«Swiss IT Magazine»: Welches ist das für Sie überraschendste Ergebnis der Studie KMU Cybersicherheit 2025?
Simon Seebeck: Das überraschendste Ergebnis der Studie ist der deutliche Rückgang des Vertrauens der KMU in ihre eigene Cybersicherheit. Nur noch 42 Prozent der Unternehmen halten ihren Schutz im Falle eines Angriffs für ausreichend, verglichen mit 55 Prozent im Vorjahr. Das zeigt, dass trotz einer konstant hohen Bedrohungslage die Resilienz und das Sicherheitsgefühl der KMU abnehmen.
Und welche Erkenntnis aus der Studie bereitet Ihnen am meisten Sorgen?Besonders besorgniserregend ist, dass Cybersicherheit bei 28 Prozent der KMU keine Priorität mehr hat, ein Anstieg von 18 Prozent im Vorjahr. Dies deutet darauf hin, dass viele Unternehmen die Dringlichkeit des Themas unterschätzen oder ihnen die Mittel und das Know-how fehlen, um angemessen zu reagieren. Sorgen bereiten mir aber auch die Antworten auf die Frage, nach welchen Kriterien KMU ihren IT-Dienstleister wählen. Der wichtigste Punkt hier ist Preis-Leistung, gefolgt vom Faktor Vertrauen und dem Service-Portfolio. Das Thema Sicherheit kommt bei den Nennungen erst im hinteren Mittelfeld. Dass IT-Security in der heutigen Situation, in der wir uns befinden, eine so geringe Relevanz hat, finde ich besorgniserregend – auch wenn die Gründe vielleicht legitim sind.
Könnte das nicht auch damit zusammenhängen, dass ich als KMU davon ausgehe, dass mein IT-Dienstleister das Thema IT-Security ohnehin auf der Agenda hat – ja haben muss?Sie sagen es – das KMU geht davon aus, stellt sich somit die Frage gar nicht. Dass ein IT-Dienstleister stark im IT-Security-Bereich ist, ist ein Trugschluss. Viele sind stark im Erbringen von Services oder im Bereitstellen von Arbeitsplätzen, oftmals aber keine Sicherheitsexperten, gerade kleinere Dienstleister im KMU-Umfeld.
Gemäss Studie waren 4 Prozent der befragten Unternehmen schon einmal von einem Cyberangriff betroffen. Was heisst das konkret? Die 4 Prozent beziehen sich auf Unternehmen, die in den letzten drei Jahren tatsächlich von einem Cyberangriff betroffen waren, der Folgen wie emotionale Belastung, finanziellen Schaden oder einen grossen Arbeitsaufwand zur Behebung nach sich zog. Es handelt sich also um erfolgreiche Angriffe, nicht nur um versuchte Angriffe wie eine SQL-Injection.
Zur Person
Simon Seebeck ist seit rund zwei Jahren Leiter des Kompetenzzentrums Cyber Risk bei der Schweizerische Mobiliar Versicherungsgesellschaft, welche an der Erstellung der Studie KMU Cybersicherheit 2025 mit beteiligt war. Die Mobiliar mit rund 6500 Mitarbeitenden und rund 5 Milliarden Franken Umsatz ist als Genossenschaft organisiert und gilt als ältester privater Versicherer der Schweiz. Cyberversicherungen werden seit 2018 angeboten – Simon Seebeck, gelernter Jurist, war hier vom Start weg dabei und leitete zuerst das Schaden-Team.
Wird durch die Verschiebung von On-Premises in die Cloud die IT-Sicherheit nicht generell erhöht und die Komplexität verringert? Die Nutzung von Cloud-Diensten kann die IT-Sicherheit erhöhen, da viele Anbieter über fortschrittliche Sicherheitsmassnahmen verfügen. Allerdings bleibt die Verantwortung für die korrekte Konfiguration und den Schutz der Zugänge beim Unternehmen selbst. Letztlich bleibt der Mensch die grösste Schwachstelle in allen IT-Systemen. Das Thema Datendiebstahl und das Thema Betrug ist mit einer Cloudlösung nicht vom Tisch.
Darf man als Kleinbetrieb davon ausgehen, weniger gefährdet zu sein, da sich die Kriminellen grössere und damit finanzkräftigere Opfer aussuchen?Das ist ein weiterer Trugschluss. Kleinere Unternehmen sind genauso gefährdet, da sie in der Regel weniger in Cybersicherheitsmassnahmen investieren und somit leichtere Ziele für Angreifer darstellen. Cyberkriminelle nutzen automatisierte Angriffe, um wenig geschützte Unternehmen mit geringem Aufwand schädigen zu können. Kleinere Unternehmen mit weniger als zehn Mitarbeitenden erweisen sich dabei oft als anfälliger, weil sie weniger Ressourcen für Cybersicherheit haben.
Wo sehen Sie den Hauptgrund dafür, dass dem Thema Cybersecurity durch KMU weniger Priorität eingeräumt wird?Da müssen wir spekulieren. Als Hauptgründe vermuten wir einen Mangel an Know-how, begrenzte finanzielle Mittel und die Fehleinschätzung, dass die Konsequenzen von Cyberangriffen für das eigene Unternehmen gering seien. Dies führt dazu, dass Cybersicherheit bei vielen KMU nicht als strategisches Thema behandelt wird. Sicherheit ist noch kein Asset, in welches die KMU investieren wollen. Sie erkennen noch keinen Mehrwert in guter Cybersicherheit, welche sie beispielsweise als Markvorteil verwenden können. Die wirtschaftliche Unsicherheit führt zusätzlich dazu, dass Unternehmen aktuell sehr kostensensibel sind.
Wie oft sind Mängel im Bereich Cybersecurity in KMU denn schlicht eine Frage fehlender Budgets?Sicherheit muss nicht zwingend hohe externe Kosten mit sich bringen und damit eine Frage des Budgets sein, viel eher eine Frage nach der Priorität. Wir haben darüber gesprochen, vielleicht macht es Sinn, der Sicherheit bei der Wahl des IT-Dienstleisters mehr Gewicht zu geben, oder das vorherrschende Prinzip von Komfort vor Sicherheit zu überdenken, denn Sicherheit bedeutet oft auch das Aufgeben eines gewissen Komforts, mit dem sich viele KMU schwer tun, wenn sie die Wahl haben. Weiter kommt hinzu, auch kostengünstige Sicherheitsmassnahmen stärken die Maturität. Eine ganz einfache Passwort-Richtlinie als Beispiel, aber auch der Einsatz von aktueller Software und ein aktuelles Backup, bringen bezüglich IT-Sicherheit bereits enorm viel, ohne übermässig viel Aufwand oder hohe Kosten zu generieren. Denn der Angreifer ist auf der Suche nach dem einfachsten Opfer, und wenn man als KMU nur gewisse grundlegenden Massnahmen ergreift, fällt man bereits für viele Angriffe aus dem gängigen Schema.
Beobachten Sie in KMU auch eine gewisse Müdigkeit oder Abgestumpftheit gegenüber dem Thema?
Ja, es gibt eine gewisse Müdigkeit, respektive die allgemeine Lage eines KMU ist heute sehr herausfordernd, und IT-Sicherheit ist dabei nur eine Herausforderung unter vielen. Nur 40 Prozent der Entscheidungsträgerinnen und Entscheidungsträger verspüren Anreize oder Erwartungen aus ihrem beruflichen Umfeld, mehr in IT-Sicherheit zu investieren. Dies zeigt, dass die Dringlichkeit des Themas bei vielen nicht ankommt.
Können Sie nachvollziehen, dass viele KMU beim Thema Cybersecurity mit den Entwicklungen schlicht auch nicht mehr Schritt halten können?
Absolut. Gerade kleinere KMU haben oft weder das Know-how noch die personellen Ressourcen, um mit den schnellen Entwicklungen in der Cybersicherheit Schritt zu halten. Hier sind externe IT-Dienstleister mit einem Verständnis für IT-Security und die erwähnten, einfachen, anpassbaren Sicherheitslösungen und -Massnahmen wie aktuelle Software, starke Passwörter, gutes Backup oder regelmässige Schulungen der Mitarbeitenden besonders wichtig. Auch organisatorische Massnahmen wie ein Notfallplan sind essenziell, um im Ernstfall schnell reagieren zu können.
Haben Sie Verständnis dafür, dass gerade KMU, die mit dem Tagesgeschäft beschäftigt sind, organisatorischen Massnahmen wie IT-Sicherheitskonzepten keine Priorität einräumen?
Ja, das ist nachvollziehbar. Viele KMU sind stark in ihr Tagesgeschäft eingebunden und können kaum Kapazität für das Thema Cybersicherheit einplanen. Dennoch ist es wichtig, dass sie zumindest grundlegende organisatorische Massnahmen ergreifen, um sich zu schützen. Dabei hilft es bereits, sich auf die beiden häufigsten Ereignisse vorzubereiten – einen Ransomware-Angriff und Betrug. Ich muss mir als KMU also überlegen, wen ich in diesen Fällen für Unterstützung kontaktiere, wie ich im Falle eines Ransomware-Angriffs nach innen und aussen kommuniziere, welche Kanäle ich für die Kommunikation nutze – grundlegende Dinge. Dabei hilft es schon, aktuelle Listen mit den entsprechenden Telefonnummern zu haben. Solche einfachen organisatorischen Massnahmen sind essenziell, um im Falle eines Angriffs schnell und effektiv reagieren zu können. Sie minimieren die Auswirkungen eines Angriffs und helfen, den Geschäftsbetrieb schneller wiederherzustellen. Und auch wenn man sich nicht auf alle Eventualitäten vorbereiten kann, hilft die Erarbeitung eines Notfallplans oder Sicherheitskonzepts bereits präventiv.
Gibt es Blaupausen von organisatorischen Massnahmen, die ein KMU mit wenig Aufwand auf die eigenen Bedürfnisse adaptieren kann?Ja, solche Vorlagen und Angebote gibt es, auch in Form von Schulungen. Dafür gibt es spezialisierte Anbieter, aber auch auf den Websites des Bundesamtes für Cybersicherheit oder bei einer Cyberversicherung wie der
Mobiliar finden sich Unterlagen und Ratgeber.
Welche Bedeutung messen sie Awareness-Schulungen bei? Awareness-Schulungen sind tatsächlich eine der effektivsten Massnahmen, um die grösste Schwachstelle – den Menschen – zu adressieren. Sie sollten jedoch nicht als Ersatz, sondern als Ergänzung zu technischen Massnahmen wie Firewalls gesehen werden. Cybersicherheit ist ein Zusammenspiel von Mensch und Technik.
Welche Bedeutung hat eine Cyberversicherung in einem ICT-Sicherheitskonzept eines KMU? Eine Cyberversicherung ist ein wichtiger Bestandteil eines umfassenden ICT-Sicherheitskonzepts. Sie bietet finanziellen Schutz und fachliche Unterstützung im Schadensfall und kann Unternehmen dabei unterstützen, ihre Resilienz zu stärken. Viele KMU, die bereits von einem Cyberangriff betroffen waren, hätten ohne Cyberversicherung kaum überlebt.
Kann eine Cyberversicherung ein KMU nicht auch in falscher Sicherheit wiegen lassen?Die Reputation per se kann man nicht versichern. Ein Cyberangriff auf eine Unternehmung bringt somit negative Effekte, die sich nicht bemessen lassen und man somit auch nicht versichern kann: Stress, Panik, Unsicherheiten bei Kunden und Mitarbeitenden, Zeitverlust – alle Projekte bleiben stehen, Zukunftsentwicklung steht still. Somit bleibt es für einen Geschäftsführer immer als Ziel, eine solche Situation zu vermeiden oder eine solches Ereignis souverän bewältigen zu können.
Wie schwierig ist es, KMU aus ICT-fremden Branchen für das Thema IT-Sicherheit zu sensibilisieren und solche Unternehmen zu erreichen?
Das ist tatsächlich eine Herausforderung. Gleichzeitig muss man auch diesen Unternehmen klar machen, dass es ohne IT-Security keine Zukunft gibt. Wer das Thema IT-Sicherheit ignoriert, wird eher früher als später mit einem Ereignis konfrontiert sein, das die Zukunft des Unternehmens gefährdet. Ein Mindestmass an IT-Sicherheit – die erwähnten grundlegenden Massnahmen wie regelmässige Software-Updates, sichere Passwörter, Firewalls und ein Notfallplan – ist ein Muss. Sensibilisierungskampagnen und die Zusammenarbeit mit einem IT-Dienstleister mit Sicherheits-Know-how können helfen, das Bewusstsein zu schärfen.
Die Studie KMU Cybersicherheit 2025 wurde nicht zuletzt dazu erstellt, um Handlungsempfehlungen abzuleiten. Können Sie die wichtigsten Handlungsempfehlungen für KMU an dieser Stelle aufzeigen?
Wichtig scheint mir, dass Cybersicherheit als strategisches Thema behandelt wird, dem sich auch die Geschäftsleitung annimmt. IT-Sicherheit an den IT-Dienstleister oder das IT-Team zu delegieren, reicht nicht. Das Thema Sensibilisierung und regelmässige Schulungen der Mitarbeitenden sehen wir als eine der Hauptmassnahme, um die IT-Sicherheit zu verbessern, da das Gros der erfolgreichen Angriffe heute via Social Engineering beginnen. Über Notfallpläne, Backups, Passwort-Policies und Authentifizierung sowie aktuelle Software haben wir bereits gesprochen. Ergänzen möchte ich noch das Thema Datensparsamkeit – sprich die Überlegung, welche Daten wirklich notwendig sind. Denn jeder Datensatz, der unnötigerweise auf einem Rechner liegt, kann auch abhanden kommen. Ebenfalls erwähnt habe ich die Zusammenarbeit mit einem IT-Dienstleister, der das Thema IT-Sicherheit auch adressiert. Das Cyberseal-Zertifikat kann hierbei Orientierung bieten, wichtig scheint mir aber vor allem, mit dem IT-Dienstleister über das Thema zu sprechen.
Cybersicherheit verliert bei Schweizer KMU an Bedeutung
Die Priorisierung der Cybersicherheits-Thematik in Schweizer KMU nimmt ab. Das zeigt die Studie KMU Cybersicherheit 2025, die nebst der
Mobiliar unter anderem von der Allianz Digitale Sicherheit Schweiz ADSS, Digitalswitzerland und der Fachhochschule Nordwestschweiz FHNW durchgeführt wurde. Laut der Studie waren 4 Prozent der Unternehmen in den vergangenen drei Jahren von einem Cyberangriff betroffen. 5 Prozent wurden erpresst, 4 Prozent haben durch betrügerische E-Mails Geld verloren. Insgesamt würden 88 Prozent der KMU Cyberkriminalität als ernstzunehmendes Problem sehen. Doch nur ein Viertel der Entscheidungsträger spürt Druck aus dem beruflichen Umfeld, in IT-Sicherheit zu investieren. Nur noch 42 Prozent der befragten Unternehmen halten ihren Schutz im Falle eines Cyberangriffs für ausreichend – im Vorjahr waren es noch 55 Prozent. Gleichzeitig fühlt sich fast jedes fünfte KMU schlecht geschützt. Dennoch verliert das Thema an Bedeutung: Bei 28 Prozent der KMU hat Cybersicherheit keine Priorität mehr, ein deutlicher Anstieg gegenüber 18 Prozent im Jahr 2024. Technische Schutzmassnahmen wie Firewalls oder Software-Updates sind bei über zwei Dritteln der Unternehmen im Einsatz. Doch nur 30 Prozent der KMU verfügen über Sicherheitskonzepte, Schulungen oder Notfallpläne. Regelmässige IT-Sicherheitsaudits werden von jedem fünften Unternehmen durchgeführt. Auch IT-Dienstleister beurteilen die Lage kritisch: Nur 39 Prozent halten ihre KMU-Kunden für gut geschützt, 14 Prozent sehen deutliche Mängel. Gleichzeitig erwarten 84 Prozent der IT-Dienstleister eine steigende Nachfrage nach Sicherheitslösungen. Die Investitionsbereitschaft der KMU allerdings sinkt – nur 40 Prozent planen in den nächsten Jahren zusätzliche Massnahmen. 2024 waren es noch 48 Prozent. Weitere Informationen zur Studie sind unter cyberstudie.ch verfügbar.
(mw)
