Die grosse Cyber-Lücke bei KMU

Während 2023 noch fast jedes zehnte Unternehmen in der Schweiz optimal vor modernen Sicherheitsrisiken geschützt war, sind es heute nicht mal mehr 2 Prozent.

 

Das Finding zeigt der grosse Cisco Cybersecurity Readiness Index 2024. Der Index ist weltweit eine der umfassendsten Untersuchungen zum Cyberreifegrad der Privatwirtschaft. Ein zentrales Ergebnis: Fasst man die beiden höchsten Kategorien zusammen, belegt die Schweiz weiterhin Platz drei in Europa hinter Grossbritannien und Deutschland. Stärken zeigen Schweizer Firmen bei KI-basierter Sicherheit, Schwächen in den Bereichen Identity und Cloud.

 

In den letzten 12 Monaten hat sich die Cyberlandschaft deutlich verändert, insbesondere durch Künstliche Intelligenz (KI). Sie kommt nun sowohl bei Cyberangriffen als auch bei Schutzlösungen zum Einsatz. Daher müssen Unternehmen ihre Sicherheitsstrategien und -architekturen anpassen. Der Cisco Cybersecurity Readiness Index 2024 hat ermittelt, wie weit Unternehmen diesen neuen Herausforderungen gewachsen sind. Dazu wurden auf Basis von weltweit über 8‘000 Expertenbefragungen Unternehmen in vier Reifegrade eingeteilt: Anfänger (Beginner), Gestalter (Formative), Fortgeschrittene (Progressive) und Reife (Mature).

 

Die neue Studie legt nahe, dass Schweizer Unternehmen ihre eigenen Fähigkeiten, sich vor aktuellen Bedrohungen zu schützen, überschätzen oder die Cyberbedrohungslage unterschätzen. Die Ergebnisse zeigen, dass lediglich 1,95 Prozent der Schweizer Unternehmen über eine ausreichend reife Sicherheitsstruktur verfügen, um bestmöglich auf aktuelle Gefahren vorbereitet zu sein. Vor einem Jahr waren es noch 9 Prozent. Clustert man die beiden höchsten Reifegrade «Mature» und «Progressive», belegen Schweizer Unternehmen mit 24 Prozent im europäischen Vergleich den dritten Platz hinter Grossbritannien und Deutschland. Dennoch sind 81 Prozent der Unternehmen in der Schweiz moderat bis sehr zuversichtlich, dass sie mit ihrer derzeitigen Infrastruktur einen Cyberangriff abwehren können.

 

Es überrascht nicht, dass die Bereitschaft auch mit der Grösse einer Organisation korreliert, da mehr Budget und Personal für die Cybersicherheit eingesetzt werden können. Unternehmen mit mehr als 1‘000 Mitarbeitenden weisen einen höheren Reifegrad auf, mittlere Unternehmen (250-1‘000 Mitarbeitende) liegen etwas dahinter. Dies gilt weltweit und branchenübergreifend. Die Studie ergab, dass die am besten vorbereiteten Branchen die Finanzdienstleistungen, Technologie sowie die verarbeitende Industrie sind – alle mit 30 % oder mehr in den oberen Kategorien «Mature» und «Progressive». Aufholbedarf hat zum Beispiel noch das Bildungswesen.

 

 

Wie wichtig die Sicherung der IT-Systeme ist, zeigen auch die Zahlen des Bundesamtes für Cybersicherheit (BACS). Die Meldungen zu Cybervorfällen nehmen tendenziell zu. «Es besteht eine dringende Notwendigkeit für Unternehmen, ihre Sicherheitsstrategien zu überdenken und sich auf die Realität der heutigen Cyberbedrohungen einzustellen», sagt Roman Stefanov, Head of Cyber Security Sales bei Cisco Schweiz. Laut der Studie haben 45 Prozent der befragten Schweizer Unternehmen in den letzten 12 Monaten eine Cyberattacke verzeichnet.

 

Die Schweiz bei KI auf gutem Weg

 

«Ein ermutigendes Zeichen für die Schweiz ist der hohe Einsatz von KI für die Cyberabwehr», erklärt Roman Stefanov. «Schon knapp 40 Prozent nutzen darauf basierende Systeme mit dem höchsten oder zweithöchsten Reifegrad.» Der Schutz von Netzwerken und Maschinen ist mit 32 und 26 Prozent zufriedenstellend. Grosser Nachholbedarf besteht jedoch in den Bereichen Identity und Cloud. Hier haben nur 18 beziehungsweise 14 Prozent der Schweizer Firmen ein ausreichendes Schutzniveau.

 

 

Die Absicherung von Unternehmensidentitäten nennen Schweizer Firmen dann auch als grösste Herausforderung (39%) noch vor dem Schutz des Netzwerks (30%). «Mehr als ein Drittel der Schweizer Unternehmen hat im letzten Jahr einen Cybersecurity-Vorfall mit gestohlenen digitalen Identitäten bemerkt», erläutert Roman Stefanov. «In dieser Bedrohungslage sollten wir nicht mehr fragen, ob ein Benutzer Zugriff haben kann, sondern ob er sollte.»

 

Laut der Studie glauben 66 Prozent der befragten Unternehmen, dass ein Cyberangriff in den nächsten 12 bis 24 Monaten ihr Geschäft beeinträchtigen wird. Trotz dieser Bedenken geben 51 Prozent der Unternehmen an, dass sie mehr als 10 offene Stellen im Bereich Cybersicherheit haben, was auf einen akuten Fachkräftemangel hinweist. Beachtlich sind die Kosten von Vorfällen: 45 Prozent der Befragten gaben an, dass vergangene Vorfälle mehr als 500‘000 Dollar gekostet haben.

 

Die gute Nachricht lautet, dass Unternehmen ihre Sicherheitsbudgets erhöht haben und auch noch weiter erhöhen wollen. Denn sie erkennen einen Anstieg der Risiken durch Digitalisierung, vielfältigere Angriffsarten und grössere finanzielle Auswirkungen: 86 Prozent der Befragten gaben an, dass sie das Budget in den letzten 1-2 Jahren erhöht haben, und fast 80 Prozent wollen ihr Budget künftig um mehr als 10 Prozent steigern. 92 Prozent planen ihre IT-Infrastruktur upzugraden oder sogar zu restrukturieren, um den kommenden Herausforderungen in der Cybersicherheit entgegenzuwirken.

 

---

 

Über die Studie

 

Der Cisco Cybersecurity Readiness Index 2024 basiert auf einer Doppelblind-Umfrage unter mehr als 8‘000 Führungskräften in 30 Ländern, darunter 205 aus der Schweiz. Die Befragten sind in ihren Unternehmen für Business und Cybersicherheit verantwortlich und gaben Selbsteinschätzungen zum Status der Abwehrfähigkeit und eingesetzten Technologie in ihrem Unternehmen. Aufgrund dieser Selbsteinschätzung ist ein Vergleich zwischen verschiedenen Ländern nur innerhalb ähnlicher Kulturräume sinnvoll. In Europa wurden neben der Schweiz auch Deutschland, Frankreich, Italien, die Niederlande, Polen, Spanien, Schweden und Grossbritannien untersucht. Die Umfrage wurde im Januar und Februar 2024 mittels Online-Interviews durchgeführt.

 

Für die Studie wurde jeweils der Einsatz von 31 verschiedenen Security-Anwendungen in den Unternehmen abgefragt. Die Ergebnisse wurden gewichtet und addiert, sodass ein Wert zwischen 1 und 100 für die Cyberabwehrkraft entsteht pro Unternehmen. Zur besseren Übersichtlichkeit wurden die Unternehmen dann anhand des Wertes in Gruppen zugeteilt: Beginner (0-10 Punkte), Formative (11-40), Progressive (41-69), Mature (70-100). So entsteht die Übersicht, dass z.B. in Deutschland weniger als 2 Prozent der Unternehmen in der Gruppe Mature sind – also den bestmöglichen Reifegrad für Cyberabwehrfähigkeit haben.

 

---