Mehr als ein Drittel der Schweizer KMU sind von Cyberattacken betroffen. Trotzdem fühlt sich die Mehrheit weiterhin gut bis sehr gut geschützt und nur vier Prozent der KMU-Chefs sehen es als grosse oder sehr grosse Gefahr, durch einen Cyberangriff in der Existenz gefährdet zu werden. Diese beunruhigenden Ergebnisse brachte die repräsentative Umfrage des Markt- und Sozialforschungsinstitut GFS-Zürich zu Tage.

Im September wurden hierzu im Auftrag des Schweizerischen Versicherungsverbands (SVV), der Schweizerische Vereinigung für Qualitäts- und Management-Systeme (SQS), dem Dachverband ICTswitzerland und der Information Security Society Switzerland (ISSS) in Zusammenarbeit mit dem Informatiksteuerungsorgan des Bundes (ISB) und der Expertenkommission des Bundesrates zur Datenbearbeitung und Datensicherheit 300 CEOs von Schweizer KMUs befragt. Auf dieser Basis kann laut GFS die Anzahl der von Erpressung betroffenen Firmen schweizweit auf 23'000 (4 Prozent) geschätzt werden. Ungefähr 209'000 Unternehmen (36 %) dürften daher von Malware wie Viren oder Trojanern betroffen gewesen sein, also mehr als ein Drittel.

Dies ist umso bedenklicher, als die überwiegende Mehrheit der Befragten, nämlich rund 62 Prozent, das kontinuierliche Funktionieren der IT als sehr wichtig für ihren Betrieb erachten.

Trotz der offensichtlichen Bedrohungslage, unterschätzen viele KMU das Cyberrisiko: Einen Tag lang ausser Gefecht gesetzt oder gar in der Existenz gefährdet zu werden, empfinden nur 10 Prozent bzw. 4 Prozent als grosse oder sehr grosse Gefahr.

Offensichtlich wiegt man sich in Sicherheit: Über die Hälfte der befragten Geschäftsführerinnen und Geschäftsführer (56 Prozent) fühlt sich gut bis sehr gut vor Cyberangriffen geschützt.

Schliesslich ergab die Studie, dass der Schutz vor Cyberangriffen ungenügend ist. Nur 60 Prozent der Befragten geben nämlich an, Grundschutzmassnahmen wie Malware-Schutz, Firewall, Patch-Management und Backup voll und ganz umgesetzt zu haben. Systeme zur Erkennung von Cyber-Vorfällen wurden nur von jedem fünften Unternehmen vollständig eingeführt. Prozesse zur Behandlung von Cyber-Vorfällen nur noch von 18 Prozent der befragten Unternehmen, Mitarbeiter-Schulungen über den sicheren Gebrauch von IT lediglich von 15 Prozent.

Die Untersuchungsergebnisse lassen bei den beteiligten Verbänden und Organisationen die Alarmglocken schrillen. Brigitta Gadient, die Präsidentin der Kommission zur Datenbearbeitung und Datensicherheit des Bundes, betont daher, die Resultate der Umfrage zeigten einmal mehr, dass es einen Handlungsbedarf gibt. «Die Kommission arbeitet deshalb an den Eckpfeilern einer IT-Security Best Practice für die KMU-Welt. In Zusammenarbeit mit allen Partnern, Verbänden, Unternehmen und IT-Serviceleistern soll diese IT-Security-Grundhygiene in die Wirtschaft hinausgetragen werden und dort eine breite Anwendung finden», ergänzt Gadient.

Die komplette Studie lässt sich hier herunterladen.