Mit dem propagierten «Ende» der Pandemie scheint auch die Flexibilität der KMU in Sachen Arbeitsort der Mitarbeitenden zu enden. Denn das hauptsächliche Arbeiten von zu Hause aus hat sich bei den kleinen und mittelständischen Betrieben in der Schweiz nicht etabliert. Dies zeigen die Ergebnisse der Studie «Auswirkungen der Corona-Krise auf die Digitalisierung und Cybersicherheit in Schweizer KMU», bei der das Markt- und Sozialforschungsunternehmen GFS-Zürich insgesamt 504 Geschäftsführende von kleinen Unternehmen (4 bis 49 Mitarbeitende) in der deutsch-, französisch- und italienischsprachigen Schweiz befragte.

Demnach zeigen die Ergebnisse der von der Mobiliar, von digitalswitzerland, der Allianz Digitale Sicherheit Schweiz, der Fachhochschule Nordwestschweiz FHNW – Kompetenzzentrum Digitale Transformation und der Schweizerischen Akademie der Technischen Wissenschaften SATW in Auftrag gegebenen Untersuchung, dass das Home Office sich nicht als dauerhafter Arbeitsort bei den Schweizer KMU etabliert hat. Denn der Anteil an Mitarbeitenden, die vornehmlich von zu Hause aus arbeiten, sinkt bei Kleinunternehmen zum umgangssprachlichen «Ende» der Pandemie wieder fast auf das Vorkrisen-Niveau zurück.

«Die Ergebnisse legen nahe, dass die Geschäftsführenden der KMU Home-Office-müde sind und wieder vermehrt Mitarbeitende in den Büroräumlichkeiten sehen möchten», kommentiert Marc Peter von der Fachhochschule Nordwestschweiz die Ergebnisse. «Es ist jedoch zu vermuten, dass sich viele Mitarbeitende an einen modernen, digitalen und hybriden Arbeitsmodus gewöhnt haben und diesen auch in kleineren Unternehmen einfordern. In Anbetracht des Wettbewerbs um die knappen Fachkräfte sind Geschäftsführende also gefragt, die Chancen der modernen, digitalen Arbeitswelt zu nutzen», fügt Peter an.

Auch in Sachen Cybersecurity hat sich bei den KMU wenig geändert. Trotz der starken Medienpräsenz von Cyberkriminalität stufen Mittelständler die Wichtigkeit des Themas als eher niedrig ein. Lediglich 18 Prozent der befragten Unternehmen schätzen das Risiko, von einem Cyberangriff betroffen zu sein, der sie für mindestens einen Tag ausser Kraft setzt, als hoch ein (2021: 11 Prozent).

Obwohl die Risikoeinschätzung etwas gewachsen ist, geht dies nicht mit einer Zunahme bei der Umsetzung von technischen und organisatorischen Sicherheitsmassnahmen einher. KMU scheinen dennoch die Bedrohung durch Cyberkriminalität zu realisieren. Der Anteil KMU, der in den nächsten 1 bis 3 Jahren zusätzliche Schutzmassnahmen plant, steigt von 40 Prozent im Vorjahr auf 55 Prozent.

«Obwohl auch kleine KMU erwiesenermassen ein interessantes Angriffsziel sind, werden viele, insbesondere organisatorische Grundschutzmassnahmen, nicht in ausreichendem Masse umgesetzt», kommentiert Nicole Wettstein, Programm Managerin Cybersecurity der Schweizerischen Akademie für Technische Wissenschaften SATW, die Ergebnisse. «Wie die steigende Risikoeinschätzung der KMU zeigt, erkennen sie zwar das Problem. Sie scheinen jedoch zu träge oder von der Problematik überfordert zu sein, um entsprechende Massnahmen zu ergreifen und das Risiko zu adressieren», fügt sie an. Es brauche neben medialer Beachtung des Themas somit weitere Anstrengungen, um die Umsetzung von Cybersicherheitsmassnahmen zu erhöhen, folgert Wettstein.

Wie bereits in der Vorjahresstudie werden organisatorische Massnahmen deutlich weniger umgesetzt als technische. So vernachlässigen KMU regelmässige Mitarbeiterschulungen, das Durchführen von Sicherheitsaudits sowie die Implementierung eines Sicherheitskonzepts.

Grundsätzlich gilt: Je weniger sich die Geschäftsführenden von KMU mit Cyberrisk-Themen auseinandersetzen, desto schlechter werden organisatorische Massnahmen im Betrieb umgesetzt.

«Viele KMU blenden diese reale Gefahr aus dem digitalen Raum weiterhin aus», meint Simon Seebeck, Schadenspezialist der Mobiliar. «Als Cyberschadenspezialist kenne ich die Auswirkungen von Cyberangriffen. Um solche möglichst klein zu halten, ist es wichtig, IT-Verantwortlichkeiten in Unternehmen klar zu regeln», rät er. «IT-Sicherheit ist ein Dauerthema für die Geschäftsleitung und kann nicht komplett an einen externen Dienstleister delegiert werden. Denn es sind nicht nur die technischen, sondern auch die organisatorischen Massnahmen zu berücksichtigen – zum Beispiel die Schulung der Mitarbeitenden», ist Seebeck überzeugt.

Bei einem Drittel der befragten Unternehmen sind externe IT-Dienstleister für die IT-Sicherheit verantwortlich. «Die Qualität von externen IT-Dienstleistungen ist daher massgeblich für das Sicherheitsniveau unserer Schweizer KMU»,  ist Andreas Kaelin, Geschäftsführer von Allianz Digitale Sicherheit Schweiz und Senior Advisor von Digitalswitzerland überzeugt. «Damit ein angemessenes Schutzniveau gewährleistet wird, zeichnen wir IT-Dienstleister mit dem CyberSeal aus, die bei ihren Kunden die nötigen technischen und organisatorischen Massnahmen umsetzen. Geprüfte IT-Dienstleister erstellen ein Risikoprofil ihrer Kunden mit dem Cybero Cyber-Check», berichtet er weiter. «Gefährlich bleibt es jedoch, wenn KMU ihren IT-Dienstleistern blind vertrauen und die organisatorischen Sicherheitsmassnahmen völlig ausser Acht gelassen werden», gibt Kaelin zu bedenken.