Rund ein Drittel der Schweizer KMU waren bereits einmal von Malware betroffen. Das entspricht rund 209’000 Unternehmen. 4% (23’000 KMU) waren schon einmal Opfer von Erpressungstrojanern. Dennoch schätzen lediglich 10% der KMU-CEOs Cyberattacken als grosse Gefahr und weniger als 5 Prozent als sehr grosse Gefahr ein. Diese Resultate stammen aus einer neuen, breit abgestützten Studie, die im Auftrag von verschiedenen bekannten Verbänden* (SVV, SQS, ICTswitzerland, ISSS, ISB etc.) durchgeführt wurde und als wissenschaftlich repräsentativ eingestuft werden kann.
Widersprüchliche Aussagen zur IT-Sicherheit im Unternehmen
56% der Geschäftsführer fühlen sich gut bis sehr gut vor Cyberangriffen geschützt. Dem widerspricht, dass der Schutz vor Cyberangriffen laut Studie ungenügend ist. So würden lediglich sechs von zehn Unternehmen angeben, Grundschutzmassnahmen wie Malware-Schutz, Firewall, Patch-Management und Backup voll und ganz umgesetzt zu haben. Erkennungssysteme für Cyber-Vorfälle wurden derweil nur von jedem fünften Unternehmen vollständig eingeführt. Prozesse zur Behandlung von Cybervorfällen haben bei 18 Prozent der befragten Unternehmen stattgefunden. Mitarbeiter-Schulungen rund um den sicheren Gebrauch von IT fanden nur bei 15% der Befragten statt. Optimistischer sieht es bei den zukünftigen Massnahmen aus: 45% plant, in den nächsten zwei bis drei Jahren den Schutz gegen Cyberangriffe zu verbessern.
Sicherheit ja, aber ohne administrative Mehrbelastung
Verpflichtende Mindeststandards werden allerdings nur von 29% befürwortet. Bezeichnenderweise ist die Zustimmung dafür höher bei Unternehmen, welche das Risiko eines Cyberangriffs hoch einschätzen (46%) oder schon einmal von einem Cyberangriff (39%) betroffen waren. 52 Prozent der Befragten gaben an, dass sie Cyberangriffe aus Angst vor Imageschäden nicht melden würden. 42% würde die Meldepflicht zudem als weitere unnötige Belastung für KMU empfinden. Gleichzeitig stimmen drei von fünf KMU der Aussage zu, dass eine Meldepflicht ein Warnsystem ermöglichen und somit die Sicherheit für alle erhöhen würde.
IT ist weiterhin sehr wichtiger Bestandteil
Die Bedeutung der IT beziehungsweise das kontinuierliche Funktionieren erklären 62 Prozent als sehr wichtig. Bei 55 Prozent der KMU ist der Geschäftsführer selbst für die IT-Sicherheit zuständig, bei 23 Prozent ein externer IT-Dienstleister.
Versicherung gegen Cyberrisken wenig verbreitet
12 Prozent der Befragten haben angegeben, gegen Cyberrisiken versichert zu sein. Allerdings sei dabei nicht klar, ob es sich bei dieser Versicherung um eine ausdrückliche Cyberversicherung handelt oder ob vielleicht einzelne Befragte von einer stillschweigenden Deckung im Rahmen einer gängigen Versicherung ausgehen. 52 Prozent der Befragten würden zudem eine Risikodeckung zumindest zu einem Teil durch den Bund bei einem gravierenden, schweizweiten Cybereingriff befürworten.