Prozent setzen auf externe Dienstleister und nur zehn Prozent beauftragen eine interne Fachperson mit der IT-Sicherheit. Als Faustregel gilt: Je grösser die Firma und je wichtiger das Funktionieren der IT eingeschätzt wird, desto eher wird auf eine Fachperson gesetzt.

Die Befragung, die das Marktforschungsinstitut gfs-Zürich durchführte, kam zu einem ähnlichen Schluss wie eine Umfrage des Beratungsunternehmens KPMG unter rund 230 Unternehmen.

Laut KPMG erhöhte sich die Zahl der Unternehmen, die in den vergangenen zwölf Monaten Cyberattacken registrierten innert Jahresfrist von 54 auf 88 Prozent. Gleichzeitig gaben zwei Drittel der Firmen an, dass sie an der Cybersicherheit noch nicht systematisch arbeiteten.

Andreas Kaelin, Geschäftsführer des Dachverbands ICTswitzerland, betonte, die zunehmende Vernetzung mit dem Internet sei eine Voraussetzung, Vorteile der Digitalisierung nutzen zu können. Doch dies erhöhe auch die Risiken und bedingte, dass die KMU mit Cyberrisiken kompetent auseinandersetzten.

Auch die Präsidentin der Kommission zur Datenbearbeitung und Datensicherheit des Bundes, Brigitte Gadient, sieht Handlungsbedarf. Die Kommission arbeite deshalb an den Eckpfeilern einer IT-Security Best Practice für die KMU.

Die nach eigenen Angaben repräsentative Umfrage wurde telefonisch durchgeführt. Auftraggeber waren der Schweizerische Versicherungsverband (SVV), die Schweizerische Vereinigung für Qualitäts- und Management-Systeme (SQS), der Dachverband ICTswitzerland, die Information Security Society Switzerland (ISSS) sowie das Informatiksteuerungsorgan des Bundes (ISB). (ts/sda)