Schweizer Ausgabe: «24th Annual CEO Survey»

Cybersecurity: Schützen ist gut, stärken ist besser

111 Schweizer CEOs gaben Antworten darauf, wie sie mit den Auswirkungen der COVID-19 Pandemie umgehen. Aber auch darauf, welche Chancen sowie Risiken mit der beschleunigten digitalen Transformation verbunden sind. Dabei sticht Cybersecurity klar heraus und Führungskräfte wappnen sich gegen mögliche Cyber-Angriffe. 

Auf der Liste der potenziellen Bedrohungen für die Wachstumsaussichten ihrer Unternehmen sehen die Schweizer CEOs Cyberrisiken mit 43 % auf Rang zwei. Dieser Wert lag in der Vorjahresstudie noch bei 26 % (Rang 3). Der drastische Besorgnissprung hat mehrschichtige Ursachen: Schweizer Unternehmen haben Cyberbedrohungen bisher schlicht unterschätzt. 2020 kamen zahlreiche Vorfälle in die Medien – manche sogar mit konkreten Kosten resultierend aus einem Cyberangriff. Das hat das Thema verstärkt auf den Radar der Führungsgremien geschoben. Die Pandemie hat die Aktualität zusätzlich verschärft. Denn mit dem Ausbruch von COVID-19 und der breiten Aktivierung von Heimarbeitsplätzen mussten die Unternehmen IT-seitig neue Arbeitsmodelle und Formen der Zusammenarbeit abbilden. Sie mussten neue Plattformen und Anwendungen ausrollen, orchestrierten die Teile der Hardwarelandschaft neu, gingen in die Cloud oder bauten neue Schnittstellen. Aufgrund von Home-Office und Telearbeit wurden Prozesse anfälliger, gleichzeitig die Kontroll- und Überwachungsmechanismen schwieriger. In der Folge entstanden Lücken und zusätzliche Schlupflöcher, die Kriminellen und Bedrohungsakteuren zusätzliche Gelegenheiten boten. Und schliesslich ist die Professionalität der Cyberkriminellen über die letzten Monate weiter gewachsen. So kamen Unternehmen ins Fadenkreuz, die sich selbst in der Vergangenheit niemals gefährdet glaubten. 

CEOs sind alarmiert

93 % der befragten Schweizer CEOs äussern ihre generelle Besorgnis bezüglich Cyberbedrohungen (vgl. Abbildung 1). Der Rest der Führungswelt ist mit 85 % ebenfalls stark besorgt, auch wenn der Anteil leicht tiefer liegt. Erstens zeichnen sich Schweizer Unternehmen traditionsgemäss durch grosses Sicherheitsbewusstsein aus. Zweitens geniessen Datenschutz und die Wahrung von Persönlichkeitsrechten in der Schweiz einen hohen Stellenwert. Wer diese beiden Aspekte als Teil der Cybersecurity sieht, gerät in Unruhe, wenn sie in Frage stehen. Trotzdem haben Schweizer Unternehmen das Risiko von Cyberbedrohungen bisher unterbewertet. Drittens tauscht sich der C-Level in einem kleinen Land wie der Schweiz regelmässig aus. Wer aus erster Hand von einem Vorfall erfährt, macht sich automatisch Sorgen. Viertens wies die Schweiz noch vor COVID-19 im Vergleich zum nahen Ausland erhebliche Defizite in der Digitalisierung auf, zum Beispiel bei der Adaption von Cloudservices. Da die Pandemie der Digitalisierung einen ungeahnten Drive verlieh, entstand gleichzeitig eine Überempfindlichkeit auf das Thema.

Abbildung 1: Die allgemeine Besorgnis von Schweizer CEOs über Cyberbedrohungen ist enorm hoch.

Strategieziel Cyberresilienz

Nicht nur die Virologen, sondern auch die Cyberexperten sprechen von Resilienz. Diese beschreibt die Widerstandsfähigkeit eines Unternehmens gegen Cyberangriffe. Und sie resultiert aus einem geschlossenen Kreislauf aus Gefahrenerkennung (identifizieren), geeigneten Schutzmassnahmen (schützen), überwachenden Kontrollen (erkennen), Krisenfähigkeit und Fähigkeit, einen Cybervorfall zu handhaben (reagieren), um letztlich gestärkt daraus hervorzugehen (wiederherstellen). Auch mit regelmässigen Trainings und Simulationen können die Unternehmen ihre Cyberresilienz kontinuierlich verbessern. Besonders beim Erkennen tun sich Schweizer Unternehmen nach wie vor schwer. Sie haben traditionsgemäss stark in den Schutz investiert. Der Schadensmoment eines Cyberangriffes ist nicht unmittelbar und bahnt sich in den meisten Fällen an. Wer diese Zeichen dank Detektion frühzeitig erkennt, erhöht das präventive Momentum seiner Cyberresilienz. Diese ist denn auch die Grundlage, um auf eine Cyberattacke reagieren zu können, sogar während einer COVID-19-Krise. Bisher haben die Unternehmen mit ihren Sicherheitsdispositiven kaum massive cyberspezifische Schadensfälle abgebildet, zum Beispiel einen Gesamtausfall der IT-Mittel aufgrund einer Cyberattacke, wie wir es in der letzten Zeit vermehrt beobachten können. Sie haben einen regionalen Stromausfall oder den Brand im Serverraum, eventuell sogar den Totalausfall eines Rechenzentrums geplant und durchgespielt. Nicht aber ein Szenario, wonach die gesamte IT-Infrastruktur verschlüsselt wird und der Zugang nicht nur zu den Daten, sondern auch zu den Backup- Informationen nicht mehr möglich ist. 

«Die Unternehmen sollten die Transformation ihrer Sicherheitsorganisation stärker an diejenige ihres Business knüpfen.»

Urs Küderli Partner Cybersecurity and Privacy, PwC Schweiz

Mehr ist noch nicht genug

46 % der Schweizer CEOs sind der Meinung, dass ihre Organisation mehr Massnahmen im Bereich Cybersecurity und Datenschutz ergreifen sollte. Weltweit sind es 36 %. Immerhin geben 77 % der Schweizer Studienteilnehmenden an, dass sie ihre Langzeitinvestitionen für Cybersecurity und Datenschutz als Resultat der COVID-19-Krise erhöhen wollen. Dieser Wert liegt leicht über der globalen Einschätzung. Im Hinblick auf die aktuelle Sicherheitsmaturität der Unternehmen sollte er allerdings näher bei 100 % liegen. Gerade bei der Krisenplanung bestehen in der Schweiz grosse Unterschiede. Es existieren unzählige einzelne Programmelemente, doch selten eine übergeordnete Strategie. Die Pandemie und die damit einhergehende Digitalisierung haben die Transformation der Unternehmen und deren Prozesse vorangetrieben; der Sicherheitsansatz hingegen wurde nicht zeitgleich oder gar nicht transformiert. Hier gilt es, Sicherheitsorganisation und Business stärker zu verbinden.

Faktor Mensch einbeziehen

Pandemiebedingt gehören Home-Office und Videokonferenzen zur neuen Normalität. Allerdings beeinträchtigen die neuen Technologien und Anwendungen den persönlichen Austausch, was das Umgehen von mitdenkenden Menschen für Cyberangreifer einfacher macht. Noch immer investieren die Unternehmen ungenügend in die Sicherheitsausbildung ihres Personals. Wachsame Mitarbeitende sind Teil einer wirksamen Früherkennung. Eine solche gilt es mit einer hohen Reaktionsfähigkeit durch Menschen und Technologien zu ergänzen. Dieses doppelte Potenzial schöpfen die Unternehmen aktuell noch zu wenig aus. Unternehmen sollten sich zudem Richtung fehlertolerante Kultur weiterentwickeln. Es ist besser, Mitarbeitende, die versehentlich auf ein Phishing-Mail geantwortet haben, zu bestärken, das zu melden. So lässt sich ein potenzieller Schaden früh erkennen und präventive Massnahmen ergreifen. 

Regulierung beeinflusst Risikomanagement

84 % der Schweizer CEOs decken Cyberbedrohungen mit ihrem Risikomanagement ab. Global sind es lediglich 59 %. Das reflektiert die Tatsache, dass in der Schweiz manche Branchen stark reguliert sind, zum Beispiel die Finanzdienstleister. Für solche gehören Cyberbedrohungen von Gesetzes wegen in den alltäglichen Umgang mit Risiken. Die Frage, ob ihr Unternehmen im Bereich Cybersecurity und Datenschutz mehr berichten sollte, beantworten 25 % der Schweizer CEOs mit Ja, nur 2 Prozentpunkte mehr als die Kollegen weltweit. Hinsichtlich Offenlegung scheinen die Entscheidungsträger keinen Handlungsbedarf zu sehen. 

Informationssicherheit gewährleisten

59 % der Schweizer CEOs äussern sich besorgt über Fehlinformationen. Das deutet darauf hin, dass die Dunkelziffer der Fälle und deren Schweregrad immer noch hoch sind. Dieses Resultat könnte auch auf die Befürchtung hinweisen, dass Cyberkriminelle Informationen abgreifen und verfälschen, die entweder die Geschäftsentwicklung beeinträchtigen oder zu Fehlentscheidungen führen. In cyberbewussten Unternehmen informieren Chief Information Security Officer (CISO) die Verantwortungsträger regelmässig darüber, welche Bedrohungen, Risiken, Akteure und Arten von Angriffen geschäftsrelevant sind und mit welchen Massnahmen sie ihre Sicherheitsmaturität verbessern. 

Möchten Sie mehr über diese Umfrage erfahren?

Kontaktieren Sie uns, um die Ergebnisse in einem Meeting zu besprechen und zu erfahren, was die Resultate für Ihr Unternehmen bedeuten.

Kontaktieren Sie uns

Das Wichtigste in Kürze

  • 93 % der befragten Schweizer CEOs sind besorgt bezüglich Cyberbedrohungen
  • 77 % der Schweizer Studienteilnehmenden möchten ihre Langzeitinvestitionen für Cybersecurity und Datenschutz erhöhen
  • 84 % der Schweizer CEOs decken Cyberbedrohungen mit ihrem Risikomanagement ab
Trust in Transformation

Schweizer Ausgabe: «24th Annual CEO Survey»

111 Schweizer CEOs gaben Antworten darauf, wie sie mit den Auswirkungen der COVID-19 Pandemie umgehen. Lesen Sie unseren Schweizer Report, welcher Schwerpunktmässig die Themen Wachstum, Upksilling, Nachhaltigkeit und Cybersecurity beleuchtet. 

Report herunterladen

#social#

Lesen Sie weitere Inhalte

Registrieren Sie sich für personalisierte Updates, die auf Ihre Interessen zugeschnitten sind.

PwC Updates abonnieren

{{filterContent.facetedTitle}}

Kontaktieren Sie uns

Urs Küderli

Urs Küderli

Partner and Leader Cybersecurity and Privacy, PwC Switzerland

Tel.: +41 58 792 42 21