(© Mila Gligoric – Fotolia.com)
Zürich – Die Mehrzahl der international orientierten Unternehmen in der Schweiz bewertet die Risiken von Cyber-Attacken als hoch, während national ausgerichtete Firmen diese oft unterschätzen. Diese Sichtweise birgt grosse Risiken. Die Studie verdeutlicht, dass Unternehmen ihre Abwehrstrategien und das eigene Reaktionsvermögen verbessern und eine strategischere Sichtweise einnehmen müssen. Cyber Security muss transparent gemessen und professionell gemanagt werden. Dies ist nicht zuletzt eine Aufgabe des Top-Managements.
Die erste Studie von Deloitte zum Thema Cyber Security in der Schweiz zeigt deutlich, dass vor allem binnenorientierte Unternehmen Cyber-Bedrohungen tendenziell unterschätzen (siehe Abb. 1). Lediglich ein Drittel der Befragten erachtet Cyber Security als strategisch bedeutsam.
Abb. 1: Die Meinungen zu Cyber Security variieren zwischen national und international tätigen Unternehmen 1
1 Bedrohungsbewusstsein = Beurteilung des Schweregrades von Cyber-Bedrohungen
Reifegrad von Cyber Security = Beurteilung bestehender Fähigkeiten und Abwehrmöglichkeiten
Strategische Bedeutung = Bedeutung von Cyber Security im Vergleich zu anderen Prioritäten
Risiken werden oft unterschätzt
Die Gründe für die Unterschätzung von Cyber-Risiken sind vielfältig. Sie können jedoch auf die Tatsache zurückgeführt werden, dass Cyber Security oft unsichtbar und nicht greifbar ist. Mark Carter, leitender Partner für Security & Resilience bei Deloitte in der Schweiz, erklärt: „Würde unzureichende Sicherheit Lärm verursachen, wären mehr Unternehmen alarmiert. Aber leider ist dies nicht der Fall.” In den letzten Jahren wurde Deloitte nach schwerwiegenden Vorfällen verstärkt zur Wiederherstellung des normalen Betriebs herangezogen. „Unternehmen stellen immer wieder überrascht fest, dass sie frühe Warnsignale übersehen haben oder Vorfälle aufgrund von unvollständigen Aufzeichnungsdaten nicht rekonstruieren können“, so Carter.
Von Risikoblindheit zu Risikobewusstsein
Die Befragten beschreiben dieses Problem als „Teufelskreis der Blindheit”: Die Unternehmen sind sich der Cyber-Attacken oft gar nicht bewusst, da die geeigneten Instrumente für eine ausreichende Überwachung fehlen. Dies führt dazu, dass sie nur ungenügend in die notwendigen Ressourcen investieren, die einen besseren Umgang mit diesen Bedrohungen ermöglichen. Dieser Teufelskreis wird in der Regel nur dann durchbrochen, wenn Entscheidungsträger Möglichkeiten zur Verbesserung ihrer Unternehmenssicherheit frühzeitig wahrnehmen. Gemäss der Deloitte-Studie setzt jedoch ein Umdenken ein: Die befragten Unternehmen zählen Investitionen in Cyber-Intelligenz und Aufklärung zu den höchsten Prioritäten für die kommenden Jahre.
Schwierigkeiten beim Aufbau ausgereifter Cyber-Abwehrstrategien
Mehr als 80% der Befragten geben zudem an, dass ihr Unternehmen noch nicht genug zum Schutz gegen Cyber-Attacken unternimmt. Viele haben Schwierigkeiten bei der Messung von Cyber Security und sind sich unschlüssig über Art und Umfang der benötigten Cyber-Abwehrstrategien. Entscheidungen über Sicherheitsinvestitionen beruhten darum bisher hauptsächlich auf taktischen Überlegungen. Eine letzte Hürde beim Aufbau ausgereifter Sicherheitssysteme ist die weit verbreitete Fehleinschätzung, dass Cyber-Sicherheit ein IT-Problem ist. Andere Aspekte von Cyber Security, beispielsweise Angriffe auf Marken, rechtliche und regulatorische Vorgaben oder auch Unternehmensbetrug, finden deshalb immer noch zu wenig Beachtung.
„Unternehmen müssen jetzt erkennen, dass die Geschäftsleitung bei der Bewältigung aller Aspekte von Cyber Security eine entscheidende Rolle spielt“, folgert Mark Carter. Die meisten Befragten stimmten dieser Aussage zwar zu, aber weniger als die Hälfte der Unternehmen konnten sich bisher die notwendige Unterstützung durch das Top-Management sichern.
Ausblick
Obwohl die Herausforderungen beim Aufbau ausgereifter Sicherheitssysteme weiterhin gross sind, machen Schweizer Unternehmen erhebliche Fortschritte. Immer öfter werden Ausschüsse eingerichtet, um Cyber Security ganzheitlich und organisationsübergreifend zu steuern. Die Bestrebungen für eine frühzeitige Erkennung von Angriffen und die Messung von Cyber-Abwehrstrategien sind Anzeichen einer zunehmend reifen Disziplin. Dies sind viel versprechende Anzeichen in einer Zeit, in der Cyber-Attacken private und öffentliche Organisationen immer wieder erschüttern. (Deloitte/mc/ps)
Über die Deloitte-Studie «Cyber Security in Switzerland – Finding the balance between hype and complacency»
Deloitte befragte 17 Chief Information Security Officers (CISOs) und Heads of Security Engineering/Operations aus einem breiten Branchenquerschnitt, um sich ein Bild davon zu machen, wie gut in der Schweiz ansässige Unternehmen auf Cyber-Attacken vorbereitet sind und wie sie darauf reagieren. Die Interviews wurden zwischen Oktober 2013 und Januar 2014 geführt. Die Studie basiert auf den Interview-Ergebnissen sowie der Erfahrung ausgewiesener Deloitte-Experten.
Bitte klicken Sie hier, wenn Sie eine vollständige Fassung der Studie auf Englisch downloaden möchten.
Über Deloitte in der Schweiz
Deloitte ist ein führendes Prüfungs- und Beratungsunternehmen in der Schweiz und bietet branchenspezifische Dienstleistungen in den Bereichen Wirtschaftsprüfung, Steuerberatung, Consulting und Corporate Finance. Mit rund 1‘100 Mitarbeitenden an den sechs Standorten Basel, Bern, Genf, Lausanne, Lugano und Zürich (Hauptsitz) betreut Deloitte Unternehmen und Institutionen jeder Rechtsform und Grösse aus allen Wirtschaftszweigen. Deloitte AG ist eine Tochtergesellschaft von Deloitte LLP, dem Mitgliedsunternehmen in Grossbritannien von Deloitte Touche Tohmatsu Limited (DTTL). Über DTTL sind deren Mitgliedsunternehmen mit rund 200‘000 Mitarbeitenden in mehr als 150 Ländern auf der ganzen Welt vertreten.
