Homeoffice und Cybercrime in KMU 2022

Auswirkungen der Corona-Krise auf die Digitalisierung und Cybersicherheit in Schweizer KMU

Studie im Auftrag von bzw. in Zusammenarbeit mit:

  • Schweizerische Mobiliar Versicherungsgesellschaft AG
  • Digitalswitzerland
  • Allianz Digitale Sicherheit Schweiz
  • Fachhochschule Nordwestschweiz FHNW, Kompetenzzentrum Digitale Transformation
  • Schweizerische Akademie der Technischen Wissenschaften SATW

Detaillierten Studienbericht (deutsch) hier downloaden
Whitepaper in Deutsch, Französisch oder Italienisch downloaden: https://kmu-transformation.ch/cyberstudie-2022/

Im Winter 2021/2022 wurden die Schweizer Arbeitnehmenden ein weiteres Mal aufgrund eines bundesrätlichen Beschlusses zur Eindämmung der Covid-Pandemie ins Homeoffice geschickt. Die Gesundheitskrise förderte grosse Meinungsdifferenzen bezüglich des Umgangs mit Gefahren, Eigenverantwortung und der Rolle des Bundes bzw. der Kantone zutage. So war die Homeoffice-Pflicht für die einen eine Erleichterung, weil sie sich weniger ansteckungsgefährdet fühlten, andere empfanden es als übertriebener Eingriff in ihre persönliche oder unternehmerische Freiheit. Unabhängig von der Pandemie konnte das erzwungene Homeoffice einerseits als organisatorische und/oder emotionale Belastung, oder andererseits als Chance für neue Arbeitsformen und Digitalisierung empfunden werden. Die teilweise sehr schnell eingeführten Lösungen für Homeoffice förderten zudem die Cyberkriminalität, die Gesundheitskrise führte besonders zu ihrer Anfangszeit zu massiv mehr Angriffen.

Vor diesem Hintergrund wurde die dritte Welle zu den Auswirkungen der Corona-Krise auf die Digitalisierung und Cybersicherheit in Schweizer KMU durchgeführt. Es wurden 504 Geschäftsführende von KMU mit 4 bis 49 Mitarbeitenden in der Deutsch-, Französisch- und Italienischsprachigen Schweiz telefonisch befragt.

Homeoffice-Erschöpfung?

Sowohl die Anzahl der Arbeitsstellen, welche von den Geschäftsführenden als homeoffice-tauglich bezeichnet werden, als auch der Anteil an Mitarbeitenden, die hauptsächlich von zuhause aus arbeiten, sind rückgängig:

  • 2020 bezeichneten die Geschäftsführenden durchschnittlich 3.8 Stellen als homeoffice-tauglich, 2021 waren es 3.4 und 2022 noch 2.9. Der Rückgang von 2020 auf 2022 ist signifikant.
  • Während den jeweiligen Homeoffice-Pflichtphasen blieben 2020 fast zwei Fünftel der Mitarbeitenden hauptsächlich im Homeoffice (38 %), 2021 ein bisschen weniger (36 %) und 2022 war es noch knapp ein Drittel (32 %). Dieser Rückgang ist nicht signifikant, könnte aber eine Tendenz aufzeigen. Dazu muss aber auch bemerkt werden, dass die Angst vor einer Ansteckung wahrscheinlich von Jahr zu Jahr kleiner wurde und auch dies möglicherweise einen Einfluss hatte auf die Entscheidung, im Homeoffice oder vor Ort zu arbeiten.
  • Vor der Pandemie arbeitete ein Zehntel (10 %) der Mitarbeitenden der befragten KMU hauptsächlich im Homeoffice. Zwischen den jeweiligen Homeoffice-Pflichtphasen stieg dieser Anteil auf rund einen Sechstel (2020: 16 %), dann sogar auf einen Fünftel (2021: 20 %) und sank nun im Jahr 2022, als die Pandemie umgangssprachlich für «beendet» erklärt wurde, fast wieder auf ihren Ausgangswert zurück (2022: 12 %).

Diese Ergebnisse lassen auf eine gewisse Homeoffice-Erschöpfung seitens der Arbeitgebenden schliessen und/oder dass sich die Einschätzung darüber, welche Stellen in welchem Masse homeoffice-tauglich sind, verändert hat. Gleichzeitig ist davon auszugehen, dass sich viele Arbeitnehmende an die Vorzüge des Homeoffice gewöhnt haben und diese nun – auch aufgrund des Fachkräftemangels in einigen Branchen – einfordern wollen und können.

Keine Fortschritte bezüglich Cybersicherheitsmassnahmen

Sowohl in der medialen Berichterstattung als auch in der Werbung wurde das Thema Cybersicherheit in den letzten zwei Jahren viel sichtbarer. Trotzdem kann in der dritten Welle dieser Studie keine Entwicklung bezüglich der technischen und organisatorischen Sicherheitsmassnahmen festgestellt werden.

  • Technische Massnahmen wurden nach wie vor besser umgesetzt als organisatorische. Die durchschnittlichen Umsetzungsgrade der abgefragten technischen Massnahmen lagen zwischen 3.8 und 4.5 auf einer Fünferskala, auf der 1 «gar nicht umgesetzt» und 5 «voll und ganz umgesetzt» bedeutet. Bei den organisatorischen Massnahmen lagen sie zwischen 2.7 und 4.2.
  • Besonders tief waren die Umsetzungsgrade bei den Massnahmen «regelmässige Mitarbeiterschulung» (3.0) und «Durchführung eines Sicherheitsaudits» (2.7).
  • Im Vergleich zur Vorwelle 2021 gab es keine Veränderung, tendenziell gingen die Umsetzungsgrade sogar eher zurück.

Erstaunlich ist diese fehlende Entwicklung angesichts der Tatsache, dass das Risiko, von einem Cyberangriff betroffen zu werden und dadurch einen Tag ausser Kraft gesetzt zu werden, stetig höher beurteilt wurde. In der ersten Welle 2020 wurde dieses Risiko auf der Fünferskala mit einer 2.1 bewertet, wobei 1 «sehr kleines Risiko» und 5 «sehr grosses Risiko» bedeutet. 2021 stieg diese Einschätzung auf 2.4 und 2022 auf 2.5. Auch die Risikoeinschätzung, durch einen Cyberangriff in der Existenz bedroht zu werden, stieg auf sehr tiefem Niveau stetig an (2020: 1.5, 2021: 1.7, 2022: 1.9). Die wachsende Risikoeinschätzung scheint aber keinen Einfluss auf die Massnahmenumsetzung zu haben.

Ein starker Zusammenhang konnte mit dem Informationsgrad festgestellt werden: Je informierter sich die Befragten bezüglich Cyberrisiken fühlen, desto höher ist die organisatorische und technische Massnahmenumsetzung. Diese Selbsteinschätzung bezüglich dem Informationsgrad veränderte sich über die drei Wellen aber nicht (2020: 3.4, 2021: 3.5, 2022: 3.5).

Die Wichtigkeitseinschätzung des Themas bewegte sich ebenfalls nicht bzw. ist sogar leicht rückläufig: Der Mittelwert lag 2020 und 2021 bei 3.9 und 2022 bei 3.8; auffälliger ist aber der Rückgang des Skalenwertes 5 («sehr wichtig»), dieser sank von 42 Prozent im Jahr 2020 auf 41 Prozent 2021 und dann auf 35 Prozent im Jahr 2022. Auch dies ist ein eher überraschendes Ergebnis in Anbetracht der häufigen medialen Berichterstattung zum Thema Cyberkriminalität.

Es zeigt sich also eine gewisse Trägheit in der Bearbeitung dieses wichtigen Themas und es fragt sich, wie eine Verhaltensänderung gefördert werden kann, wenn nicht durch die mediale Berichterstattung.

Bedeutung des IT-Dienstleisters

Bei der Frage nach der Verantwortlichkeit für die Cybersicherheit bezeichneten sich über die Hälfte (55 %) der befragten Geschäftsführenden als selbst verantwortlich. Ein Drittel der Befragten (33 %) nannte einen externen IT-Dienstleister, rund ein Zehntel (11 %) meinte, dass «jede/-r Mitarbeitende» verantwortlich ist, bei rund jedem vierzehnten Unternehmen war «niemand» verantwortlich.

Sowohl die technischen als auch die organisatorischen Massnahmen erreichten höhere Umsetzungsgrade, wenn der/die Geschäftsführende oder ein IT-Dienstleister als verantwortlich bezeichnet wurde. Der grösste Zusammenhang konnte dabei beim IT-Dienstleister festgestellt werden.

Eine entsprechende Zusammenarbeit ist also im Sinne einer höheren Cyberresilienz empfehlenswert; allerdings dürfen die organisatorischen Massnahmen dabei nicht vergessen gehen, da anzunehmen ist, dass der Fokus von IT-Dienstleistern oftmals eher auf den technischen Massnahmen liegt. Die Geschäftsführenden von KMU werden also – trotz scheinbar eher tiefer Begeisterung – nicht um das Thema Cybersicherheit herumkommen.

Detaillierten Studienbericht (deutsch) hier downloaden
Whitepaper in Deutsch, Französisch oder Italienisch downloaden: https://kmu-transformation.ch/cyberstudie-2022/

Jetzt anmelden:

Januar-Omnibus