Cyberstudie 2024

IT-Sicherheit in Schweizer KMU, bei IT-Dienst­leistungs­unter­nehmen und in der Schweizer Be­völker­ung
Cybersecurity in der Schweiz
www.cyberstudie.ch
Download Cyberstudie 2024
Cyberstudie 2024
Download der deutschen Version
Étude sur la cybersécurité 2024
Téléchargez la version française
Cyber studio 2024
Scarica la versione italiana
2024 Cyber study
Download the English version
Cyberstudie 2024
Medienmitteilung Cyberstudie 2024
Jede:r Zwanzigste war in den letzten drei Jahren Opfer eines Cyberangriffs – Schutzmassnahmen werden oft vernachlässigt

Zürich, 13. November 2024 – Die Cyberstudie 2024 gibt als repräsentative Untersuchung Einblicke in das digitale Sicherheitsbewusstsein von KMU, der Bevölkerung und IT-Dienstleistern in der Schweiz. Obwohl fast alle Befragten Cyberkriminalität als ernsthafte Bedrohung wahrnehmen, ergreifen nur wenige proaktive Schutzmassnahmen – auch wenn in den letzten drei Jahren vier Prozent der KMU und der IT-Dienstleister sowie fünf Prozent der Bevölkerung Opfer eines gravierenden Cyberangriffs geworden sind.

In den letzten drei Jahren wurden vier Prozent der befragten KMU Opfer einer gravierenden Cyberattacke, was auf die Schweiz hochgerechnet rund 24'000 Unternehmen entspricht. Bei 73 Prozent der Betroffenen entstand dabei ein erheblicher finanzieller Schaden. Während 68% der befragten IT-Dienstleister das Risiko eines Cyberangriffs als gross oder sehr gross erachten, schätzen mehr als die Hälfte der befragten KMU das Risiko einer gravierenden Attacke als gering ein. Dieses falsche Sicherheitsgefühl könnte schwerwiegende Folgen für Firmen haben, wenn sie nicht rasch Massnahmen ergreifen. Besorgniserregend ist auch, dass vier von zehn Unternehmen im Falle eines schwerwiegenden Cyberangriffs keinen Notfallplan und keine Strategie zur Geschäftskontinuität haben. «Cybersicherheit muss Priorität haben. Durch Sensibilisierung und Schulungen können wir die digitale Kompetenz in KMU verbessern und die Risiken minimieren. Dazu hat die Mobiliar eine mobile Eventreihe ins Leben gerufen: ‘Cyber on Tour’ bietet Mitarbeitenden von KMU die Möglichkeit, Cybergefahren hautnah zu erleben und sich aktiv dagegen zu schützen», sagt Simon Seebeck, Leiter Kompetenzzentrum Cyber Risk bei die Mobiliar.

Hohes Potenzial durch verbesserte organisatorische und technische Massnahmen


Die meisten für die Studie befragten IT-Dienstleister empfehlen Schweizer KMU, das Thema Sicherheit ernster zu nehmen (43 %) und ihr Personal zu schulen (29 %). Bei der Wahl des richtigen IT-Dienstleisters gibt Andreas W. Kaelin, Mitgründer und Geschäftsführer von Allianz Digitale Sicherheit Schweiz ADSS, zu bedenken: «IT-Dienstleister haben einen unmittelbaren Einfluss auf die Cyber-Resilienz ihrer KMU-Kunden. Daher ist es wichtig, dass sie ihre technische und organisatorische Kompetenz nachweisen können, beispielsweise durch das Gütesiegel CyberSeal.» Die Studie zeigt auf, dass effiziente digitale Hilfsmittel, wie Passwortmanager, Biometrie oder Passkeys in KMU nur zurückhaltend genutzt werden. Mit organisatorischen Massnahmen wie der Implementierung von Sicherheitskonzepten oder der Durchführung von Sicherheitsaudits und Personalschulungen tun sich Schweizer KMU sogar noch schwerer.

Privatpersonen schätzen eigene Cybersicherheit als hoch ein


In den letzten drei Jahren waren fünf Prozent der befragten Privatpersonen von einem Cyberangriff betroffen. Und doch sind die Befragten mehrheitlich der Meinung, eher gut bis sehr gut Bescheid zu wissen, wie sie sich vor Cyberangriffen schützen können. Rund die Hälfte schätzt die Cybersicherheit des eigenen Haushalts als hoch ein. Diese Einschätzung steht im Widerspruch zum Verhalten der Mehrheit der Befragten: So verwendet über ein Drittel der Umfrageteilnehmenden mehrheitlich dasselbe Passwort für unterschiedliche Dienste, und Updates werden von vielen nicht zeitnah durchgeführt.

«Die Kluft zwischen Bewusstsein und Handlung ist besorgniserregend», unterstreicht Katja Dörlemann, Cybersicherheitsexpertin, iBarry. «Während viele die Bedeutung von Cybersicherheit erkennen, ergreifen nur wenige konkrete Massnahmen, um ihr digitales Leben zu schützen. Es ist entscheidend, dass sowohl Einzelpersonen als auch Unternehmen proaktive Schritte unternehmen, um die steigenden Bedrohungen zu mindern.»

Bevölkerung wünscht sich Informationen über den Schutz vor Cyberangriffen


Der Unterschied zwischen wahrgenommener und tatsächlicher Bedrohungslage zeigt sich auch im Bereich Onlineshopping. Knapp drei Viertel (72%) der Befragten machen sich gar keine oder selten Sorgen darüber, auf Onlineshops oder Buchungsplattformen betrogen zu werden, wobei 13 Prozent der Befragten tatsächlich in den letzten fünf Jahren schon erlebt haben, dass sie für etwas bezahlten, was sie nicht erhielten.

Die Studie zeigt zwar, dass fast zwei Drittel der Befragten besser darüber informiert sein möchten, wie sie sich online schützen können, es aber am Willen oder an den Fähigkeiten fehlt, aktiv zu werden. Kristof Hertig, Lead Cybersecurity & Infrastructure, digitalswitzerland, gibt zu bedenken: «Informationen zur Cybersicherheit existieren heute schon. Sie müssen der Bevölkerung aber besser vermittelt werden. Im schnelllebigen Alltag ist die Cybersicherheit für viele ein ferner Gedanke.»

Handlungsbedarf: Cybersicherheit als gemeinsame Verantwortung


Die Cyberstudie 2024 unterstreicht die Dringlichkeit der Umsetzung zusätzlicher Vorkehrungen gegen Cyberkriminalität – sowohl in Privathaushalten als auch in Unternehmen. «Insbesondere kleinere KMU und Privatpersonen benötigen Hilfestellungen, um ihre Resilienz zu stärken», meint Nicole Wettstein, Schweizerische Akademie der Technischen Wissenschaften SATW. «Die Zusammenarbeit zwischen Unternehmen, IT-Fachleuten und politischen Entscheidungsträgern ist der Schlüssel zur Förderung eines sicheren digitalen Alltags in der Schweiz.»

Chartbericht Cyberstudie 2024
Der Chartbericht in deutsch kann hier bezogen werden.
Erkenntnisse zu KMU (Kleine und mittelgrosse Unternehmen)
Das Angriffsrisiko im Cyberraum wird von KMU angesichts der hohen Betroffenheit eher unterschätzt: Die IT-Dienstleistungsunternehmen (siehe unten) schätzen das Risiko von Cyberangriffen deutlich höher ein und warnen davor, dass das Thema zu wenig ernst genommen wird. In den letzten drei Jahren waren 4% der befragten Unternehmen betroffen (bei Unternehmen ab 4 Mitarbeitenden liegt der Anteil bei 7% bis 10%) und in fast drei Viertel der Angriffe mit gravierenden Konsequenzen entstand ein finanzieller Schaden. Zudem kam es in 6% der Erpressungsfälle zu Lösegeldzahlungen. Ausgehend von diesen Ergebnissen drängt sich der Schluss auf, dass der finanzielle Verlust und die anfallende Arbeit zur Bereinigung der Schäden unterschätzt wird.

Unternehmen mit 1-3 bzw. 4-9 Mitarbeitenden sind grundsätzlich weniger in das Thema Cyberkriminalität involviert: Sie haben seltener eine interne oder externe zuständige Person für Cyberkriminalität, geben Cybersicherheit eine niedrigere Priorität und setzen weniger technische und organisatorische Massnahmen um. Sie schätzen auch das Risiko eines Cyberangriffes signifikant tiefer ein als Unternehmen mit mehr als 10 Mitarbeitenden. Trotzdem waren in den letzten 3 Jahren auch die ganz kleinen Unternehmen von Cyberangriffen mit Folgeschäden betroffen (1-3 Mitarbeitende: 3%, 4–9 Mitarbeitende: 9%) und sie sollten sich aufgrund ihrer Grösse nicht in falscher Sicherheit wiegen.

Je besser sich die Unternehmen zum Thema Cyberrisk informiert fühlen, desto eine höhere Priorität geben sie dem Thema und desto höher schätzen sie das Risiko eines Angriffs ein. Zudem liegen sowohl die technische als auch die organisatorische Massnahmenumsetzung bei den eher und sehr gut Informierten signifikant höher. Um die Cybersicherheit zu erhöhen, sollte also über das Risiko und die Schutzmassnahmen informiert werden. Auch die befragten IT-Dienstleistungsunternehmen raten in erster Linie dazu, das Thema ernster zu nehmen und das Personal zu schulen.

Erkenntnisse zu IT-Dienstleistungsunternehmen
IT-Dienstleistungsunternehmen sind besonders in das Thema Cybersicherheit involviert: Sie schätzen ihren Informationsgrad auf der Fünferskala signifikant höher ein (4.2) als KMU (3.4) (und die Bevölkerung (3.3)) und sie fühlen sich auch entsprechend sicherer (4.0 vs. KMU 3.6 und die Bevölkerung 3.5). Sie schätzen Cyberkriminalität als ernstzunehmenderes Problem ein (4.8) als KMU (4.6) (und die Bevölkerung (4.7)) und sie sind am häufigsten der Meinung, dass Massnahmen gegen Cyberattacken wichtig sind (4.7).

Die Sicherheit ihrer Kunden (3.4) schätzen die IT-Dienstleistungsunternehmen deutlich tiefer ein als die eigene Sicherheit (4.0) und auch tiefer, als sich die KMU selber einschätzen (3.6). Fast acht von zehn der befragten IT-Dienstleistern geben dem Thema Cybersicherheit in ihrer Firma eine eher bis sehr hohe Priorität (Mittelwert 4.3). Bei ihren Kunden, so schätzen sie, liegt diese Priorität mit einem Mittelwert von 3.5 auf der Fünferskala deutlich tiefer, was auch genau dem Wert entspricht, den die befragten KMU im ersten Teil der Studie angeben.

Fast 9 von 10 befragten IT-Dienstleistungsunternehmen erwarten in naher Zukunft eine höhere Nachfrage nach Cybersicherheit. Sie erwarten sowohl bei technischen als auch bei organisatorischen Massnahmen eine Zunahme (69%), 14% erwarten die Zunahme lediglich bei technischen Massnahmen und 3% lediglich bei organisatorischen Massnahmen (von den befragten KMU hingegen plant nur knapp die Hälfte (48%) eine Erhöhung der Sicherheitsmassnahmen in den nächsten 1 bis 3 Jahren). Um der Nachfrage nachzukommen, sehen die IT-Dienstleistungsunternehmen Herausforderungen in Personalschulungen (25%) bzw. dem Mangel an Fachpersonal (21%). Sie gehen zudem davon aus, dass die Massnahmen vielen zu teuer sein werden (20%). Wenn man sie fragt, was ihre Kunden bezüglich Cybersicherheit besser machen sollten, empfehlen die meisten von ihnen, die Sicherheit ernster zu nehmen (43%) und ihr Personal zu schulen (29%).

Erkenntnisse zur Schweizer Bevölkerung (Internet-Nutzende)
Je mehr Geräte eine Person hat, die mit dem Internet verbunden sind, desto grösser wird das Risiko von Angriffen über das Internet. Dazu zählen nicht nur Smartphones und Computer, die heutzutage in fast jedem Haushalt anzutreffen sind, sondern auch Fernseher, Autos oder Haushaltgeräte. Durchschnittlich verfügen die Befragten über 6.7 mit dem Internet verbundene Geräte, wobei Männer und jüngere Befragte signifikant mehr Geräte haben als Frauen und ältere Befragte.

Die Befragten sind mehrheitlich der Meinung, eher bis sehr gut Bescheid zu wissen, wie sie sich vor Cyberangriffen schützen können. Auf der Fünferskala schätzen sie ihren Informationsgrad durchschnittlich auf 3.3. Fast zwei Drittel (62%) wären gerne besser informiert, besonders diejenigen, die ihren Informationsgrad tief einschätzen. Genau wie bei den befragten KMU gilt: Wer sich gut informiert fühlt, fühlt sich sicherer und verhält sich auch sicherer: Gut Informierte führen die Updates auf ihren Geräten schneller durch, verwenden mehr verschiedene Passwörter, führen eher regelmässige Backups durch und setzen mehr technische Massnahmen um.

Fast die Hälfte der Befragten beurteilt die Cybersicherheit des eigenen Haushalts als sicher (der Mittelwert liegt bei 3.5 auf der Fünferskala). Auffallend ist eine hohe Unsicherheit bei den 30- bis 39-Jährigen (3.3), insbesondere im Vergleich zu den besonders sicheren über 65-jährigen (3.6). Da die über 65-jährigen am wenigsten Online-Geräte zu Hause haben, könnten sie ihr Sicherheitsgefühl daraus schöpfen.

Etwas mehr als ein Viertel (28%) der Befragten hat schon einmal eine Schulung zum Thema Cybersicherheit besucht. Dabei handelt es sich eher um Männer (35%) und 40- bis 64-jährige (35%). In rund drei Vierteln der Fälle (76%) wurden diese Schulungen vom Arbeitgeber initiiert. Die Wirkung solcher Schulungen sollte nicht unterschätzt werden: Befragte, die eine Schulung besuchten, fühlen sich sehr viel besser informiert (3.8) als ungeschulte Befragte (3.1); und wie oben beschrieben, hängt ein höherer Informationsgrad auch mit sichererem Verhalten zusammen. Arbeitgebende schützen mit Schulungen (wie sie auch von IT-Dienstleistungsunternehmen empfohlen werden) also nicht nur ihr Unternehmen vor Cyberangriffen, sondern haben damit höchstwahrscheinlich auch einen positiven Einfluss auf die Cybersicherheit der Bevölkerung.

Das Ziel der Projektgruppe ist, mit der Cyberstudie einen Beitrag zum Verständnis und zur Stärkung von Schweizer KMU, von IT-Dienstleistungsunternehmen und Internet-Nutzenden (Privatpersonen) im Umfeld von Digitalisierung, Risiken der Cyberkriminalität sowie Massnahmen zur Erhöhung der Cybersicherheit zu leisten.
Forschungsmethodik
Forschungsmethodik
Die Feldforschung erfolgte im Zeitraum vom 4. Juli bis 5. August 2024.

Die KMU-Stichprobe umfasst 526 Interviews (via Online-Fragebogen mit Einladung durch Briefversand und YouGov Schweiz Internet-Panel) mit Inhaber:innen und Geschäftsleiter:innen aus Unternehmen mit 1–3 (n=165), 4–9 (n=174), 10–19 (n=96) und 20–49 (n=91) Mitarbeitenden aus der deutschen (n=363), französischen (n=116) und italienischen (n=47) Sprachregion der Schweiz sowie aus allen Branchen. Die Stichprobe wurde disproportional erhoben und anschliessend auf ihre effektive Verteilung gewichtet. Davon bezeichnen sich 34 (6%) als digitale Pioniere, welche digitale Technologien früh einsetzen, 263 (50%) als Early Followers, welche digitale Technologien kurz nach der Markteinführung einsetzen und 196 als Late Followers (37%), welche digitale Technologien erst einführen, wenn sie von anderen erfolgreich genutzt werden.

Die Stichprobe der IT-Dienstleistungsunternehmen umfasst 401 Interviews (via Online-Fragebogen mit Einladung durch Briefversand) mit Inhaber:innen, Geschäftsleiter:innen sowie technischen Mitarbeitenden aus Unternehmen mit 1–9 (n=288) und 10+ (n=113) Mitarbeitenden aus der deutschen (n=320), französischen (n=58) und italienischen (n=23) Sprachregion der Schweiz. Davon bezeichnen sich 121 (30%) als digitale Pioniere, 205 (51%) als Early Followers und 43 als Late Followers (11%).

Die Stichprobe der Schweizer Bevölkerung (Internet-Nutzende) umfasst 1'247 Interviews (via YouGov Schweiz Internet-Panel) aus allen Alters- und Geschlechtsgruppen sowie Sprachregionen in Proportion zur Gesamtbevölkerung, wobei die Stichprobe aus dem Tessin überproportional erhoben und danach proportional gewichtet wurde. Davon bezeichnen sich 100 (8%) als digitale Pioniere, 557 (45%) als Early Followers und 549 als Late Followers (44%). Dort, wo eine Auswertung nicht 100 % ergibt, wurde die Antwort «weiss nicht» oder keine Angabe gegeben. Die Mittelwerte wurden auf der Skala von 1 (z.B. «gar nicht») bis 5 («sehr viel») errechnet, wobei für die Auswertung die Werte 1+2 als (sehr) niedrig, 3 als neutral und 4+5 als (sehr) hoch genutzt wurden. In der 10er-Skala (von 0–100%) wurden für die Auswertung die Werte 1–3 als (sehr) niedrig, 4–7 als neutral und 8–10 als (sehr) hoch genutzt.

Studien 2020–2023:
Homeoffice und Cybersicherheit in Schweizer KMU
Cyberstudie 2023
Weitere Informationen
Studie Sicherheit im Internet und beim Onlineshopping 2023
Weitere Informationen
Cyberstudie 2022
Weitere Informationen
Cyberstudie 2021
Weitere Informationen
Cyberstudie 2020
Weitere Informationen
Cyberstudie 2024
IT-Sicherheit in Schweizer KMU, bei IT-Dienst­leistungs­unter­nehmen und in der Schweizer Bevölkerung
Quelle: Marc K. Peter, Katja Dörlemann, Kristof Hertig, Andreas W. Kaelin, Karin Mändli Lerch, Patric Vifian, Nicole Wettstein (2024): Cyberstudie 2024: IT-Sicherheit in Schweizer KMU, bei IT-Dienstleistungsunternehmen und in der Schweizer Bevölkerung. digitalswitzerland, Die Mobiliar, Swiss Internet Security Alliance SISA, Allianz Digitale Sicherheit Schweiz ADSS, Schweizerische Akademie der Technischen Wissenschaften SATW, Hochschule für Wirtschaft der Fachhochschule Nordwestschweiz FHNW, YouGov Schweiz (www.cyberstudie.ch).