Die Schweizer Ergebnisse einer weltweiten PwC-Befragung zum Thema Cybersecurity
Schweizer Unternehmen sind alarmiert: Mehr als die Hälfte der befragten Führungskräfte in der Schweiz rechnet mit einem Anstieg der meldepflichtigen Cybervorfälle im Jahr 2022. Vermehrte Angriffe auf Cloud-Dienste, Ransomware-Attacken, sowie Business Email Compromise werden allesamt an erster Stelle genannt.
Die Folgen eines Angriffs nehmen zu, je komplexer die Abhängigkeiten zwischen unseren Systemen werden. Kritische Infrastrukturen sind besonders verwundbar. Immer raffiniertere Angreifende durchforsten die dunklen Ecken unserer Systeme und Netzwerke, suchen – und finden – Schwachstellen. Und doch lassen sich viele der Angriffe, die wir erleben, mit solider Prävention und starken Kontrollen verhindern. Wie Führungskräfte die Herausforderungen und Chancen im Bereich Cybersecurity bewerten, haben wir in der diesjährigen Befragung beleuchtet.
Die Ergebnisse werden in einem Leitfaden für die bewusste Vereinfachung von Cybersecurity präsentiert, der sich auf vier zentrale Fragen stützt. Überraschung: Diese Fragen fokussieren nicht in erster Linie auf Technologien. Wir konzentrieren uns stattdessen auf die Zusammenarbeit als Team – angefangen bei der CEO-Funktion an der Spitze. Cybersecurity ist ein Thema für das gesamte Unternehmen, in jeder Funktion und für alle Mitarbeitenden.
Am Tag der Veröffentlichung der PwC-Studie «Global Digital Trust Insights 2022» vertieften wir in einer Paneldiskussion mit Experten von Microsoft Schweiz und dem Fachverband für ICT-Sicherheit (ISSS) die Kernaussagen der Studie und beleuchteten sie aus verschiedenen Blickwinkeln.
Vier Cyber-Fragen, die Sie stellen müssen
- Können CEO die Sicherheit in ihren Unternehmen verbessern?
- Ist Ihr Unternehmen zu komplex geworden, um Sicherheit zu gewährleisten?
- Wissen Sie, ob Sie Ihr Unternehmen gegen die wichtigsten Risiken abgesichert haben?
- Wie gut kennen Sie die Risiken, die von Drittanbietern oder von Ihrer Lieferkette ausgehen?
Können CEO die Sicherheit in ihren Unternehmen verbessern?
«Einfach und sicher» als Motto.
Cybersicherheit ist bei CEOs auf der ganzen Welt in den Mittelpunkt gerückt und das Bewusstsein für Cyberrisken entsprechend gross. Aber treiben CEOs auch aktiv entsprechende Gegenmassnahmen voran? Unsere Ergebnisse decken eine sprichwörtliche «Erwartungslücke» auf. CEOs sind der Meinung, dass sie stärker in die Festlegung und Erreichung von Cybersecurity-Zielen eingebunden sind und diese unterstützen, als dies ihnen ihre Mitglieder aus den Sicherheitsführungsteams attestieren. Diese Kluft birgt grosse Gefahren, sollte sie ein falsches Gefühl von Sicherheit im gesamten Unternehmen hervorrufen. Beim Thema Cybersecurity geht es nicht nur um Technologie, sondern um eine Denkweise. Und diese Denkweise und Kultur muss von der Unternehmensspitze gefördert werden.
Ein Blick auf die Schweizer Zahlen
Während die befragten CEOs in der Schweiz glauben, dass sie einen wesentlichen Beitrag zur Cybersicherheit in ihrem Unternehmen leisten, stimmen nur drei von zehn Nicht-CEOs dieser Aussage zu. Und während weltweit 30% der befragten Führungskräfte angeben, dass ihr CEO Cybersecurity und Datenschutz in die wichtigsten Abläufe und Entscheidungen des Unternehmens integriert, bestätigen dies in der Schweiz nur 16% der Führungskräfte.
Ist Ihr Unternehmen zu komplex geworden, um Sicherheit zu gewährleisten?
75% empfinden die Komplexität in ihren Unternehmen als zu hoch.
In einem übermässig komplexen Unternehmen weiss die linke Hand oft nicht, was die rechte Hand tut – und die Folgen davon können für die Cybersicherheit verheerend sein. Unternehmen kennen die Risiken der Komplexität, doch nur 35% der Befragten haben ihre Abläufe vereinfacht, und ein Viertel gibt an, gar nichts unternommen zu haben oder gerade erst damit zu beginnen. Ein Umdenken scheint jedoch im Gange zu sein.
Ein Blick auf die Schweizer Zahlen
Fast drei Viertel aller Befragten geben an, dass ihr Unternehmen zu komplex ist und diese Komplexität «besorgniserregende» Cyber- und Datenschutzrisiken verursacht. Die Dateninfrastruktur (77%) wird als grösste Quelle «vermeidbarer und unnötiger» Komplexität aufgeführt. In der Schweiz liegt dieser Wert gar bei 86%. Allerdings ist die Sorge vor finanziellen Verlusten, verursacht durch die Komplexität, bei Schweizer Führungskräften geringer als im weltweiten Durchschnitt.
Wissen Sie, ob Sie Ihr Unternehmen gegen die wichtigsten Risiken abgesichert haben?
Weniger als ein Drittel aller Unternehmen nutzt die verfügbaren Daten richtig.
Daten sind das begehrteste Gut von Angreifenden. Unternehmen können dieses Risiko minimieren, indem sie die Angriffsfläche verkleinern. Aber nur 35% der Befragten haben alle ihre Daten im Überblick, d. h. sie wissen, woher sie kommen und wohin sie gehen. Und nur etwa ein Drittel der Befragten gibt an, über ausgereifte, vollständig implementierte Prozesse zur Sicherung von Daten zu verfügen. Unternehmen sollten nur jene Daten verwalten und schützen, die sie benötigen – und den Rest konsequent eliminieren. Daten mit geringem Wert stellen nicht nur ein unnötiges Risiko dar, sondern sie verdrängen oder verbergen auch hochwertige Daten.
Ein Blick auf die Schweizer Zahlen
Die Prävention von Cyberangriffen nehmen die wenigsten Schweizer Unternehmen datenbasiert in Angriff. Nur ein kleiner Teil greift auf Analysetools zurück um die Entscheidungen zu Investitionen in die Cybersicherheit zu fällen und das Management von Cyberrisken zu bestimmen. So ist beispielsweise «Threat Intelligence» in Echtzeit nur für 18% der Befragten integraler Bestandteil ihres Betriebsmodells – im Vergleich zu 30% weltweit. Die Modellierung von Bedrohungen («Threat Modeling»), Erstellung von Szenarien oder der Einsatz von «Predictive Analysis» scheinen in der Schweiz kaum genutzte Instrumente oder Ansätze zu sein (8% gegenüber 26% global).
Wie gut kennen Sie die Risiken, die von Drittanbietern oder von Ihrer Lieferkette ausgehen?
Nur 40% geben an, die IT und Software-Risiken ausgehend von ihrer Lieferkette gründlich zu verstehen.
Man kann nicht schützen, was man nicht sieht – und eine Mehrheit der Befragten scheint Schwierigkeiten zu haben, die Risiken, die von Drittanbietern oder ihrer Lieferkette ausgehen zu erkennen. 60% der CEOs und Führungskräfte haben kein gründliches Verständnis der IT und Software-Risken in ihrer Lieferkette, und 20% gar wenig bis gar kein Verständnis. Ein grosser blinder Fleck, den Angreifende sehr wohl kennen und auszunutzen bereit sind.
Ein Blick auf die Schweizer Zahlen
Von allen Befragten erwarten 56% einen Anstieg der meldepflichtigen Vorfälle im Jahr 2022 aufgrund von Angriffen auf die Software-Lieferkette, aber nur 34% haben die Gefährdung ihres Unternehmens durch dieses Risiko formell bewertet. In der Schweiz ist die Situation noch alarmierender: 35% der Schweizer Führungskräfte geben an, dass sie wenig oder gar nichts über Cloud-Risiken und Risiken durch Technologieanbieter wissen (im Vergleich zu 21% bzw. 24% auf globaler Ebene). Schweizer Unternehmen sind jedoch führend bei der Minimierung der Risiken durch ihr Ökosystem, indem sie die Lieferkette vereinfachen oder strengere Due-Diligence-Prüfungen durchführen.
Ein Gespräch mit Philipp Krayenbühl, Chief Security Officer bei Swiss Re
Im Zuge der Veröffentlichung der Studie «Global Digital Trust Insights 2022» haben wir den CRO von Swiss Re, Philipp Krayenbühl zum Gespräch gebeten. Im Austausch mit Urs Küderli, Partner and Leader Cybersecurity und Privacy bei PwC Schweiz, hebt er die Wichtigkeit hervor, Sicherheitsexperten in allen Projekten so früh wie möglich miteinzubeziehen (Interview auf Englisch).
Vielfache Wirkung
Digitale Geschäftsmodelle haben das Potenzial, den Erfolg eines Unternehmens um das zehnfache zu steigern. Unsere Studie zeigt auf, dass in der Vereinfachung von Geschäftsprozessen ein vergleichbar grosser Effekt in Bezug auf Cybersecurity und Privacy liegen kann.
Die Erfolgsfaktoren, die bei den am weitesten fortgeschrittenen Unternehmen zu beobachten sind, können als die «4 Ps» zur Ausschöpfung des vollen Cyberpotenzials bezeichnet werden: «Principle, People, Prioritisation, Perception».
Principle. CEOs müssen Sicherheit und Schutz der Privatsphäre als geschäftlichen Imperativ etablieren.
People. Stellen Sie die richtigen Talente ein, und lassen Sie den CISO und die Sicherheitsteams mit den Fachteams aus der Linie zusammenarbeiten. Ihre Mitarbeitenden können zu Vorreitern der Vereinfachung werden, während Sie im Unternehmen eine «gute Komplexität» aufbauen.
Prioritisation. Ihre Risiken ändern sich ständig. Nutzen Sie Daten und Informationen, um Risiken kontinuierlich zu messen.
Perception. Man kann nicht schützen, was man nicht sieht. Blinde Flecken in Geschäftsbeziehungen und Lieferketten müssen aufgedeckt werden.
Neue Ergebnisse verfügbar
Seit Anfang November stehen die Ergebnisse der 25. Ausgabe unserer «Global Digital Trust Insights» zur Verfügung. Wollen Sie mehr zu den Cyberrisiken im Jahr 2023 erfahren und wissen, wie Führungskräfte zusammenarbeiten können, um eine cyberfähige Zukunft zu schaffen?
Jetzt Studie herunterladen
Wollen Sie mehr zu den Cyberrisiken im Jahr 2022 erfahren und herausfinden, wie Ihr Unternehmen aus dem Umgang mit Risiken Profit schlagen kann? Laden Sie hier die «PwC 2022 Global Digital Trust Insights» herunter (nur auf Englisch).
https://pages.pwc.ch/core-asset-page?asset_id=7014L0000004zpgQAA&embed=true&lang=de
Über die Studie
Die «Global Digital Trust Insights 2022» ist eine Umfrage unter 3’602 Führungskräften aus den Bereichen Wirtschaft, Technologie und Sicherheit (CEOs, Unternehmensdirektor:innen, CFOs, CISOs, CIOs und C-Suite-Verantwortliche), die im Juli und August 2021 durchgeführt wurde. Weibliche Führungskräfte machten 33% der Stichprobe aus. 62% der Befragten sind Führungskräfte in grossen Unternehmen (mehr als eine Milliarde US-Dollar Umsatz).
Die Befragten sind unterschiedlichen Branchen zuzuordnen: Technologie, Medien, Telekommunikation (23%), industrielle Fertigung (22%), Finanzdienstleistungen (20%), Einzelhandel und Verbrauchermärkte (16%), Energie, Infrastruktur und Ressourcen (8%), Gesundheit (7%), sowie im Öffentlichen Dienst (3%).
Die Befragten arbeiten in Westeuropa (33%), Nordamerika (26%), Asien-Pazifik (18%), Lateinamerika (10%), Osteuropa (4%), im Nahen Osten (4%) und Afrika (4%).
Die Umfrage wurde von PwC Research, dem globalen Kompetenzzentrum für Marktforschung bei PwC, durchgeführt.
Das könnte Sie auch interessieren
Kontaktieren Sie uns
Partner and Leader Cybersecurity and Privacy, PwC Switzerland
Tel.: +41 58 792 42 21
Partner and Forensic Services and Financial Crime Leader, PwC Switzerland
Tel.: +41 58 792 17 60
Partner, Leader Digital Assurance and Cybersecurity & Privacy, PwC Switzerland
Tel.: +41 58 792 84 59