Der 22. CEO Survey von PwC zeigt: Schweizer Unternehmen erkennen die Wichtigkeit des technologischen Fortschritts und der Digitalisierung, aber auch grosse Herausforderungen im Zusammenhang mit dem Datenschutz. Sie sind sich der Gefahr von Cyberrisiken bewusst, unternehmen aber noch zu wenig, um ihre Cyber-Resilienz zu erhöhen.
In der Befragung äusserten sich mehr als 1‘350 Spitzenmanager aus über 90 Ländern unter anderem zur Digitalisierung und damit verbundenen Themen wie Datenschutz und Cyber-Resilienz. Für 93 Prozent der Chefs von Schweizer Unternehmen ist der technologische Fortschritt einer der drei wichtigsten Treiber ihres wirtschaftlichen Handelns (Abbildung 1). Damit in Verbindung stehen auch Herausforderungen, unter anderem betreffend Datenschutz und Cyberkriminalität. Es besteht Handlungsbedarf in Schweizer Unternehmen.
Chancen und Gefahren der Digitalisierung erkennen
Den befragten Schweizer CEOs ist klar: Die Digitalisierung ist für die Positionierung ihres Unternehmens im internationalen Wettbewerb und für den Wirtschaftsstandort Schweiz enorm wichtig. Digital transformierte Unternehmen profitieren beispielsweise vom Einsatz von Softwarerobotern zur Automatisierung repetitiver Geschäftsprozesse, von der Optimierung des Service- und Produktportfolios durch intelligente Datenanalysewerkzeuge oder von der Steuerung von Marketingaktivitäten über multiple Kommunikationskanäle.
Abbildung 1: Ranking der globalen Trends, welche in den letzten fünf Jahren das Geschäftsumfeld am stärksten verändert haben.
Die digitale Transformation kann demzufolge zu wesentlichen Wettbewerbsvorteilen führen. Pointiert ausgedrückt bedeutet das Folgendes: Die digitale Transformation des eigenen Unternehmens ist nicht optional, sondern zwingend, um weiterhin auf dem Markt zu bestehen. Das gilt unabhängig von der Grösse des Unternehmens oder Industrie, in der es tätig ist.
63 Prozent der Schweizer CEOs zeigen sich deshalb besorgt, wenn es um technologische Veränderungen geht. Viele Herausforderungen, vor allem diese betreffend Datensicherheit, sind mit digitalen Transformationsprozessen verbunden. Genannt werden können in diesem Kontext der Schutz vor immer komplexeren Cyberangriffen, der Mangel an IT-Sicherheitsspezialisten oder geringe IT-Budgets.
Cyberangriffe werden immer komplexer
Schweizer CEOs sind sich dem Balanceakt zwischen digitaler Öffnung und gleichzeitiger Abschirmung vor Cyberbedrohungen bewusst. 80 Prozent sehen sich geopolitischen Cyberaktivitäten ausgesetzt (Abbildung 2), weltweit sind es 72 Prozent. Im internationalen Vergleich zeigen Schweizer CEOs demnach ein höheres Risikobewusstsein für Cyberthemen.
Abbildung 2: Einschätzung der potentiellen Beeinträchtigung durch geopolitische Cyberaktivitäten.
Ein Grund dafür könnte die jeweils intensive Medienberichterstattung zu Angriffen auf Unternehmen in der Schweiz sein. So zum Beispiel im Fall der Berichterstattung zur Cyberattacke auf den Rüstungskonzern RUAG im Jahr 2016, dessen Ermittlungen nach mehr als zwei Jahren ergebnislos eingestellt wurden.
Problematisch ist, dass die von staatlichen und anderen Gruppierungen oder von Einzelpersonen ausgeführten Angriffe auf einem zunehmend ausgefeilteren Tool-Ökosystem aufbauen. So entwendeten in der Vergangenheit beispielsweise Hackergruppen wie «The Shadow Brokers» Nachrichtendiensten Elemente eines solchen Systems und veröffentlichten es im Internet. Dadurch kamen kriminelle Organisationen oder Hacker, auch ohne viel Kenntnisse, zu sehr wirkungsvollen Tools, die zum Beispiel von der NSA entwickelt wurden. Die ausgeklügelten IT-System-Angriffe erfolgen entweder mittels technischer Hacks oder über zwischenmenschliche Beeinflussungen, über so genanntes «Social Engineering».
Einen ersten Überblick über die aktuellen Gefahren bieten die Melde- und Analysestelle Informationssicherung (MELANI) der Schweizer Bundesverwaltung sowie die jährlichen Analysen von Swisscom oder Switch.
Cyberangriffe stellen für Unternehmen regulatorische, finanzielle und betriebliche Risiken dar. Denn aufgrund der immer stärkeren digitalen Vernetzung können auch Kunden, Mitarbeitende oder Lieferanten von einem Datendiebstahl betroffen sein. Die Folge kann ein hoher Vertrauens- und Reputationsverlust sein, was ein weiterer Grund für das hohe Risikobewusstsein der Schweizer CEOs für Cyberattacken sein könnte.
CEOs sind sich dieses Problems bewusst: Auf globaler Ebene identifizieren sie Cyberattacken als eine der fünf grössten Bedrohungen im Jahr 2019 (Abbildung 3). Somit stehen Cybergefahren auf der Top 10 Liste der möglichen Bedrohungen prominent vor geopolitischer Instabilität, Protektionismus oder Terrorismus.
Abbildung 3: Top 10 Wachstumsbedrohungen 2019
Die fünf Schritte zu erhöhter Cyber-Resilienz
Cyber-Resilienz bezeichnet die Widerstandsfähigkeit gegenüber Cyberbedrohungen mit präventiven und reaktiven Massnahmen und sollte deshalb mit hoher Priorität in der Unternehmensstruktur verankert sein. Doch nur 60 Prozent der Schweizer CEOs schätzen das eigene Unternehmen als cyberresistent ein. Global sind es 75 Prozent, was wir aufgrund unserer täglichen Erfahrung als zu optimistisch erachten (Abbildung 4). Trotz des Risikobewusstseins für Cyberbedrohungen sind in Schweizer Unternehmen tendenziell unzureichende Schutzmechanismen und Reaktionsmassnahmen etabliert. Verbesserungen erfolgen aus Kostengründen oft nur unzureichend.
Abbildung 4: Einschätzung zur Cyber-Resilienz
Zur Bewältigung von Cybervorfällen benötigen Unternehmen die Fähigkeit, die Vorfälle zeitnah zu erkennen, und Reaktionspläne, die ein strukturiertes, effektives Verhalten im Fall eines Cyber-Vorfalls gewährleisten. Dazu braucht es definierte Abläufe, sodass ein Cyber-Vorfall über die Notfall-Organisation bearbeitet werden kann, falls die Situation dies erfordert. Um vordefinierte Aufgaben - auch unter Zeitdruck - wirksam und zielführend abzuarbeiten, braucht es klare Rollen und Zuständigkeiten.
Cyber-Resilienz wird nach dem IKT-Minimalstandard des Bundesamts für wirtschaftliche Landesversorgung (BWL) und in Anlehnung an die globalen Standards des National Institute of Standards and Technology (NIST) in fünf zyklisch verlaufende Phasen eingeteilt:
- Identifizieren (Identify): Das Fundament der Cyber-Resilienz ist ein strategisches Rahmenwerk. Letzteres beinhaltet die Inventarisierung der Datenbestände, Systeme und Geräte sowie die Bewertung ihrer Kritikalität. Eine klare Governance definiert Verantwortlichkeiten, während das Risikomanagement detaillierte Prozessschritte zur Identifikation, Bewertung und Begrenzung von Cyberrisiken umfasst.
- Schützen (Protect): In dieser Phase werden Lösungen zur Vermeidung von Cyberbedrohungen etabliert und getestet. Dazu gehören beispielsweise ein rollenbasiertes Zugriffsmanagement mit strikter Verwaltung von Berechtigungen, Sicherheitslösungen mit Funktionen zur Wiederherstellung oder Awareness-Trainings von Mitarbeitenden. Der Schutz sensitiver Daten hat dabei den höchsten Stellenwert.
- Erkennen (Detect): Die aktive Überwachung sicherheitsrelevanter Informationen und ein Warnsystem für Cyberbedrohungen garantieren eine zeitgerechte Erkennung von Anomalien und Vorfällen. Dazu braucht es nicht nur technische Tools, sondern auch fachlich kompetente Mitarbeitende und definierte Prozesse.
- Reagieren (Respond): Bei einem Sicherheitsvorfall muss das Unternehmen schnell und gezielt reagieren, um Datenverluste und dadurch finanzielle und Reputationsschäden zu vermeiden. Diese Phase beinhaltet beispielsweise die Isolation von betroffenen Netzwerken und Nutzern, die Fehlerbehebung, das so genannte «Patchen» von Firmware, Betriebssystem, Applikationen, Treibern und Hardware sowie entsprechende Krisenkommunikation. Zur Schadensminderung müssen Verantwortlichkeiten und Prozessschritte auch in dieser Phase klar definiert sein.
- Wiederherstellen (Remediate): Systeme und Daten, die durch einen Angriff beeinträchtigt wurden, müssen zeitnah wiederhergestellt werden. Eine entsprechende Wiederherstellungsstrategie ist unabdingbar, um den Einfluss auf das Alltagsgeschäft zu minimieren. Sie definiert beispielsweise die Nutzung von Tools zur Verifikation der Wiederherstellung, den Prozess der Beweissammlung oder die Überprüfung der Backup-Integrität.
Cyber-Resilienz ist ein zyklischer Prozess. Der Angriff wird in der Retroperspektive analysiert und die gewonnen Erkenntnisse fliessen in die Aktualisierung des strategischen Rahmenwerkes zur Cyber-Resilienz ein.
Abbildung 5: Cyber-Resilienz Zyklus
Gemeinsam mit PwC Ihre Cyber-Resilienz erhöhen
Obschon Cyberbedrohungen real sind, ist Cyber-Resilienz noch zu wenig in die Unternehmensstrategie und –strukturen integriert. Da die Abwägung einer Investition in Cyber-Security gegenüber des Ausmasses und der Folgen eines Angriffes für das Unternehmen schwierig zu quantifizieren ist, werden die notwendigen Schutzmassnahmen oft nicht getätigt.
Wir beobachten die Tendenz, dass Infrastrukturen zur IT-Sicherheit ausgelagert und immer mehr Versicherungen für Cyberrisiken abgeschlossen werden. Diese Externalisierung verschiebt aber nicht die Verantwortlichkeit; sie bleibt beim Unternehmen. Deshalb müssen Unternehmen geeignete Massnahmen durchführen und Partnerschaften eingehen, sodass zumindest die regulatorischen Anforderungen in Bezug auf Cyber-Resilienz und Datenschutz erfüllt sind. Gemäss schweizerischem und europäischem Datenschutzgesetz erfordern vor allem Personendaten einen angemessenen Schutz. Geschäftsdaten und Geschäftsgeheimnisse können mit einem risikobasierten Ansatz geschützt werden.
Unternehmen müssen deshalb ihre Widerstandsfähigkeit gegenüber Bedrohungen und Angriffen aufbauen und ausweiten. Ein guter Anfang, um die Maturität der eigenen Resilienz zu steigern, ist eine systematische Analyse der eigenen Fähigkeiten sowie die Transparenz darüber, welche Daten im Unternehmen welchen Schutz benötigen. Dazu bietet das BWL eine Checkliste an.
Basierend auf der Checkliste hat PwC einen Fragebogen zur Selbstbewertung erarbeitet: www.pwc.ch/care. Letzterer erlaubt die Schaffung eines individuellen Überblicks zu den Cyberrisiken in Ihrem Unternehmen. Die auf diesem Weg identifizierten Schwächen können als Entscheidungsgrundlage zur Verbesserung der Cyber-Resilienz beitragen.