Zürich – Mehr als ein Drittel (37%) der Unternehmen verfügt über keine Echtzeit-Informationen bezüglich Risiken im Internet / Es fehlen finanzielle Mittel und Know-how, um die steigende Cyberkriminalität zu bekämpfen / Schwachstelle Nummer 1 sind unvorsichtige oder unwissende Mitarbeitende, während die grösste Gefahr der Diebstahl von Finanzdaten darstellt / Organisationen müssen in ständiger Alarmbereitschaft sein und neue Bedrohungen antizipieren können
Die meisten Unternehmen (67%) sehen sich im Bereich der Datensicherheit steigenden Bedrohungen ausgesetzt, 37% der Befragten verfügen über keine Echtzeit-Informationen bezüglich der Risiken im Internet, die für eine erfolgreiche Bekämpfung erforderlich wären. Dies ist eine der wichtigsten Erkenntnisse des Global Information Security Survey, Get Ahead of Cybercrime, von EY, in dessen Rahmen dieses Jahr 1’825 Unternehmen in 60 Ländern (darunter die Schweiz) untersucht wurden.
Den Unternehmen mangelt es an Flexibilität, finanziellen Mitteln und Know-how, um bekannte Schwachstellen zu minimieren, sich erfolgreich auf Cyberangriffe vorzubereiten und entsprechende Probleme anzugehen. Von den befragten Unternehmen gaben 43% an, dass ihr Gesamtbudget für die Datensicherheit trotz steigender Bedrohungen in den nächsten 12 Monaten ungefähr gleich hoch bleiben wird. Dies ist nur eine leichte Verbesserung gegenüber 2013, als 46% angaben, dass sich ihr Budget nicht ändern werde.
«Unvorsichtige oder unwissende Mitarbeitende» Schwachstelle Nummer 1
Für mehr als die Hälfte (53%) ist der Mangel an Fachkräften eines der grössten Hindernisse für die Gewährleistung der Datensicherheit, und nur 5% der befragten Unternehmen verfügen über ein Team mit spezialisierten Analysten zur Bekämpfung solcher Bedrohungen. Diese Zahlen weichen ebenfalls nicht stark von jenen im Jahr 2013 ab, als 50% einen Mangel an Fachkräften geltend machten und 4% sagten, sie verfügten über ein entsprechendes Team mit spezialisierten Analysten.
«Unvorsichtige oder unwissende Mitarbeitende» wurden als Schwachstelle Nummer 1 der Unternehmen ermittelt. 38% der Befragten sehen diesen Bereich als ihre höchste Priorität an. «Veraltete Informationssicherheitskontrollen oder -architekturen» sowie die «Nutzung von Cloud-Computing-Diensten» belegen mit 35% bzw. 17% den zweiten und dritten Platz. «Diebstahl von Finanzinformationen», «Störung oder Beeinträchtigung der Organisation» und «Diebstahl von geistigem Eigentum oder Daten» stellen die drei grössten Bedrohungen dar (28%, 25% bzw. 20% messen diesen Bereichen die grösste Priorität bei).
Weitreichende Folgen
Die diesjährige Studie kommt zu der Erkenntnis, dass Unternehmen Angriffe besser antizipieren müssen in einem Umfeld, in dem es nicht mehr möglich ist, sämtliche Attacken aus dem Internet zu vermeiden, und Gefahren von immer ressourcenstärkeren und finanziell gut ausgestatteten Quellen ausgehen.
Marcus Rübsamen, Information Security Leader von EY für die Schweiz, meint dazu: «Organisationen werden erst eine Risikostrategie für die Zukunft entwickeln, wenn sie wissen, wie sie Cyberkriminellen zuvorkommen können. Cyberangriffe können potenziell weitreichende Folgen haben – nicht nur finanziell, sondern auch in Bezug auf Marken- und Rufschädigung, den Verlust von Wettbewerbsvorteilen und die Nichteinhaltung von regulatorischen Bestimmungen. Unternehmen müssen von ihrer reaktiven Haltung zu einem proaktiven Kurs finden und sich von leichten Zielen für Cyberkriminelle in gefürchtetere Gegner verwandeln.»
Der Bericht ermutigt Unternehmen, die Cybersicherheit als eine Kernkompetenz in ihre Strategie aufzunehmen, um so konkurrenzfähig bleiben zu können. Dies erfordert, dass sich eine Organisation in ständiger Bereitschaft befindet, neue Bedrohungen antizipiert und ihre passive Haltung ablegt. Um dies zu erreichen, empfiehlt der Bericht Folgendes:
- Wachsam sein gegenüber neuen Bedrohungen: Die Führungsetage sollte Cyberbedrohungen/-risiken als Kernaufgabe ansehen und einen dynamischen Entscheidungsprozess implementieren, aufgrund dessen rasch präventive Massnahmen ergriffen werden können.
- Die Bedrohungslandschaft kennen: Organisationen sollten über ein umfassendes und doch zielgerichtetes Bewusstsein bezüglich der allgemeinen Bedrohungslage und ihrer möglichen Auswirkungen auf die Organisation verfügen und in Informationen über Cyberbedrohungen investieren.
- Die eigenen «Kronjuwelen» kennen: In der ganzen Organisation sollte ein gemeinsames Verständnis darüber herrschen, welche Aktiven für das Unternehmen am wertvollsten sind und wie diese prioritär behandelt und geschützt werden können.
- Sich auf die Krisenbewältigung konzentrieren: Organisationen sollten ihre entsprechenden Ressourcen regelmässig überprüfen.
- Lernen und sich weiterentwickeln: Die digitale Spurensicherung ist ein wichtiges Puzzleteil. Organisationen sollten Daten von Vorfällen und Angriffen genau untersuchen, bestehende Kooperationen aufrechterhalten und neue eingehen sowie ihre Strategie regelmässig überarbeiten.
Marcus Rübsamen fügt hinzu: «Unternehmen sollten über interne Bedrohungen hinaus auch grundsätzlich über ihr wirtschaftliches Umfeld und darüber nachdenken, wie Beziehungen zu Drittparteien und Lieferanten ihr Sicherheitsprofil beeinflussen können. Erst wenn in Bezug auf die Cybersicherheit ein fortgeschrittenes Stadium der Bereitschaft erreicht ist, kann eine Organisation wirklich von ihrer Investition in diesem Bereich profitieren. Wenn alle Bausteine gelegt sind und sichergestellt ist, dass das Programm auf Veränderungen reagieren kann, können Unternehmen Cyberkriminellen einen Schritt voraus sein, Ressourcen ausbauen, bevor sie benötigt werden, und sich auf Bedrohungen vorbereiten, bevor sie eintreten.»
Weitere Informationen sowie den Bericht 2014 finden Sie unter www.ey.com/GISS. (EY/mc/ps)
Über die globale EY-Organisation
Die globale EY-Organisation ist eine Marktführerin in der Wirtschaftsprüfung, Steuerberatung, Transaktionsberatung und Rechtsberatung sowie in den Advisory Services. Wir fördern mit unserer Erfahrung, unserem Wissen und unseren Dienstleistungen weltweit die Zuversicht und die Vertrauensbildung in die Finanzmärkte und die Volkswirtschaften. Für diese Herausforderung sind wir dank gut ausgebildeter Mitarbeitender, starker Teams sowie ausgezeichneter Dienstleistungen und Kundenbeziehungen bestens gerüstet. Building a better working world: Unser globales Versprechen ist es, gewinnbringend den Fortschritt voranzutreiben – für unsere Mitarbeitenden, unsere Kunden und die Gesellschaft.
Die globale EY-Organisation besteht aus den Mitgliedsunternehmen von Ernst & Young Global Limited (EYG). Jedes EYG-Mitgliedsunternehmen ist rechtlich selbstständig und unabhängig und haftet nicht für das Handeln und Unterlassen der jeweils anderen Mitgliedsunternehmen. Ernst & Young Global Limited ist eine Gesellschaft mit beschränkter Haftung nach englischem Recht und erbringt keine Leistungen für Kunden. Weitere Informationen finden Sie auf unserer Website: www.ey.com.
Die EY-Organisation ist in der Schweiz durch die Ernst & Young AG, Basel, an zehn Standorten sowie in Liechtenstein durch die Ernst & Young AG, Vaduz, vertreten. «EY» und «wir» beziehen sich in dieser Publikation auf die Ernst & Young AG, Basel, ein Mitgliedsunternehmen von Ernst & Young Global Limited.
Firmeninformationen bei monetas
