Zusammenfassung
Cyber-Angriffe beschäftigen die Schweizer Wirtschaft mehr denn je. Jedes zweite Grossunternehmen wurde bereits Opfer eines Cyber-Angriffs. In vielen Fällen ist die Folge ein Betriebsunterbruch. Die 14. Ausgabe des swissVR Monitors zeigt: Obwohl das Bewusstsein für die Risiken zunimmt, fehlt vielen Firmen eine klar formulierte Cyber-Strategie. Der Ernstfall wird nur selten geprobt und auch das Reporting der Geschäftsleitung an den Verwaltungsrat muss sich verbessern.
Über die Umfrage
Kernstück des swissVR Monitors ist eine Umfrage, die die Vereinigung swissVR zusammen mit Deloitte und mit der Hochschule Luzern durchführt. Sie zielt darauf ab, halbjährlich die Meinungen von Schweizer Verwaltungsratsmitgliedern zu den Konjunktur-, Branchen- und Geschäftsaussichten sowie zu aktuellen Verwaltungsratsthemen zu ermitteln. Zudem wird jeweils ein Fokusthema speziell beleuchtet und Expertenmeinungen werden durch Interviews eingeholt. Mit 400 Umfrageteilnehmern in der aktuellen Ausgabe gibt der swissVR Monitor ein gutes Abbild der aktuellen Einschätzungen und Herausforderungen von Schweizer Verwaltungsräten.
Die wichtigsten Ergebnisse
Wirtschaftsaussichten
Wirtschaftsaussichten leicht optimistischer als am Jahresanfang
Die befragten Verwaltungsratsmitglieder schätzen die Konjunktur-, Branchen- und Geschäftsaussichten für die nächsten 12 Monate insgesamt leicht optimistischer als im letzten swissVR Monitor am Jahresanfang ein. In allen drei Aussichtskategorien (Konjunktur, Branche und Geschäft) gehen jeweils mehr Befragte von einer positiven als von einer negativen Entwicklung aus. Es bleiben Unsicherheitsfaktoren wie geopolitische Risiken, eine unklare Energielage für den Winter 2023/2024 und ein sich als beständig erweisender, überdurchschnittlich hoher Teuerungsdruck.
Cyber-Angriffe
Cyber-Angriffe können gravierende Folgen für Unternehmen haben
Die Befragten, deren Unternehmen Opfer (mindestens) eines Cyber-Angriffs geworden ist, berichten von teilweise gravierenden Folgen auf die operativen Vorgänge. Am häufigsten kommt es in diesem Zusammenhang zu einem Unterbruch des Betriebs. Als weitere mögliche Konsequenzen eines Cyber-Angriffs werden Datenlecks sowie die Fehlfunktion von Produkten oder Dienstleistungen genannt. Folgeangriffe auf Kunden oder Abflüsse von Vermögenswerten sind vergleichsweise seltener der Fall.
Cyber-Resilienz
Deutliche Zunahme der Bedeutung der Cyber-Resilienz
Fast alle befragten Verwaltungsratsmitglieder sind der Meinung, dass die Bedeutung von Cyber-Resilienz-Themen für ihr Unternehmen in den letzten drei Jahren zugenommen hat. Eine Mehrheit sieht sogar eine starke Zunahme – in Grossunternehmen noch häufiger als in Kleinunternehmen. Keine Veränderung der Bedeutung der Cyber-Resilienz gab es nur für eine kleine Minderheit der Befragten und gar eine Abnahme wurde von keinem einzigen Verwaltungsratsmitglied angegeben.
Cyber-Versicherungen
Geteiltes Bild bei Versicherungen für Cyber-Risiken
Trotz der gestiegenen Bedeutung der Cyber-Resilienz und der teilweise gravierenden Folgen von Cyber-Angriffen verfügt lediglich knapp die Hälfte der Unternehmen über eine Versicherung für Cyber-Risiken. Überdurchschnittlich häufig versichern sich Firmen aus dem Finanzbereich, dem verarbeitenden Gewerbe und der Chemie sowie aus dem Baugewerbe. Die Unternehmensgrösse hat in diesem Zusammenhang nur einen geringen Einfluss.
Cyber-Reporting
Regelmässiges Cyber-Reporting an den Verwaltungsrat ausbaufähig
Laut Aussage der Befragten erhält etwas mehr als die Hälfte der Verwaltungsräte von der Geschäftsleitung ein regelmässiges Reporting zu Cyber-Vorfällen im Unternehmen oder zum Handlungs-/Investitionsbedarf bei der Cyber-Resilienz. In etwas weniger als der Hälfte der Fälle erfolgt eine Berichterstattung bezüglich der allgemeinen Bedrohungslage oder bezüglich Cyber-Resilienz-Massnahmen. Lediglich circa ein Drittel der Verwaltungsräte wird regelmässig durch die Geschäftsleitung über die Top-Cyber-Risiken oder die Cyber-Strategie/Programm informiert.
Ausschüsse
Ausschüsse vor allem in Grossunternehmen und in der Finanzindustrie
Knapp die Hälfte der Verwaltungsräte bildet Ausschüsse zu verschiedenen Themen. Bei Grossunternehmen sind es drei Viertel, bei Kleinunternehmen ein Fünftel. Hinsichtlich der Branche werden insbesondere in der Finanzindustrie Ausschüsse gebildet: Drei Viertel haben hier mindestens einen Ausschuss. In den meisten anderen Branchen gibt es in weniger als der Hälfte der Verwaltungsräte einen Ausschuss. Jedoch werden in vielen VR-Gremien einzelnen Mitgliedern Ressorts oder Spezialthemen zugewiesen.
Interview
Vorsitzende des Nominations- und Vergütungsausschusses der Valiant Bank sowie Verwaltungsratsmitglied von Bâloise und APG|SGA
Maya Bundt
«Es ist wichtig, dass der Verwaltungsrat Cyberoder digitale Risiken nicht nur in die IT-Ecke stellt, sondern sie als unternehmensweite und strategierelevante Themen anerkennt. Grosse strategische Entscheidungen haben nämlich fast immer einen Einfluss auf den Cyber-Fussabdruck der Unternehmung.»
Delegierter des Bundes für Cybersicherheit und Leiter des Nationalen Zentrums für Cybersicherheit (NCSC), ab 1. Januar 2024 Direktor des Bundesamtes für Cybersicherheit
Florian Schütz
«Grundsätzlich sind alle Unternehmen, unabhängig von ihrer Grösse oder Branchenzugehörigkeit, gefährdet. Bei vielen KMU stellt sich jedoch das Problem, dass aufgrund knapper finanzieller und personeller Ressourcen das für die Cyber-Sicherheit notwendige Know-how und die nötige Infrastruktur nur sehr beschränkt oder gar nicht vorhanden sind.»
Vorsitzende des Prüfungsausschusses der Glarner Kantonalbank, Verwaltungsratsmitglied von Apiax, Vorstandsmitglied EXPERTsuisse und CEO Structuul AG
Sonja Stirnimann
«Das Territorium «Cyber» ist mindestens 40 Jahre alt und im Vergleich zu anderen operationellen Risiken für viele Verantwortliche noch «Neuland». Was ich erlebe, ist, dass dieses aktuelle Tabu-Thema den Schrecken verliert, wenn es in einem geschützten Rahmen mit Gleichgesinnten auf Stufe Verwaltungsrat und Geschäftsleitung diskutiert werden kann.»
Kontakte
Frühere Ausgaben der swissVR Monitor
swissVR Monitor II/2020
Nach der Krise ist vor der Krise: Lehren des Verwaltungsrats aus der Corona-Krise
swissVR Monitor II/2019
Digitalisierung macht Unternehmen und Verwaltungsrat agiler, erhöht aber die Komplexität
