Gemäss einer Studie von Digitalswitzerland wurde jedes 10. Schweizer Kleinunternehmen bereits einmal Opfer eines Cyberangriffes. 11% der Befragten sagen, dass sie so schwer angegriffen wurden, dass ein erheblicher Aufwand nötig war, um die Schäden zu beheben. 55% der betroffenen Unternehmen beklagten dabei einen finanziellen Schaden.
Nur 13% der Befragten gehen der eigenen Wahrnehmung nach davon aus, dass der Cybervorfall Einfluss auf die Reputation ihres Unternehmens hatte. Gleich hoch ist die Zahl derjenigen Unternehmen, denen bei einem Angriff auch wissentlich Kundendaten abhandengekommen sind.
Schwierig umsetzbar
Die Gefahr von Cyberangriffen wird von Schweizer KMU zwar erkannt, doch Massnahmen dagegen werden nur von einer Minderheit der Befragten geplant. So wird der Aussage, dass Cyberkriminalität ein ernstzunehmendes Problem ist, klar zugestimmt. Gleiches gilt auch für die Behauptung, dass Massnahmen gegen Cyberattacken wichtig sind und man sich deren Gefahr bewusst sein muss.
Wenn es hingegen um die Umsetzung geht, zeigen sich die Probleme: Die Aussage "Massnahmen gegen Cyberattacken können einfach umgesetzt werden" findet nur wenig Zustimmung. Gründe dafür könnten in Umsetzungsschwierigkeit liegen oder darin, dass die Befragten innerhalb des KMU keinen sozialen Druck verspüren, heisst es in der Studie.
Tech-Affinität wichtig
Ausserdem zeigte sich, dass je aufgeschlossener ein KMU gegenüber neuen Technologien eingestellt ist, desto höher die Zustimmung zu den verschiedenen Aussagen zur Cybersicherheit ist. Dabei fühlt sich etwas mehr als die Hälfte der befragten Geschäftsführenden bezüglich Cyberrisiken eher oder sehr gut informiert.
Die technisch am weitesten fortgeschrittenen Unternehmen, "Pioniere", fühlen sich dabei signifikant besser informiert als die "Early Follower" und diese wiederum besser als die "Late Follower". Gemäss Digitalswitzerland haben die Werte gegenüber den letzten Jahren zwar minimal, aber stetig verbessert.
Dies zeigt sich auch bei den technischen und organisatorischen Massnahmen, die die KMU für ihre Cybersicherheit getroffen haben. 69% der befragten Unternehmen mit einer hohen technischen Massnahmenumsetzung gaben an, dass sie sich gut informiert fühlen. Auf der anderen Seite stehen 26% der KMU mit einer geringen technischen Massnahmenumsetzung.
Grösse entscheidend
Zu den am meisten umgesetzten technischen Security-Massnahmen gehören regelmässige Softwareupdates und der Einsatz einer Firewall. Aber auch hier zeigen sich wieder Unterschiede zwischen den einzelnen Betrieben. Firmen mit 20 bis 49 Mitarbeitenden treffen mehr Massnahmen für ihre eigene Cybersicherheit als solche mit 4 bis 9 beziehungsweise mit 10 bis 19 Mitarbeitenden.
Gegenüber den technischen stehen die organisatorischen Massnahmen. Gemäss Digitalswitzerland werden diese aber immer noch deutlich weniger umgesetzt als technische. Die am häufigsten umgesetzte organisatorische Massnahme ist ein Backup, gefolgt von vorsichtigem Verhalten beim Teilen von persönlichen Informationen sowie der Sensibilisierung von Mitarbeitenden auf Phishing-Versuche.
Die beiden am seltensten umgesetzten organisatorischen Massnahmen sind regelmässige Mitarbeiterschulung und Sicherheitsaudits.
Zur Studie
Die Befragung wurde vom Markt- und Sozialforschungsinstitut GFS-Zürich im Auftrag von Digitalswitzerland, der Versicherung die Mobiliar, der Fachhochschule Nordwestschweiz, der Schweizerischen Akademie der Technischen Wissenschaften und der Allianz Digitale Sicherheit Schweiz durchgeführt. Zwischen dem 18. April und dem 13. Juni 2023 wurden für die Studie insgesamt 502 Geschäftsführende von KMU mit 4 bis 49 Mitarbeitenden in der deutsch-, französisch- und italienischsprachigen Schweiz telefonisch befragt. Die Ergebnisse der
vergangenen Jahre sind online verfügbar.