(Bild: © Mila Gligoric – Fotolia.com)
Zürich – Schweizer Unternehmen unterschätzen die Cyberrisiken im Zusammenhang mit dem Internet der Dinge. Sie kooperieren im Bereich der digitalen Sicherheit noch immer zu wenig und verfügen über ein mangelhaftes Verständnis der Bedrohungslage. Eine bedeutende Anzahl von Schweizer Firmen droht hier den Anschluss zu verlieren und riskiert dabei, die Fortsetzung ihrer Geschäftstätigkeiten zu gefährden. Dies zeigt die aktuelle KPMG Studie «Clarity on Cyber Security».
Die Digitalisierung schreitet weiter mit gewaltigen Schritten voran. Diese Entwicklung birgt nebst unternehmerischen Chancen aber auch grosse Risiken für die Schweizer Wirtschaft: So wurden in den letzten 12 Monaten über die Hälfte (54%) aller befragter Unternehmen Opfer einer Cyberattacke. Bei 44% der betroffenen Betriebe sorgten die Angriffe für eine gravierende Störung der Geschäftsprozesse und ein Viertel befürchtet, durch die Attacken einen Reputationsschaden davongetragen zu haben. Am häufigsten wendeten die Cyberkriminellen dabei Schadsoftware, Phishing-Mails sowie das sogenannte Social Engineering an. Dabei werden die Opfer mittels falscher Identitäten, durch das Vorgaukeln von sozialen Netzwerken oder durch vermeintliche Autoritäten manipuliert.
«Die Umfrage bei 60 Schweizer Unternehmen aus unterschiedlichen Branchen zeigt, dass das Thema Cybersicherheit in der Schweiz noch sehr verschieden angegangen wird: Gewisse Unternehmen verfügen über einen zeitgemässen Ansatz und versuchen, sich der laufend ändernden Bedrohungslage anzupassen. Andere drohen hier komplett den Anschluss zu verlieren und gefährden so mittelfristig die Grundlage ihrer Geschäftstätigkeiten», fasst Matthias Bossardt, Leiter Cyber Security von KPMG Schweiz, die Ergebnisse zusammen.
Wenig Erfahrung mit dem Internet der Dinge
Die vierte industrielle Revolution und die immer stärkere Vernetzung verschiedener Geräte bringt auch ein immenses Sicherheitsrisiko mit sich. Denn vernetzte Technologielandschaften bieten deutlich mehr Angriffsflächen: Durch das Internet der Dinge können Cyberattacken handfeste Schäden in der Offline-Welt anrichten. Die Umfrage zeigt jedoch, dass sich viele Schweizer Unternehmen viel zu wenig mit den Sicherheitsaspekten der Industrie 4.0 auseinandersetzen. So gaben über die Hälfte der Befragten (53%) an, keinen Überblick über ihre Risikosituation im Zusammenhang mit dem Internet der Dinge zu haben, was einen wirksamen Schutz vor Cyberattacken verunmöglicht.
Interne Gefahren und der Faktor Mensch
Nicht nur Attacken von aussen können gossen Schaden anrichten, auch interne Gefahrenquellen sind nicht zu unterschätzen. Eine grosse Mehrheit der befragten Unternehmensvertreter (80%) ist jedoch unzufrieden mit dem firmeninternen Umgang mit diesen Insider-Gefahren: 60% verfügen über keine genügende Überwachung von verdächtigen internen Aktivitäten, 51% fehlt eine entsprechende Datenauswertung und 49% beklagen eine mangelnde multidisziplinäre Koordination. Gerade aber ein multidisziplinärer Ansatz ist in Sachen Cybersicherheit unabdingbar, denn sich bei internen und externen Sicherheitsmassnahmen alleine auf Technologie zu beschränken, greift zu kurz: «Viele Cyberkriminelle machen sich den Faktor Mensch zu nutze und umgehen so technische Abwehrhürden. Aus diesem Grund müssen Unternehmen in Zukunft vermehrt auch weichere Faktoren, wie etwa die Unternehmenskultur ins Zentrum ihrer Sicherheitsüberlegungen stellen und nicht bloss die Komponente Technologie berücksichtigen», sagt Gerben Schreurs, Partner Forensik bei KPMG Schweiz.
Vertiefte Kooperation ist notwendig
Der Wunsch nach verstärkter Zusammenarbeit wurde in der letztjährigen Umfrage von 95% aller Unternehmen geäussert. In der aktuellen Befragung gaben 66% an, in den letzten 12 Monaten tatsächlich vermehrt auf Zusammenarbeit auf dem Gebiet der Cybersicherheit gesetzt zu haben. Am häufigsten geht es bei diesen Allianzen um das Teilen von relevanten Informationen zur Bedrohungslage (88%), den Austausch von Erfahrungen (83%) oder die gemeinsame Prävention (78%). «In einer immer vernetzten und komplexeren Welt macht es keinen Sinn, wenn sich Unternehmen im Bereich der Bekämpfung von Cyberkriminalität isolieren. Sinnvolle Kooperationen gilt es wo immer möglich auszubauen», kommentiert Matthias Bossardt das Studienergebnis.
Fortschritte beim Umgang mit Drittparteien
Während sich 2015 noch 59% der Unternehmen nicht darüber im Klaren waren, ob und wie sich ihre Geschäftspartner, Dienstleister und Lieferanten gegen Cyberangriffe verteidigen, verlangen heute 72% der Befragten ausdrücklich Mindestsicherheitsstandards in ihren Drittparteiverträgen. Auch ging der Anteil jener Unternehmen, welche ein erhöhtes Cyberrisiko durch IT-Auslagerungen fürchten, von 15% auf 8% zurück. Der Finanzsektor ist jedoch skeptischer, was die Sicherheitsrisiken bezüglich Outsourcing und der Zusammenarbeit mit Partnern angeht. Viele Unternehmen hinterfragen, ob der Vertrauensvorschuss, welche sie Drittparteien gegenüber gewährleisten, auch wirklich gerechtfertigt ist. So nahm in der Finanzbranche der Anteil jener Befragten, welche durch Auslagerungen geringere Transparenz hinsichtlich der Cyberrisiken befürchten, von 25% auf 33% zu. (KPMG/mc/ps)
Methodik
Die Studie «Clarity on Cyber Security» von KPMG Schweiz basiert auf einer Kombination von qualitativen Einzelinterviews und einer Online-Befragung und erfasst rund 60 Unternehmen. Die Einzelinterviews wurden mit Partnern auf C-Level (CEO, COO, CIO, CMO) aus verschiedenen Branchen durchgeführt.
