Medienmitteilungen

Cyber-Angriffe: Verwaltungsräte sehen Risiken, doch bei Krisenvorsorge und Reporting besteht Handlungsbedarf

Zürich/Genf, 4. September 2023

Cyber-Angriffe beschäftigen die Schweizer Wirtschaft mehr denn je. Jedes zweite Grossunternehmen wurde bereits Opfer eines Cyber-Angriffs. In vielen Fällen ist die Folge ein Betriebsunterbruch. Die 14. Ausgabe des swissVR Monitors zeigt: Obwohl das Bewusstsein für die Risiken zunimmt, fehlt vielen Firmen eine klar formulierte Cyber-Strategie. Der Ernstfall wird nur selten geprobt und auch das Reporting der Geschäftsleitung an den Verwaltungsrat muss sich verbessern.

Die Bedrohung durch Cyber-Angriffe wächst. Betroffen sind insbesondere Grossunternehmen: 45 Prozent der Firmen mit über 250 Mitarbeitenden wurden bereits mindestens einmal Opfer einer Cyber-Attacke. Dies zeigt der jüngste swissVR Monitor, eine halbjährlich von der Verwaltungsratsvereinigung swissVR in Kooperation mit dem Prüfungs- und Beratungsunternehmen Deloitte Schweiz und der Hochschule Luzern durchgeführte Umfrage. Für die Studie wurden 400 Verwaltungsratsmitglieder zum Fokusthema «Cyber-Resilienz» befragt.

Im Gegensatz zu Grossunternehmen scheinen KMU deutlich weniger betroffen: Nur 18 Prozent der Firmen mit unter 50 Mitarbeitenden geben einen schwerwiegenden Angriff an. Der Zusammenhang zwischen der Unternehmensgrösse und der Häufigkeit der Angriffe liegt auf der Hand: Grossunternehmen sind global stärker exponiert und bieten Cyber-Kriminellen grössere Angriffsflächen. Eine weitere Erklärung für die vermeintlich geringere Betroffenheit bei kleineren Unternehmen ist das teilweise fehlende Reporting über solche Vorfälle gegenüber dem Verwaltungsrat.

Betriebsunterbruch ist die häufigste Folge
Cyber-Angriffe haben oftmals gravierende Folgen für das operative Geschäft. Die mit Abstand häufigste Konsequenz ist ein Betriebsunterbruch. Dies ist bei 42 Prozent der von einem Cyber-Angriff betroffenen Unternehmen der Fall (siehe Grafik 1). Besonders gefährdet sind die operativen Prozesse von Unternehmen im Bereich Informations- und Kommunikationstechnik. In dieser Branche kam es bei 69 Prozent der Betroffenen zu einem Betriebsunterbruch.

Auch Datenlecks und Fehlfunktionen von Produkten oder Dienstleistungen sind häufige Folgen. Teilweise haben Cyber-Angriffe sogar Konsequenzen ausserhalb des eigenen Unternehmens: So beklagen 11 Prozent der Befragten Folgeangriffe auf Kunden. Obwohl der Abfluss von Vermögenswerten nur selten vorkommt, sind auch die finanziellen Folgen nicht zu unterschätzen. Neben Umsatzeinbussen durch Betriebsunterbrüche drohen hohe Folgekosten, etwa für die Wiederherstellung von Daten.

Resilienz gegenüber Cyber-Attacken gewinnt stark an Bedeutung
Die weitreichenden Folgen machen es deutlich: Jedes KMU muss sich mit Cyber-Risiken auseinandersetzen. «Das Thema ist heute fester Bestandteil einer guten Corporate Governance. Erfreulicherweise haben das bereits viele Unternehmen erkannt. Aber es besteht durchaus noch Potenzial. Unsere Umfrage zeigt, dass Cyber-Resilienz über alle Branchen hinweg stark an Bedeutung gewinnt. Dies muss sich auch im Risikomanagement und im Strategieprozess jedes Unternehmens widerspiegeln», sagt Mirjam Durrer, Dozentin der Hochschule Luzern am Institut für Finanzdienstleistungen Zug IFZ. 95 Prozent der befragten Verwaltungsratsmitglieder sind der Meinung, dass die Bedeutung der Cyber-Resilienz für ihr Unternehmen in den letzten drei Jahren gestiegen ist. Die Mehrheit beobachtet sogar eine starke Zunahme, wobei die Bewertung wesentlich von der Unternehmensgrösse abhängt. Auch hier spiegelt sich die Korrelation von Grösse und Bedrohungslage.

Cyber-Sicherheit ist noch nicht überall Chefsache
Positiv zu werten ist: Verwaltungsräte nehmen laut eigener Aussage ihre Aufgaben mit Blick auf die Cyberresilienz grösstenteils wahr. 85 Prozent der Befragten bejahen, dass ihr VR-Gremium Trends und aktuelle Entwicklungen im Bereich Cyber-Resilienz verfolgt (siehe Grafik 2). Auch verfügen acht von zehn Gremien über eine Risikopolitik, die Cyber-Gefahren adressiert. Trotzdem bestehe Handlungsbedarf, betont Klaus Julisch, Leiter Risk Advisory bei Deloitte Schweiz: «Das Bewusstsein für die Risiken nimmt zu, was positiv zu bewerten ist. Davon abgesehen ist das Thema noch nicht überall in den Verwaltungsratsgremien angekommen. Auch fehlt fast der Hälfte der Unternehmen eine klare Cyber-Strategie. Schweizer Unternehmen und ihre Verwaltungsräte müssen daher mit Blick auf die Cyber-Resilienz noch mehr Verantwortung übernehmen.»

Nur ein Drittel probt den Ernstfall
Auch bei der Vorbereitung auf den Ernstfall gibt es Luft nach oben. Lediglich jedes dritte Verwaltungsratsmitglied bestätigt, das VR-Gremium probe das Krisenmanagement zumindest teilweise. Etwas besser ist das Bild in der Finanzindustrie: Rund jedes zweite Unternehmen dieser Branche führt regelmässige Krisentrainings durch. Zudem verzeichnet die Finanzindustrie mit 58 Prozent den höchsten Anteil abgeschlossener Cyber-Versicherungen.

Verbesserungspotenzial gibt es auch bei der Berichterstattung an den Verwaltungsrat: Nur etwa ein Drittel der Befragten wird regelmässig durch die Geschäftsleitung über die Top-Cyberrisiken oder die eigene Cyberstrategie informiert. Gut die Hälfte der VR-Gremien erhält immerhin ein Reporting zur allgemeinen Bedrohungslage, zu aktuellen Cyber-Angriffen im Unternehmen oder zum Handlungs- und Investitionsbedarf zur Stärkung der Cyber-Resilienz.

Trotz Herausforderungen: Verwaltungsräte sehen Konjunkturaussichten positiv(er)
Nebst der Befragung zum aktuellen Themenschwerpunkt Cyber-Resilienz erhebt der swissVR Monitor zweimal jährlich die Einschätzungen von VR-Mitgliedern zu den aktuellen Konjunktur- und Geschäftsaussichten. Nach einem Abschwung der Erwartungen infolge des Kriegsausbruchs in der Ukraine im Jahr 2022 geben die befragten Verwaltungsratsmitglieder aktuell wieder etwas optimistischere Wirtschaftsaussichten für die nächsten 12 Monate an. Knapp ein Viertel (24%) aller VR-Mitglieder geben bei der Befragung an, von einer positiven Konjunkturentwicklung auszugehen. 10 Prozent gehen von einer negativen Entwicklung aus. Die überwiegende Mehrheit (66%) beurteilt die Konjunkturaussichten als «neutral».

Im Verhältnis wurden die Branchenaussichten mit 45 Prozent und die Geschäftsaussichten mit 57 Prozent weitaus positiver bewertet als die gesamte Konjunkturlage. Cornelia Ritz Bossicard, Präsidentin von swissVR, räumt jedoch ein: «Es bleiben weiterhin viele Unsicherheitsfaktoren für die Schweizer Wirtschaft bestehen, wozu beispielsweise anhaltende geopolitische Risiken, eine unklare Energielage für den kommenden Winter und ein sich als beständig erweisender, überdurchschnittlich hoher Teuerungsdruck zählen. Der Wirtschaftsstandort Schweiz hat in schwierigen Zeiten seine Resilienz bewiesen. Nun gilt es, diese Qualität angesichts der sich neu entwickelnden Herausforderungen – etwa der beschriebenen Cyber-Risiken – zu bewahren. Denn so viel steht fest: Neue Herausforderungen, gerade auch im Cyber-Bereich, werden zunehmen.»

Über den swissVR Monitor
Die halbjährliche Umfrage swissVR Monitor zielt darauf ab, die Einschätzungen von Verwaltungsratsmitgliedern zu Geschäftsaussichten, Strategien und strukturellen Themen – sowie in dieser Ausgabe zum Fokusthema «Cyber-Resilienz» – zu erfassen. Die 14. Umfrage wurde von swissVR in Zusammenarbeit mit Deloitte und der Hochschule Luzern im Zeitraum vom 22. Mai bis 8. Juli 2023 durchgeführt. Die 400 teilnehmenden Personen repräsentieren Verwaltungsräte von börsenkotierten Unternehmen wie auch von KMU und stammen aus allen relevanten Branchen.

swissVR
swissVR engagiert sich für die Professionalisierung, die Vernetzung und die Wahrnehmung der Interessen von Verwaltungsräten. swissVR ist eine unabhängige Vereinigung für Verwaltungsratsmitglieder in der Schweiz – von Verwaltungsräten für Verwaltungsräte. Mit ihrem Angebot trägt sie zur Professionalisierung der Verwaltungsräte bei, fördert den Erfahrungsaustausch unter Verwaltungsrätinnen und Verwaltungsräten von Unternehmen aller Branchen und bietet ihren über 1’200 Mitgliedern – auch in Zusammenarbeit mit Bildungspartnern – ein bedürfnisspezifisches Informations- und Weiterbildungsangebot. swissVR richtet sich exklusiv an Personen mit einem aktiven Verwaltungsratsmandat. www.swissvr.ch

Hochschule Luzern – die Fachhochschule der Zentralschweiz
Die Hochschule Luzern ist die Fachhochschule der sechs Zentralschweizer Kantone. Mit rund 8'300 Studierenden in der Ausbildung und 5’200 in der Weiterbildung, fast 400 aktuellen Forschungsprojekten und rund 2’000 Mitarbeitenden ist sie die grösste Bildungsinstitution im Herzen der Schweiz. Das Institut für Finanzdienstleistungen Zug IFZ der Hochschule Luzern – Wirtschaft hat einen Themenschwerpunkt Governance, Risk and Compliance, in dessen Rahmen es auch Weiterbildungen für Verwaltungsratsmitglieder anbietet. www.hslu.ch/ifz

Deloitte Schweiz
Deloitte bietet integrierte Dienstleistungen in den Bereichen Audit & Assurance, Consulting, Financial Advisory, Risk Advisory sowie Tax & Legal. Wir kombinieren Erkenntnisse und Innovationen aus verschiedenen Disziplinen mit unserer betriebswirtschaftlichen Expertise und unseren Branchenkenntnissen. So verhelfen wir unserer Kundschaft weltweit zum Erfolg. Mit rund 2’700 Mitarbeitenden an den sechs Standorten Basel, Bern, Genf, Lausanne, Lugano und Zürich (Hauptsitz) betreut Deloitte Unternehmen und Organisationen jeder Rechtsform und Grösse aus allen Wirtschaftszweigen.
Deloitte AG ist eine Tochtergesellschaft von Deloitte North and South Europe (NSE), einem Mitgliedsunternehmen der Deloitte Touche Tohmatsu Limited (DTTL) mit über 415’000 Mitarbeitenden in mehr als 150 Ländern.
Lesen Sie weitere Medienmitteilungen, kontaktieren Sie einzelne Personen aus dem Kommunikationsteam oder besuchen Sie die Website von Deloitte Schweiz.

Anmerkung für die Redaktion
In dieser Medienmitteilung bezieht sich Deloitte auf die Schweizer Tochtergesellschaften von Deloitte NSE LLP, Mitgliedsunternehmen der Deloitte Touche Tohmatsu Limited (DTTL), einer «UK private company limited by guarantee» (einer Gesellschaft mit beschränkter Haftung nach britischem Recht). DTTL und ihre Mitgliedsunternehmen sind rechtlich selbstständige und unabhängige Unternehmen. DTTL und Deloitte NSE LLP erbringen selbst keine Dienstleistungen gegenüber Kunden. Eine Beschreibung der rechtlichen Struktur finden Sie unter www.deloitte.com/ch/about.
Deloitte AG ist eine von der Eidgenössischen Revisionsaufsichtsbehörde (RAB) und der Eidgenössischen Finanzmarktaufsicht (FINMA) zugelassene und beaufsichtigte Revisionsgesellschaft.
Die Informationen in dieser Medienmitteilung haben ihre Richtigkeit zum Zeitpunkt des Versands.

Fanden Sie diese Seite hilfreich?