Homeoffice und Cybersicherheit in Schweizer KMU – Studie 2023
Im Frühling 2022 wurden die letzten Covid-Massnahmen aufgehoben und die Schweiz kehrte langsam in die Normalität zurück. Nach einem Lockdown, zwei Homeoffice-Pflicht- und -Empfehlungsphasen hat sich die Arbeitswelt verändert. Aber noch während bezüglich Covid endlich Entspannung eintrat, überfiel Russland die Ukraine. Der Krieg brachte eine drohende Energiemangellage mit sich, weshalb man plötzlich über Homeoffice aufgrund ungeheizter Bürogebäude nachdachte. Nötig wurde eine weitere Homeoffice-Phase aber nicht. Jedoch bekam das Thema «Cybercrime» eine neue Dimension durch den Krieg: Angriffe von russischen Hackern auf westliche Infrastrukturen machten Schlagzeilen und nach der Video-Ansprache Selenskis im Bundeshaus am 15. Juni 2023 betraf es auch die Schweiz. Zu diesem Zeitpunkt war die Feldzeit dieser Studie allerdings gerade beendet (Feldende am 13. Juni 2023), und auch der grosse Databreach bei einer Berner Software-Firma, bei dem der Bund sensible Daten verlor, hatte keinen Einfluss mehr auf die hier vorliegenden Resultate. Vor diesem Hintergrund wurde die vierte Welle zu den Auswirkungen der Corona-Krise auf die Digitalisierung und Cybersicherheit in Schweizer KMU durchgeführt. Es wurden 502 Geschäftsführende von KMU mit 4 bis 49 Mitarbeitenden in der Deutsch-, Französisch- und Italienischsprachigen Schweiz telefonisch befragt.
Homeoffice: Angebot und Nachfrage
Die Anzahl der Arbeitsstellen, welche von den Geschäftsführenden als homeoffice-tauglich bezeichnet werden ist das vierte Jahr in Folge rückläufig: von durchschnittlich 3.8 Homeofficestellen pro Unternehmen im Jahr 2020 ging es 2021 zurück auf 3.4, auf 2.9 im Jahr 2022 und nun auf 2.5 im Jahr 2023. Wahrscheinlich verändern sich aber nicht die Arbeitsstellen an sich, sondern die Einschätzung der Arbeitgebenden, welche Ihre Mitarbeitenden gerne wieder vor Ort hätten.
Nachdem in den letztjährigen Studien der Fokus auf dem Homeoffice-Anteil vor, während und nach den Pflichtphasen lag, wurde die Frage nach effektiv im Homeoffice tätigen Arbeitnehmenden angepasst: Neu wurde 2023 gefragt, wie viele Personen hauptsächlich und wie viele teilweise im Homeoffice tätig sind (bisher: nur hauptsächlich). Über alle Befragte gesehen, ist je rund ein Fünftel der Mitarbeitenden hauptsächlich (21 %) und teilweise (21 %) im Homeoffice, insgesamt also rund zwei Fünftel (42 %). Besonders viele Homeoffice-Mitarbeitende haben Firmen mit 4 bis 9 Mitarbeitenden (49 %), die Branchen Finanz-Dienstleistungen, Information und Kommunikation (89 %) sowie Dienstleistungen (50 %) und Firmen in den Grossregionen Zürich (53 %) und Genfersee (55 %). Ein Vergleich zu den Vorjahresstudien ist aufgrund der veränderten Fragestellung nicht möglich; tendenziell scheint es aber eher eine Steigerung als ein Rückgang zu sein. Dies steht im Widerspruch zu den sinkenden Zahlen bei den Homeoffice-tauglichen Stellen (siehe vorheriger Absatz), und zeigt somit die wahrscheinlich vorhandenen Differenzen zwischen Arbeitgebenden und Arbeitnehmenden: Erstere möchten ihre Mitarbeitenden gerne zurück am Arbeitsplatz, zweitere möchten im Homeoffice arbeiten. Aufgrund des Fachkräftemangels können Arbeitnehmende dabei wahrscheinlich ihre Ansprüche eher durchsetzen.
Mit Blick auf die Zukunft gehen die Geschäftsführenden davon aus, dass sich bezüglich Homeoffice nicht mehr viel verändern wird: Rund drei Viertel (73 %) erwarten einen gleichbleibenden Anteil Mitarbeitender im Homeoffice, nur rund jede/-r zehnte (9 %) einen sinkenden Anteil und rund jede-/r siebte (15 %) einen steigenden Anteil. Nachdem diese Zahlen sich in den letzten Jahren stark verändert hatten – erst wurde eine Steigerung erwartet, dann ein Rückgang – scheint sich die Lage nun einzupendeln.
Ein «Einpendeln» zeigt sich auch bei der Anzahl verwendeter Kommunikationsmittel. Diese hat während der Pandemie gewisse Höhenflüge erlebt und ist nun rückläufig. Dies ist insbesondere der Fall bei Online Konferenztools wie Skype, Teams, Zoom oder Google Meet (von 62 % im Jahr 2022 auf 45 % im aktuellen Jahr) sowie Online Beratungen oder -Schulungen (von 39 % in den Jahren 2021 und 2022 auf 23 % im aktuellen Jahr).
Wichtigkeit der IT-Dienstleister
Rund vier Fünftel der befragten Unternehmen (79 %) lassen sich von einem (44 %) oder mehreren (35 %) IT-Dienstleistern unterstützen. KMU, die über mindestens einen IT-Dienstleister verfügen, vergeben rund einen Drittel (36 %) der IT-Arbeiten auswärts, und rund 8 von 10 lassen sich auch von ihnen bezüglich Cybersicherheit beraten (84 %). Die Hälfte (53 %) dieser Befragten bestätigen, dass ihr IT-Dienstleister über eine IT-Sicherheitszertifizierung (z.B. ISO 27001 oder CyberSeal der Allianz Digitale Sicherheit Schweiz) verfügt. Auffallend viele Befragte – rund ein Drittel (34 %) – weiss nicht, ob ein entsprechendes Zertifikat vorliegt. Das könnte an noch mangelnder Bekanntheit der Zertifikate liegen oder daran, dass vielen Befragten die Zertifizierung nicht wichtig ist. Es besteht ein gewisser Verdacht, dass IT-Dienstleister per Definition als kompetent im Bereich Cybersicherheit wahrgenommen werden, ohne dass diese Kompetenz überprüft wird. Dies birgt Gefahren und die Autorenschaft erwartet, dass die Nachfrage nach Zertifizierungen zukünftig steigen wird.
Rund jede/-r siebte Geschäftsführende (14 %) hat in den letzten ein bis zwei Jahren einen bestehenden IT-Dienstleister durch einen neuen ersetzt. Die genannten Gründe dafür sind in erster Linie die interne Optimierung und Kompatibilität sowie die Kommunikation und Service-Qualität. Rund zwei Drittel (64 %) der Befragten sagt, der Wechsel sei eher oder sehr einfach gewesen.
Die Befragten, die ihren IT-Dienstleister nicht in den letzten ein bis zwei Jahren ersetzt haben, sind grundsätzlich sehr zufrieden mit ihnen: Rund neun von zehn (90 %) geben an, eher oder sehr zufrieden zu sein. Der Hauptgrund für die Zufriedenheit ist die Erreichbarkeit bzw. Reaktionszeit.
Cybersicherheitsmassnahmen: Wenig Veränderung
Der gefühlte Informationsstand der Befragten bezüglich Cyberrisk-Thematik hat sich seit der ersten Befragung 2020 ein wenig verbessert: Etwas mehr als die Hälfte (56 %) fühlt sich eher oder sehr gut informiert (2020:47 %), der Mittelwert liegt bei 3.6 (2020: 3.4). Dabei gibt es einige deutliche Unterschiede zwischen den Subgruppen; so fühlen sich Pioniere (4.2) signifikant besser informiert als Early Follower (3.6) und Late Follower (3.3). Zudem fühlen sich Befragte, die schon viele technische (3.9) und/oder organisatorische Massnahmen (4.2) umgesetzt haben, signifikant besser informiert als Befragte mit tiefem Umsetzungsgrad (2.7 bzw. 3.1).
Trotz häufiger Berichterstattung in den Medien und auch trotz des neuen Datenschutzgesetzes, welches im September 2023 gültig wird, hat sich die Wahrnehmung der Wichtigkeit des Themas Cybersicherheit nicht verändert. Knapp zwei Drittel (65 %) der Befragten schätzen das Thema als eher oder sehr wichtig ein; der Mittelwert liegt bei 3.8 (2022: 3.8, 2021: 3.9, 2020: 3.9). Je mehr Mitarbeitende ein Unternehmen beschäftigt, desto höher wird die Cybersicherheit priorisiert (4–9 Mitarbeitende: 3.7, 10–19 Mitarbeitende: 3.9, 20–49 Mitarbeitende: 4.2). Besonders hoch ist die Priorisierung in den Grossregionen Tessin (4.1) und Zürich (4.0), in den Branchen Finanz-Dienstleistungen, Information und Kommunikation (4.4), bei den Pionieren (4.4) sowie bei den Befragten mit hohen technischen (4.2) und organisatorischen (4.6) Massnahmenumsetzungsgraden.
Zur Eruierung der technischen Massnahmenumsetzung wurden – wie schon in den Vorjahren – sieben verschiedene Massnahmen nach ihrem Umsetzungsgrad abgefragt. Die Umsetzungsgrade liegen zwischen 3.9 und 4.5 auf der Fünferskala, alle fast unverändert zu den Vorjahren. Unternehmen mit 20 bis 49 Mitarbeitenden heben sich dabei deutlich ab von den kleineren Unternehmen; sie haben bei allen Massnahmen einen höheren Umsetzungsgrad. Das gleiche gilt für die Pioniere und die (eher) gut Informierten, die bei allen Massnahmen mit einen höheren Umsetzungsgrad angeben als die Early und Late Follower bzw. die (eher) schlecht Informierten.
Gleiches gilt für die organisatorischen Massnahmen: Bei den sieben abgefragten Massnahmen liegen die Umsetzungsgrade zwischen 2.8 und 4.2 auf der Fünferskala, ebenfalls alle praktisch unverändert zu den Vorjahren. Am ehesten fand eine Entwicklung statt bei der Massnahme vorsichtiges Verhalten beim Teilen von persönlichen Informationen (Steigerung von 4.0 auf 4.2), allenfalls hat hier das neue Datenschutzgesetz einen gewissen Einfluss. Weiterhin gilt: Organisatorische Massnahmen werden seltener umgesetzt als technische. Regelmässige Mitarbeiterschulungen (2.9) und die Durchführung eines Sicherheitsaudits (2.8) sind die am seltensten umgesetzten Massnahmen.
Es besteht ein deutlicher Zusammenhang zwischen der technischen bzw. organisatorischen Massnahmenumsetzung und dem Informationsgrad, der Priorisierung des Themas Cyberrisk und der Einstellung zu technischen Innovationen.
Zwei Fünftel der Befragten (40 %) geben an, eine Cyberversicherung zu haben, was eine ausgeprägte Steigerung zur Vorjahreszahl (30 %) bedeutet. Eventuell ist das ein Hinweis darauf, dass die Wichtigkeit des Themas doch ein bisschen gestiegen ist, obwohl die Befragten dies nicht so angeben (siehe Kapitel 3.5.2, Wichtigkeit des Themas Cybersicherheit). Die Autorenschaft schätzt diese Zahl als zu hoch ein und geht davon aus, dass viele Befragte von ihrer normalen Versicherung einen Schutz bei Cyberangriffen erwarten.
Die Frage nach erfolgten Cyberangriffen wurde 2023 modifiziert. Bisher wurde direkt nach der Angriffstechnik gefragt, was verschiedene Nachteile hatte: Die Befragten wussten nicht immer, über welche Technik sie angegriffen wurden und häufig traf eine Kombination verschiedener Techniken zu. Zudem wurde durch das Vorlesen der verschiedenen Angriffstechniken die Erinnerung an einzelne Vorfälle eher geweckt und somit wurden zu viele leichte Angriffe angegeben. Dies zeigte sich durch die vielen Befragten, die dann in der der Folgefrage «keine Schäden» angaben. Die neue Fragestellung sollte sich ohne Ablenkung durch die Angriffstechnik auf die schwereren Fälle fokussieren. Ein Vergleich zu den Vorwellen ist daher nicht mehr möglich. 2023 gab rund jede/-r zehnte Befragte (11 %) an, dass sein bzw. ihr Unternehmen schon einmal erfolgreich von Cyberkriminellen angegriffen wurde, so dass ein erheblicher Aufwand nötig war, um die Schäden zu beheben. Erlaubt man sich eine Hochrechnung auf die Grundgesamtheit, ergibt das rund 16’830 (Sicherheitsbereich: 16’360 bis 17’300) betroffene Schweizer KMU. Unternehmen mit 10 bis 19 Mitarbeitern (17 %) heben sich dabei als einzige Subgruppe mit einem höheren Wert von den anderen ab; zwischen den Branchen gibt es keine Unterschiede. Das heisst, es gibt keine gefährdeten oder ungefährdeten Branchen; es kann also jeden gleichermassen treffen. Etwas mehr als die Hälfte der von Cyberangriffen Betroffenen (55 %) gab an, einen finanziellen Schaden erlitten zu haben; einen Reputationsschaden (13 %) oder einen Kundendatenverlust (13 %) beklagt rund jede/-r Achte. Somit darf angenommen werden, dass 6 Prozent der Schweizer KMU mit 4 bis 49 Mitarbeitenden schon einmal einen finanziellen Schaden durch einen Cyberangriff erlitten haben (Vertrauensintervall: +/- 2.1 Prozentpunkte).
Jede/-r zehnte Befragte (10 %) gibt an, schon einmal von Cyberkriminellen erpresst worden zu sein. Die Schwere des Falles wurde nicht definiert, d.h. es kann sich auch um leichte Fälle gehandelt haben. Auch hier gibt es keine Unterschiede zwischen den Subgruppen. Ein Prozent der gesamten Stichprobe sagt, dass sein/ihr Unternehmen schon einmal Lösegeld an Cyberkriminelle bezahlt hat. Somit bezahlte jede/-r zehnte Erpresste Lösegeld; zusätzlich muss wahrscheinlich noch von einer Dunkelziffer ausgegangen werden. – Für Hochrechnungen auf die Grundgesamtheit ist diese Zahl aber zu tief.
Über die Hälfte der Befragten (56 %) schätzt das Risiko, durch einen Cyberangriff für mindestens einen Tag lang ausser Kraft gesetzt zu werden, als eher oder sehr tief ein. Somit ist die Risikoeinschätzung wieder leicht gesunken, nachdem sie in den letzten drei Wellen stetig ganz leicht gestiegen ist. Ein Zusammenhang besteht zwischen der Einstellung zu technischen Innovationen (Pioniere schätzen das Risiko höher ein) und zum Informationsgrad ((eher) gut Informierte schätzen das Risiko höher ein). Zu bedenken ist dabei, dass Pioniere und (eher) gut Informierte nicht häufiger angegriffen wurden als Early bzw. Late Follower oder (eher) schlecht Informierte); das Risiko ist also für alle gleich. Wie schon in den Vorwellen zeigt auch die 2023er Studie: Cyberkriminalität wird als ernstzunehmendes Problem eingeschätzt; die Gefahr wird grundsätzlich erkannt. Massnahmen dagegen werden aber nur von einer Minderheit der Befragten geplant. Gründe gegen die Massnahmen können in deren Umsetzungsschwierigkeit liegen oder darin, dass die Befragten keinen sozialen Druck dazu spüren.