Zürich – Die Wirtschaft wird immer vernetzter – wodurch Kundendaten, Geschäftsgeheimnisse und interne Kommunikation anfällig für Hackerattacken werden. So hat die Mehrheit der Unternehmen (54 Prozent) jüngst eine Cyberattacke registriert. Allerdings muss oft erst etwas Ernstes passieren, bevor die Sicherheit verbessert wird: Eine Cyberattacke ohne entstandenen Schaden würde bei 63 Prozent der Unternehmen voraussichtlich nicht zu höheren Sicherheitsausgaben führen. Erst wenn ein echter Schaden entstanden ist, sehen es 76 Prozent der Befragten als wahrscheinlich an, dass auch die Ausgaben für Cybersecurity steigen, wie aus der aktuellen Studie «Global Information Security Survey 2018-2019» der Prüfungs- und Beratungsorganisation EY hervorgeht. An der Umfrage, die zum 21. Mal durchgeführt wurde, beteiligten sich weltweit mehr als 1’400 IT- und Sicherheits-Verantwortliche von Unternehmen.
Immerhin steigen die Ausgaben für die Abwehr von Attacken über das Internet bei der Mehrzahl der Unternehmen: Zwei Drittel der Befragten erwarten ein höheres Budget in den nächsten zwölf Monaten. Bei 15 Prozent soll es sogar um mehr als ein Viertel steigen. Trotz der besseren finanziellen Ausstattung könnte das Budget im Kampf gegen Cyberattacken nicht ausreichen: 40 Prozent der IT- und Sicherheits-Verantwortlichen halten Budgetsteigerungen um ein Viertel oder sogar deutlich mehr für nötig.
«Cyberangriffe auf Unternehmen sind längst keine Seltenheit mehr. Im Gegenteil – sie sind an der Tagesordnung», sagt Tom Schmidt, Cybersecurity Leader bei EY FSO in der Schweiz. «Selbst Firmen, die keinen Angriff registriert haben, könnten betroffen sein, ohne dass sie davon etwas mitbekommen. Unternehmen, die erst reagieren, wenn das Kind in den Brunnen gefallen ist, handeln fahrlässig. Ein Schadenfall kann schnell verheerende Auswirkungen haben: Daten von Kunden geraten in falsche Hände, Server werden lahmgelegt, es kommt zu kostspieligen Produktionsausfällen, gestohlenen Geschäftsgeheimnissen und einem nachhaltigen Vertrauensverlust.»
Mangel an Know-how und Geld schränken Cybersicherheit ein
Geld ist zwar ein entscheidender Faktor im Kampf gegen Cyberangriffe – aber nicht unbedingt der wichtigste. 25 Prozent der Befragten geben an, dass ihre Budgetvorgaben die Funktions-fähigkeit der Cybersicherheit einschränken. Sogar 30 Prozent sagen, dass das nötige Wissen im Unternehmen nicht vorhanden ist. Das zieht sich bis in die Chefetagen: In sechs von zehn Unternehmen ist der Verantwortliche für Cybersicherheit nicht Mitglied der Geschäftsleitung respektive des Verwaltungsrates. Möglicherweise ist das ein Grund dafür, warum nur 39 Prozent der IT- und Sicherheits-Verantwortlichen auf die Frage, ob in der Geschäftsführungsebene die Gefahr durch Cyberattacken voll verstanden wird und entsprechende Massnahmen eingeleitet werden, mit einem klaren «Ja» antworten. Ausserdem sagen nur 16% der befragten Finanzunternehmen (Banken, Versicherungen, Asset Manager) dass ihr Information Security Reporting innerhalb der Firma die Bedürfnisse erfüllt. Die anderen Branchen schneiden in diesem Bereich allerdings noch schlechter ab.
«Viele Firmen erarbeiten oder setzen derzeit eine Digitalstrategie um. Das ist gleichzeitig die grosse Chance, Cybersecurity von Anfang an einzubeziehen und sie zu einem integralen Bestandteil der Geschäftsprozesse und deren Resilienz zu machen. Unternehmen sind gut beraten, Cybersecurity als Vertrauensbasis und mitentscheidend für den Geschäftserfolg zu begreifen und sie zur Chefsache zu machen», gibt Roman Haltinner, zuständig bei EY für Cybersecurity bei Industrieunternehmen, deshalb zu bedenken.
Grössere Unternehmen würden Attacken eher erkennen als kleinere
Gerade kleinere und mittlere Unternehmen (KMU’s) haben oft nicht die Mittel oder Strukturen, um Angriffe sofort zu erkennen. So halten es 64 Prozent der IT- und Sicherheits-Verantwortlichen in grossen Unternehmen (ab einem Jahresumsatz von CHF 1 Milliarde) für wahrscheinlich, dass sie einen ausgeklügelten Cyberangriff erkennen würden. Von den kleineren Unternehmen sind nur 56 Prozent so optimistisch. Das hängt auch mit den Strukturen zusammen: So wurden immerhin 16 Prozent der registrierten Attacken von einem «Security Operations Center» entdeckt, in dem die Cybersicherheit eines Unternehmens koordiniert wird. Allerdings haben nur 40 Prozent der kleineren Unternehmen ein solches Center eingerichtet, aber 72 Prozent der Grosskonzerne. «Gerade KMU‘s, die nicht das Geld oder das Know-how für interne Lösungen haben, sollten prüfen, Sicherheitslösungen auszulagern. Nur so können sie sich angemessen vor Attacken schützen», so Roman Haltinner.
Kunden- und Finanzinformationen sind besonders sensible Daten
Die grössten Sicherheitsrisiken hängen aus Sicht der Befragten direkt mit dem operativen Geschäft zusammen: Kundeninformationen, Finanzinformationen und Strategiepläne sind aus Sicht der IT- und Sicherheits-Verantwortlichen die sensibelsten Daten, die Kriminelle abgreifen können. Sicherheitslücke Nummer Eins sind aus Sicht der Befragten die eigenen Mitarbeiter: Ein Drittel nennt unaufmerksame beziehungsweise unvorsichtige Mitarbeiter als Einfallstor für Cyberkriminelle, ein Viertel macht veraltete Sicherheitsprogramme dafür verantwortlich.
«Mitarbeiter müssen kontinuierlich geschult und über Datensicherheit aufgeklärt werden», betont Cybersecurity-Experte Tom Schmidt. «Menschen sind nach wie vor die grösste Schwachstelle bei der Sicherheit. Sie fallen auf Phishing-Attacken herein oder surfen auf unsicheren Webseiten. Dieses Risiko können Firmen über Trainingsprogramme minimieren.» (EY/mc/ps)
Über die globale EY-Organisation
Die globale EY-Organisation ist eine Marktführerin in der Wirtschaftsprüfung, Steuerberatung, Transaktionsberatung und Rechtsberatung sowie in den Advisory Services. Wir fördern mit unserer Erfahrung, unserem Wissen und unseren Dienstleistungen weltweit die Zuversicht und die Vertrauensbildung in die Finanzmärkte und die Volkswirtschaften. Für diese Herausforderung sind wir dank gut ausgebildeter Mitarbeitender, starker Teams sowie ausgezeichneter Dienstleistungen und Kundenbeziehungen bestens gerüstet. Building a better working world: Unser globales Versprechen ist es, gewinnbringend den Fortschritt voranzutreiben – für unsere Mitarbeitenden, unsere Kunden und die Gesellschaft.
Die globale EY-Organisation besteht aus den Mitgliedsunternehmen von Ernst & Young Global Limited (EYG). Jedes EYG-Mitgliedsunternehmen ist rechtlich selbstständig und unabhängig und haftet nicht für das Handeln und Unterlassen der jeweils anderen Mitgliedsunternehmen. Ernst & Young Global Limited ist eine Gesellschaft mit beschränkter Haftung nach englischem Recht und erbringt keine Leistungen für Kunden. Weitere Informationen finden Sie auf unserer Website: www.ey.com.
Die EY-Organisation ist in der Schweiz durch die Ernst & Young AG, Basel, an zehn Standorten sowie in Liechtenstein durch die Ernst & Young AG, Vaduz, vertreten. «EY» und «wir» beziehen sich in dieser Publikation auf die Ernst & Young AG, Basel, ein Mitgliedsunternehmen von Ernst & Young Global Limited.
