Zürich – Eine deutliche Mehrheit von 71 Prozent der befragten Chief Information Security Officers (CISO) und Chief Information Officers (CIO) ist zufrieden damit, wie das eigene Unternehmen mit Cybersecurity-Themen umgeht. Das zeigt die jährliche Cybersecurity-Umfrage des Wirtschaftsprüfungs- und Beratungsunternehmens EY in der Schweiz.

Das sind wesentlich mehr als im weltweiten Vergleich: Nur 42% der 500 für die globale EY Cybersecurity Studie befragten Unternehmen sind zufrieden mit der Handhabung von Cybersecurity-Themen in ihrer Organisation.

«Die teilweise grosse Abweichung zwischen den globalen und den Schweizer Resultaten ist insbesondere auch auf die Branche der teilnehmenden Unternehmen und die Funktionen der teilnehmenden Personen zurückzuführen. In der Schweiz stammt die Mehrzahl der teilnehmenden Unternehmen aus der Finanzbrache und es haben sich ausschliesslich CISOs und CIOs an der Schweizer Studie beteiligt. Die Finanzbranche weist durchschnittlich eine deutlich bessere Cybersecurity-Maturität auf als viele Unternehmen in anderen Branchen», sagt Tom Schmidt, EMEIA Financial Services Cybersecurity Competency Leader bei EY in der Schweiz.

Starker Anstieg von Cyberangriffen

Weltweit haben Unternehmen in den letzten 5 Jahren einen Anstieg an Cyberangriffen von rund 75 Prozent festgestellt. Während weltweit bei Unternehmen eine durchschnittliche Anzahl von 44 Cyber-Vorfällen im Jahr 2022 registriert wurde, sind es in der Schweiz lediglich 14 solche Fälle. Bei der Reaktionszeit schneiden die Schweizer Unternehmen sehr gut ab: Laut der Befragung benötigen diese weniger als 5 Monate, um auf Cyber-Vorfälle adäquat zu reagieren, während 76% der Unternehmen weltweit über 6 Monate dafür brauchen.

Auch der Blick auf künftige Entwicklungen ist bei Schweizer Unternehmen optimistischer als im weltweiten Umfeld: 57% der befragten Schweizer CISOs und CIOs geben an, dass ihr Unternehmen gut auf künftige Cyberbedrohungen vorbereitet ist. Weltweit meinen das 46% der befragten Verantwortlichen.

Das sind die Erkenntnisse der EY Swiss Cybersecurity Leadership Insights Study, für welche die CIOs und CISOs von 28 ausgewählten Schweizer Unternehmen befragt wurden. Mehr als die Hälfte der befragten Schweizer Unternehmen gehören der Banken- und Versicherungs-Branche an. Für die globale Studie wurden CISOs und weitere Führungskräfte von 500 grossen Unternehmen aus 25 Ländern mit einem Umsatz von über 1 Milliarde US-Dollar befragt.

Bedrohungen und Herausforderungen aus Schweizer Sicht

Über 70 Prozent der Schweizer Unternehmen sehen für die nächsten fünf Jahre die grössten Cyber-Bedrohungen vor allem in den Bereichen Künstliche Intelligenz, Machine Learning und Cloud. Für die Schweizer Unternehmen selber sind die grössten Herausforderungen im Umgang mit Cyber-Bedrohungen die Ressourcen und der Skill-Gap. Um diesen zu schliessen, verfolgen die Firmen folgende Strategien: Schulung/Weiterbildung der vorhandenen Cyber-Sicherheitskräfte; Standardisierung und Automatisierung von Sicherheitsprozessen zur Reduzierung des Personalbedarfs und die Priorisierung der Bindung und Rekrutierung einer von Cyber-Sicherheitspersonal mit diversifizierten Hintergründen.

Zwar geben 46 Prozent der befragten Schweizer CISOs und CIOs an, dass ihr Unternehmen einen adaptiven und keinen traditionellen Ansatz zur Bekämpfung und Vermeidung von Cyber-Bedrohungen und -Gefahren verfolgt. Für 75 Prozent sind die grössten Herausforderungen die zu grosse Angriffsfläche und die Balance zwischen Sicherheit und der Innovationsgeschwindigkeit. Weltweit liegt dieser Wert bei 52 Prozent.

Das Spannungsfeld zwischen Sicherheit und Geschwindigkeit zeigt sich auch bei den Defensivmassnahmen der Unternehmen: 50 Prozent der CISOs und CIOs geben an, dass sich ihre Defensivmassnahmen nicht schnell genug an die sich rasch entwickelnden Bedrohungen anpassen. Das passt zur Aussage, wonach sich nur 43 Prozent der Befragten als Early Adopter sehen. Schweizer Unternehmen setzen vielmehr auf gründlich getestete Technologien und Lösungen. In diesem Hinblick sehen sich die global Befragten Teilnehmer viel klarer als jene, welche die neuesten Technologien nutzen – 65 Prozent bezeichnen sich als Early Adopter.

«Wir sehen im globalen Vergleich, dass Schweizer Unternehmen in der Einführung von neuen Technologien wie künstliche Intelligenz zurückhaltender vorgehen. Dabei bilden automatisierte Sicherheitsmassnahmen ein zusätzliches Potenzial für Unternehmen, schneller auf Bedrohungen reagieren zu können», sagt Roman Haltinner, EMEIA Europe West Cybersecurity Competency Leader bei EY in der Schweiz.

Laut Aussage der Befragten ist das richtige Verhalten im Hinblick auf Cyber-Risiken noch nicht ganz in der Unternehmenskultur der Schweizer Unternehmen angekommen: Rund 60% der befragten Fachverantwortlichen gibt an, dass sie ausserhalb der IT-Abteilungen einen Mangel bei der Einhaltung von Cybersecurity Best Practices feststellen und dass Cybersecurity als reines IT-Problem wahrgenommen werde. «Es ist wichtig, dass richtiges Verhalten bezüglich Cyber-Risiken im ganzen Unternehmen gelebt und zentraler Teil der Unternehmenskultur wird», sagt Tom Schmidt.

Ausgaben für Cyber-Sicherheit bei Schweizer Unternehmen

Die Budgets für IT und Cybersecurity bei den befragten Schweizer Unternehmen verbleiben gegenüber dem Vorjahr (2022) mehrheitlich auf demselben Niveau: In den Jahren 2022 und 2023 wurden 14 Prozent des jährlichen Umsatzes für IT aufgewendet. Von diesen IT-Budgets gingen 6 Prozent (2022), beziehungsweise 7 Prozent (2023) an die Cybersecurity.

39 Prozent der befragten Unternehmen wenden zwischen einer und 4,9 Millionen Schweizer Franken für ihre Cybersecurity auf. Bei 25 Prozent der Unternehmen liegt dieses Budget zwischen 10 und 49 Millionen Franken. 22 Prozent investieren weniger als eine Million Franken und 4 Prozent geben mehr als 50 Millionen Franken aus für die ihre Cyber-Sicherheit. (EY/mc)