Obwohl mehr als ein Drittel der Schweizer KMU bereits einmal von Cyberangriffen betroffen war, schätzen nur 4 Prozent der KMU-CEOs eine grosse Gefahr für ihre Existenz durch Cyberattacken. Dies geht aus einer neuen, umfassenden und breit abgestützten Studie hervor, die im Auftrag des Schweizerischen Versicherungsverbands (SVV), der Schweizerische Vereinigung für Qualitäts- und Management-Systeme (SQS), dem Dachverband ICTswitzerland und der Information Security Society Switzerland (ISSS) in Zusammenarbeit mit dem Informatiksteuerungsorgan des Bundes (ISB) und der Expertenkommission des Bundesrates zur Datenbearbeitung und Datensicherheit durchgeführt wurde. Für die Studie wurden 300 KMU-CEOs nach wissenschaftlichen Methoden befragt, so dass die Resultate auf die Gesamtheit der Schweizer KMU übertragen werden können.

Zu diesen Resultaten: Hochgerechnet 209'000 Schweizer KMU sollen bereits einmal von Viren und Trojanern betroffen gewesen sein, was 36 Prozent der Unternehmen entspricht. 4 Prozent beziehungsweise 23'000 KMU waren bereits einmal mit Erpressung im Zusammenhang mit Cyberattacken konfrontiert. Trotz dieser Zahlen werde das Risiko von Cyberattacken in Schweizer KMU stark unterschätzt. Das Risiko, einen Tag lang ausser Gefecht gesetzt oder gar in der Existenz gefährdet zu werden, empfinden nur 10 Prozent als grosse und nur 4 Prozent als sehr grosse Gefahr. Derweil fühlen sich 56 Prozent der Geschäftsführer gut bis sehr gut vor Cyberangriffen geschützt. Dem wiederspricht, dass der Schutz vor Cyberangriffen laut Studie ungenügend ist. So würden lediglich sechs von zehn Unternehmen angeben, Grundschutzmassnahmen wie Malware-Schutz, Firewall, Patch-Management und Backup voll und ganz umgesetzt zu haben. Systeme zur Erkennung von Cyber-Vorfällen wurden derweil nur von jedem fünften Unternehmen vollständig eingeführt. Prozesse zur Behandlung von Cybervorfällen haben bei 18 Prozent der befragten Unternehmen, und Mitarbeiter-Schulungen rund um den sicheren Gebrauch von IT lediglich haben bei gerade einmal 15 Prozent stattgefunden. Immerhin: 45 Prozent der Befragten plant, in den nächsten zwei bis drei Jahren den Schutz gegen Cyberangriffe zu verbessern.

Verpflichtende Mindeststandards werden allerdings nur von etwas mehr als einem Viertel der Befragten (29%) befürwortet. Bezeichnenderweise ist die Zustimmung dafür höher bei Unternehmen, welche das Risiko eines Cyberangriffs hoch einschätzen (46%) oder schon einmal von einem Cyberangriff (39%) betroffen waren. Zur Meldepflicht haben die Studienverfasser herausgefunden, dass 52 Prozent der Befragten ihre Cyberangriffe aus Angst vor Reputationsschäden nicht melden möchten. 42 Prozent würden die Meldepflicht zudem als weitere unnötige Belastung für KMU empfinden. Gleichzeitig stimmen drei von fünf KMU der Aussage zu, dass eine Meldepflicht ein Warnsystem ermöglichen und somit die Sicherheit für alle erhöhen würde.

Gefragt zur Bedeutung der IT beziehungsweise dem kontinuierlichen Funktionieren erklären 62 Prozent, dass dies sehr wichtig ist. Bei 55 Prozent der KMU ist der Geschäftsführer selbst für die IT-Sicherheit zuständig, bei 23 Prozent ein externer IT-Dienstleister.

Abgefragt wurde schliesslich auch das Thema Versicherung gegen Cyberrisken. 12 Prozent der Befragten haben angegeben, gegen Cyberrisiken versichert zu sein. Allerdings sei dabei nicht klar, ob es sich bei dieser Versicherung um eine ausdrückliche Cyberversicherung handelt oder ob vielleicht einzelne Befragte von einer stillschweigenden Deckung im Rahmen einer gängigen Versicherung ausgehen. 52 Prozent der Befragten würden zudem eine Risikodeckung zumindest zu einem Teil durch den Bund bei einem gravierenden, schweizweiten Cybereingriff befürworten.

Übrigens: Dem Thema Cyberversicherungen hat "Swiss IT Magazine" jüngst einen ganzen Schwerpunkt gewidmet. Einen Artikel zur Einschätzung der Risiken in Schweizer Unternehmen findet man hier, und einen Beitrag zum Nutzen von Cyberversicherungen hier. Den gesamten Schwerpunkt findet man in der Print-Ausgabe 04/2017 (hier kostenlos ein Print-Probeabo bestellen).

Die neue Studie zum Thema Cybersicherheit in Schweizer KMU kann bei ICTswitzerland als PDF heruntergeladen werden. (mw)