Mehr als ein Drittel der Schweizer KMU sind von Cyberattacken betroffen. Trotzdem fühlt sich die Mehrheit weiterhin gut bis sehr gut geschützt und nur vier Prozent der KMU CEOs sehen es als grosse oder sehr grosse Gefahr, durch einen Cyberangriff in der Existenz gefährdet zu werden. Diese beunruhigenden Ergebnisse brachte die repräsentative Umfrage des Markt- und Sozialforschungsinstitut gfs-zürich zu Tage. Die Wirtschaftsverbände und der Staat sind gefordert, dieser Sorglosigkeit gegenüber Cyberangriffen entgegenzuwirken.
Im vergangenen September befragte das Markt- und Sozialforschungsinstitut gfs-zürich in einer repräsentativen Umfrage 300 CEOs von Schweizer KMU zum Thema Cyberrisiken. Die nach wissenschaftlichen Methoden erfolgte Auswahl der KMU erlaubt es, die Resultate auf die Gesamtheit der Schweizer KMU (2015: 580‘000) zu übertragen. Die Befragung wurde im Auftrag des Schweizerischen Versicherungsverbands (SVV), der Schweizerische Vereinigung für Qualitäts- und Management-Systeme (SQS), dem Dachverband ICTswitzerland und der Information Security Society Switzerland (ISSS) in Zusammenarbeit mit dem Informatiksteuerungsorgan des Bundes (ISB) und der Expertenkommission des Bundesrates zur Datenbearbeitung und Datensicherheit durchgeführt.
Die wichtigsten Ergebnisse im Überblick
- Die IT muss kontinuierlich funktionieren: Rund 62% der Befragten bewerten das kontinuierliche Funktionieren der IT als sehr wichtig für ihren Betrieb.
- Mehr als ein Drittel der KMU sind von Cyberattacken betroffen: Auf Basis der 300 befragten KMU kann die Anzahl der von Erpressung betroffenen Firmen schweizweit auf 23‘000 (4%) geschätzt werden. Ungefähr 209‘000 Unternehmen (36%) dürften von Malware wie Viren oder Trojanern betroffen gewesen sein.
- Das Risiko von Cyberangriffen wird stark unterschätzt: Das Risiko, Opfer eines Cyberangriffs zu werden, wird als tief eingeschätzt. Einen Tag lang ausser Gefecht gesetzt oder gar in der Existenz gefährdet zu werden, empfinden nur 10% bzw. 4% als grosse oder sehr grosse Gefahr. Über die Hälfte der befragten Geschäftsführer/-innen (56%) fühlt sich gut bis sehr gut vor Cyberangriffen geschützt.
- Der Schutz vor Cyberangriffen ist ungenügend: Nur 60% der Befragten geben an, Grundschutzmassnahmen wie Malware-Schutz, Firewall, Patch-Management und Backup voll und ganz umgesetzt zu haben. Systeme zur Erkennung von Cyber-Vorfällen wurden nur von jedem fünften Unternehmen vollständig eingeführt. Prozesse zur Behandlung von Cyber-Vorfällen nur noch von 18% der befragten Unternehmen, Mitarbeiter-Schulungen über den sicheren Gebrauch von IT lediglich von 15%.
Simon Dejung vom Schweizer Versicherungsverband zeigt sich besorgt: «Mehr als 98% der Schweizer Unternehmen sind KMU und bilden das Rückgrat der Schweizer Wirtschaft. Es ist somit von strategischer Bedeutung für die Schweiz, dass sich diese Unternehmen besser vor Cyberrisiken schützen.»
Brigitta M. Gadient, die Präsidentin der Kommission zur Datenbearbeitung und Datensicherheit des Bundes, hält fest: «Eine erfolgreiche digitale Transformation muss auf Sicherheit und Vertrauen basieren. Die Resultate der Umfrage zeigen einmal mehr, dass es einen Handlungsbedarf gibt. Die Kommission arbeitet deshalb an den Eckpfeilern einer IT-Security Best Practice für die KMU-Welt. In Zusammenarbeit mit allen Partnern, Verbänden, Unternehmen und IT-Serviceleistern soll diese IT-Security-Grundhygiene in die Wirtschaft hinausgetragen werden und dort eine breite Anwendung finden.»
Andreas Kaelin, Geschäftsführer des Dachverbands ICTswitzerland, fügt hinzu: «Die zunehmende Vernetzung von Unternehmensinfrastrukturen, -prozessen und -daten mit dem Internet ist eine Voraussetzung, um die Vorteile der Digitalisierung nutzen zu können. Dies erhöht die Risiken aus dem Cyberspace und bedingt, dass sich die KMU mit Cyberrisiken kompetent auseinandersetzen, geeignete Abwehrdispositive betreiben sowie Notfallpläne erarbeiten und einüben.»
Umberto Annino, Präsident der Information Security Society Switzerland, gibt zu bedenken: «Es ist wichtig, dass die Cyberrisiken in koordinierter und gemeinschaftlicher Weise angegangen werden – punktuelle Vorstösse lösen die komplexen, interdisziplinären Herausforderungen der Cyber-Security nicht. Eine Zusammenarbeit der verschiedenen Akteure auf nationaler und internationaler Ebene ist unabdingbar.»
Lucius Dürr von der Schweizerische Vereinigung für Qualitäts- und Management-Systeme ergänzt: «Die Anwendung von harmonisierten nationalen oder internationalen Standards ist eine wichtige Grundlage für eine systematische und nachvollziehbare Verbesserung der Informationssicherheit. Zertifizierungen im Sinne von Begutachtungen und Überprüfungen durch unabhängige Zertifizierungsstellen fördern zudem die Glaubwürdigkeit.»
Peter Fischer, der Delegierte für die Informatiksteuerung des Bundes, fasst zusammen: «Cyber-Sicherheit ist für die Schweiz ein Schlüsselthema und ein Standortfaktor. Deshalb hat, unter der Leitung des ISB, eine Gruppe von rund 100 Vertretern von Wirtschaft, Verwaltung und Wissenschaft die zweite Nationale Cyber-Strategie für die Jahre 2018-2022 entwickelt. Durch die Umsetzung der Strategie sollen die Handlungsfähigkeit und Integrität der Bevölkerung, der Wirtschaft und des Staates gegenüber Cyber-Bedrohungen gewährleistet werden. Sie führt so zu einem angemessenen Schutz der Schweiz gegenüber Cyber-Risiken und zu einer Stärkung der Resilienz.»