Schweizer Bevölkerung vernachlässigt den Cyberschutz

24’000 Schweizer KMU sind in den vergangenen drei Jahren Opfer einer Cyberattacke geworden, wie aus der Cyberstudie 2024 hervorgeht. Die Bevölkerung nimmt Cyberkriminalität als Bedrohung wahr – vernachlässigt jedoch Schutzmassnahmen.

(Symbolbild: Unsplash.com)

In den vergangenen drei Jahren ist jede zwanzigste Person in der Schweiz Opfer eines Cyberangriffs geworden. Dies zeigt die aktuelle Ausgabe der Cyberstudie 2024. Die Umfrage beleuchtet das digitale Sicherheitsbewusstsein von KMU, der Bevölkerung und IT-Dienstleistern in der Schweiz.

Die Studie wurde von Digitalswitzerland gemeinsam mit der Mobiliar, der Allianz Digitale Sicherheit Schweiz (ADSS), der Fachhochschule Nordwestschweiz (FHNW), der Schweizerischen Akademie der Technischen Wissenschaften (SATW) und der Swiss Internet Security Alliance (SISA) in Auftrag gegeben. Durchgeführt wurde sie von YouGov. Die Organisationen präsentierten in einer Videokonferenz die Resultate der Studie.

Die Risikoeinschätzung der KMU, IT-Dienstleister und Privatpersonen. (Bild: zVg.)

Trotz der wachsenden Bedrohung durch Cyberkriminalität ergreifen viele der Befragten nur unzureichende Schutzmassnahmen, wie die Studie zeigt. Vier Prozent der befragten KMU seien in den vergangenen drei Jahren Opfer einer Cyberattacke geworden. Hochgerechnet sind das rund 24’000 Unternehmen in der Schweiz. Bei 73 Prozent dieser Unternehmen entstand ein erheblicher finanzieller Schaden. Dennoch schätzt mehr als die Hälfte der KMU das Risiko einer gravierenden Attacke als gering ein. Bei den IT-Dienstleistern liegt dieser Anteil bei 68 Prozent der Befragten.

Fehlende Notfallpläne und Sicherheitskonzepte

Besorgniserregend ist, dass vier von zehn Unternehmen im Falle eines schwerwiegenden Cyberangriffs keinen Notfallplan haben. Zudem seien viele KMU zögerlich, wenn es um den Einsatz digitaler Hilfsmittel wie Passwortmanager oder Biometrie gehe. Auch bei der Implementierung von Sicherheitskonzepten und Personalschulungen gibt es Nachholbedarf.

Oftmals fehle den KMU die Vorstellung, mit welchen Fähigkeiten die Angreifer ausgestattet und mit welchen Motiven sie unterwegs seien, erklärte Simon Seebeck, Leiter Kompetenzzentrum Cyber Risk bei der Mobiliar, während der Pressekonferenz. «Es fehlt an der Vorstellung, was es bedeuten kann, sich in den Fängen von Cyberkriminellen wiederzufinden und welchen Schaden man erleiden kann.» Denn das Thema sei komplex und schwer fassbar.

Wie schützen sich Unternehmen dagegen? Gemäss Seebeck gibt es bei den organisatorischen Massnahmen weiterhin einen grösseren Handlungsbedarf als bei den technischen. Diese werden oftmals an einen IT-Dienstleister ausgelagert. Auf dieses Thema ging Andreas Kaelin, Mitgründer und Geschäftsführer der ADSS, ein.

«Weniger als die Hälfte der KMU kann bestätigen, dass ihre IT-Dienstleister cyberzertifiziert sind. Im Prinzip vertraut also mehr als die Hälfte der KMU ihren IT-Dienstleistern blind», sagte Kaelin. Anschliessend rührte er wieder die Werbetrommel für den Cyberseal. Dabei handelt es sich um ein Gütesiegel der ADSS, das Kompetenzen im Bereich Cybersecurity nachweist. Im Gegensatz beispielsweise zum ISO-27001-Zertifikat würde es sich aber auf technische und weniger auf organisatorische Aspekte fokussieren.

Die Vorteile des Cyberseals gemäss Kaelin. (Bild: zVg.)

Falsches Sicherheitsgefühl bei Privatpersonen

Privatpersonen schätzen ihre Cybersicherheit oft höher ein, als sie tatsächlich ist. Fünf Prozent der Befragten waren in den vergangenen drei Jahren von einem Cyberangriff betroffen. Die Mehrheit ist aber der Meinung, eher gut bis sehr gut Bescheid zu wissen, wie sie sich vor Cyberangriffen schützen können. Diese Einschätzung steht gemäss der Studie aber im Widerspruch zum tatsächlichen Verhalten der Befragten. Über ein Drittel von ihnen würde beispielsweise dasselbe Passwort für unterschiedliche Dienste verwenden und mit Updates warten.

«Wir riskieren alle täglich, Opfer eines Cyberangriffs zu werden», sagte Seebeck. «Das Risiko, durch einen Brand oder ein Wetterrisiko geschädigt zu werden, ist wesentlich tiefer.»  Trotz dieser markanten Bedrohungslage würden sich die Befragten ziemlich sicher fühlen. «Gemäss dem Mobiliar-Digital-Barometer fehlen jedoch rund 30 Prozent der Bevölkerung die digitalen Grundkompetenzen, womit schon die Grundlage für ein sicheres Verhalten im digitalen Raum fehlt», sagte Seebeck.

Sensibilisierung und Schulung seien entscheidend, um die Cybersicherheit zu verbessern. 62 Prozent der Befragten gaben zwar an, sich dafür zu interessieren, ihre Kompetenzen zu verbessern. «Fraglich bleibt, ob das Interesse auch aktiv umgesetzt wird», sagte Seebeck. An Informationsformaten würde es aber nicht fehlen. «Der Gap zwischen der Bedrohungslage und der Unwissenheit bezüglich Cyberbedrohungen ist problematisch.»

Beim Onlineshopping machen sich 72 Prozent der Befragten keine oder selten Sorgen. 13 Prozent der Befragten gaben an, tatsächlich in den vergangenen fünf Jahren erlebt zu haben, dass sie für etwas bezahlten, was sie nicht erhielten. Fast zwei Drittel der Befragten möchten besser darüber informiert sein, wie sie sich online schützen können. Es würde aber am Willen oder an den Fähigkeiten fehlen, aktiv zu werden, heisst es.

KI auf beiden Seiten

Im Rahmen der Pressekonferenz gingen die Unternehmen auch auf das Thema künstliche Intelligenz ein. Dieses findet auf beiden Seiten der Fronten Verwendung. «KI wird von Cyberkriminellen eingesetzt, um Angriffe zu skalieren. Das heisst, der Business Case der Angreifer geht auch bei Attacken auf kleine Ziele auf und sie verdienen Geld», sagte Seebeck.

Nicole Wettstein, Leiterin Tech Intelligence und Programm-Managerin Cybersecurity bei der SATW sowie Vizepräsidentin von ITsec4KMU, zeigte die andere Seite der KI. «Vor allem IT-Dienstleister, aber auch Teile der Bevölkerung haben KI bisher zumindest versuchsweise eingesetzt», sagte sie. Bei den IT-Dienstleistern liege der Anteil bei knapp 70 Prozent, in der Bevölkerung bei knapp 40 Prozent. KMU zeigen mit einem Anteil von 20 Prozent deutlich mehr Zurückhaltung.

KMU und IT-Dienstleister nutzen gemäss Wettstein KI vor allem für Textgenerierung, Informationsbeschaffung und Softwareentwicklung. KI sei aber auch für die Cybersicherheit ein wichtiges Werkzeug. «Sie hilft, Bedrohungen zu erkennen, zu verhindern und schnell darauf zu reagieren. Noch wird dieses Werkzeug aber erst von einer Minderheit der IT-Dienstleister und KMU genutzt.» Gerade mal 6 Prozent der KMU würden KI auf diese Weise einsetzen. «In der Nutzung von KI zur Verbesserung der Cybersicherheit besteht somit noch Verbesserungspotenzial.» (Coen Kaat/NetzKI Bot)

Die Nutzung von KI gemäss der Studie. (Bild: zVg.)

Die Studie wurde vom 4. Juli bis 5. August 2024 in der ganzen Schweiz durchgeführt. Die KMU-Stichprobe umfasst 526 Interviews, die Bevölkerungsstichprobe 1247 Interviews und die Stichprobe der IT-Dienstleister 401 Interviews.

Dieser Artikel erschien zuerst in der Netzwoche.

Weitere Artikel zum Thema