Cyber-Angriffe: Handlungsbedarf bei Verwaltungsräten
Jedes zweite Grossunternehmen wurde bereits Opfer eines Cyber-Angriffs. In vielen Fällen ist die Folge ein Betriebsunterbruch. Die 14. Ausgabe des swissVR Monitors von Deloitte zeigt: Obwohl das Bewusstsein für die Risiken zunimmt, fehlt vielen Firmen eine klar formulierte Cyber-Strategie. Der Ernstfall werde nur selten geprobt und auch das Reporting der Geschäftsleitung an den Verwaltungsrat müsse sich verbessern, so ein Fazit der Untersuchung.
Die Bedrohung durch Cyber-Angriffe wächst. Betroffen sind insbesondere Grossunternehmen: 45 Prozent der Firmen mit über 250 Mitarbeitenden wurden bereits mindestens einmal Opfer einer Cyber-Attacke. Dies zeigt der jüngste swissVR Monitor, eine halbjährlich von der Verwaltungsratsvereinigung swissVR in Kooperation mit dem Prüfungs- und Beratungsunternehmen Deloitte Schweiz und der Hochschule Luzern durchgeführte Umfrage. Für die Studie wurden 400 Verwaltungsratsmitglieder zum Fokusthema «Cyber-Resilienz» befragt.
Im Gegensatz zu Grossunternehmen scheinen KMU deutlich weniger betroffen: Nur 18 Prozent der Firmen mit unter 50 Mitarbeitenden geben einen schwerwiegenden Angriff an. Der Zusammenhang zwischen der Unternehmensgrösse und der Häufigkeit der Angriffe liegt auf der Hand: Grossunternehmen sind global stärker exponiert und bieten Cyber-Kriminellen grössere Angriffsflächen. Eine weitere Erklärung für die vermeintlich geringere Betroffenheit bei kleineren Unternehmen ist das teilweise fehlende Reporting über solche Vorfälle gegenüber dem Verwaltungsrat.
Betriebsunterbruch ist die häufigste Folge
Cyber-Angriffe haben oftmals gravierende Folgen für das operative Geschäft. Die mit Abstand häufigste Konsequenz ist ein Betriebsunterbruch. Dies ist bei 42 Prozent der von einem Cyber-Angriff betroffenen Unternehmen der Fall (siehe Grafik 1). Besonders gefährdet sind die operativen Prozesse von Unternehmen im Bereich Informations- und Kommunikationstechnik. In dieser Branche kam es bei 69 Prozent der Betroffenen zu einem Betriebsunterbruch. Auch Datenlecks und Fehlfunktionen von Produkten oder Dienstleistungen sind häufige Folgen. Teilweise haben Cyber-Angriffe sogar Konsequenzen ausserhalb des eigenen Unternehmens: So beklagen 11 Prozent der Befragten Folgeangriffe auf Kunden. Obwohl der Abfluss von Vermögenswerten nur selten vorkommt, sind auch die finanziellen Folgen nicht zu unterschätzen. Neben Umsatzeinbussen durch Betriebsunterbrüche drohen hohe Folgekosten, etwa für die Wiederherstellung von Daten.
Resilienz gegenüber Cyber-Attacken gewinnt stark an Bedeutung
Die weitreichenden Folgen machen es deutlich: Jedes KMU muss sich mit Cyber-Risiken auseinandersetzen. «Das Thema ist heute fester Bestandteil einer guten Corporate Governance. Erfreulicherweise haben das bereits viele Unternehmen erkannt. Aber es besteht durchaus noch Potenzial. Unsere Umfrage zeigt, dass Cyber-Resilienz über alle Branchen hinweg stark an Bedeutung gewinnt. Dies muss sich auch im Risikomanagement und im Strategieprozess jedes Unternehmens widerspiegeln», sagt Mirjam Durrer, Dozentin der Hochschule Luzern am Institut für Finanzdienstleistungen Zug IFZ. 95 Prozent der befragten Verwaltungsratsmitglieder sind der Meinung, dass die Bedeutung der Cyber-Resilienz für ihr Unternehmen in den letzten drei Jahren gestiegen ist. Die Mehrheit beobachtet sogar eine starke Zunahme, wobei die Bewertung wesentlich von der Unternehmensgrösse abhängt. Auch hier spiegelt sich die Korrelation von Grösse und Bedrohungslage.
Cyber-Sicherheit ist noch nicht überall Chefsache
Positiv zu werten ist: Verwaltungsräte nehmen laut eigener Aussage ihre Aufgaben mit Blick auf die Cyberresilienz grösstenteils wahr. 85 Prozent der Befragten bejahen, dass ihr VR-Gremium Trends und aktuelle Entwicklungen im Bereich Cyber-Resilienz verfolgt (siehe Grafik 2). Auch verfügen acht von zehn Gremien über eine Risikopolitik, die Cyber-Gefahren adressiert. Trotzdem bestehe Handlungsbedarf, betont Klaus Julisch, Leiter Risk Advisory bei Deloitte Schweiz: «Das Bewusstsein für die Risiken nimmt zu, was positiv zu bewerten ist. Davon abgesehen ist das Thema noch nicht überall in den Verwaltungsratsgremien angekommen. Auch fehlt fast der Hälfte der Unternehmen eine klare Cyber-Strategie. Schweizer Unternehmen und ihre Verwaltungsräte müssen daher mit Blick auf die Cyber-Resilienz noch mehr Verantwortung übernehmen.»
Nur ein Drittel probt den Ernstfall
Auch bei der Vorbereitung auf den Ernstfall gibt es Luft nach oben. Lediglich jedes dritte Verwaltungsratsmitglied bestätigt, das VR-Gremium probe das Krisenmanagement zumindest teilweise. Etwas besser ist das Bild in der Finanzindustrie: Rund jedes zweite Unternehmen dieser Branche führt regelmässige Krisentrainings durch. Zudem verzeichnet die Finanzindustrie mit 58 Prozent den höchsten Anteil abgeschlossener Cyber-Versicherungen.
Verbesserungspotenzial gibt es auch bei der Berichterstattung an den Verwaltungsrat: Nur etwa ein Drittel der Befragten wird regelmässig durch die Geschäftsleitung über die Top-Cyberrisiken oder die eigene Cyberstrategie informiert. Gut die Hälfte der VR-Gremien erhält immerhin ein Reporting zur allgemeinen Bedrohungslage, zu aktuellen Cyber-Angriffen im Unternehmen oder zum Handlungs- und Investitionsbedarf zur Stärkung der Cyber-Resilienz.
Quelle: Deloitte
