Cyber Security: Wie sicher sind Schweizer Unternehmen?

Die Mehrzahl der international orientierten Unternehmen in der Schweiz bewertet die Risiken von Cyber-Attacken als hoch, während national ausgerichtete Firmen diese oft unterschätzen. Diese Sichtweise birgt grosse Risiken. Die Studie verdeutlicht, dass Unternehmen ihre Abwehrstrategien und das eigene Reaktionsvermögen verbessern und eine strategischere Sichtweise einnehmen müssen. Cyber Security muss transparent gemessen und professionell gemanagt werden. Dies ist nicht zuletzt eine Aufgabe des Top-Managements.

Die erste Studie von Deloitte zum Thema Cyber Security in der Schweiz zeigt deutlich, dass vor allem binnenorientierte Unternehmen Cyber-Bedrohungen tendenziell unterschätzen (siehe Abb. 1). Lediglich ein Drittel der Befragten erachtet Cyber Security als strategisch bedeutsam.

Risiken werden oft unterschätzt

Die Gründe für die Unterschätzung von Cyber-Risiken sind vielfältig. Sie können jedoch auf die Tatsache zurückgeführt werden, dass Cyber Security oft unsichtbar und nicht greifbar ist. Mark Carter, leitender Partner für Security & Resilience bei Deloitte in der Schweiz, erklärt: „Würde unzureichende Sicherheit Lärm verursachen, wären mehr Unternehmen alarmiert. Aber leider ist dies nicht der Fall.” In den letzten Jahren wurde Deloitte nach schwerwiegenden Vorfällen verstärkt zur Wiederherstellung des normalen Betriebs herangezogen. „Unternehmen stellen immer wieder überrascht fest, dass sie frühe Warnsignale übersehen haben oder Vorfälle aufgrund von unvollständigen Aufzeichnungsdaten nicht rekonstruieren können“, so Carter.

Von Risikoblindheit zu Risikobewusstsein

Die Befragten beschreiben dieses Problem als „Teufelskreis der Blindheit”: Die Unternehmen sind sich der Cyber-Attacken oft gar nicht bewusst, da die geeigneten Instrumente für eine ausreichende Überwachung fehlen. Dies führt dazu, dass sie nur ungenügend in die notwendigen Ressourcen investieren, die einen besseren Umgang mit diesen Bedrohungen ermöglichen. Dieser Teufelskreis wird in der Regel nur dann durchbrochen, wenn Entscheidungsträger Möglichkeiten zur Verbesserung ihrer Unternehmenssicherheit frühzeitig wahrnehmen. Gemäss der Deloitte-Studie setzt jedoch ein Umdenken ein: Die befragten Unternehmen zählen Investitionen in Cyber-Intelligenz und Aufklärung zu den höchsten Prioritäten für die kommenden Jahre.

Schwierigkeiten beim Aufbau ausgereifter Cyber-Abwehrstrategien

Mehr als 80% der Befragten geben zudem an, dass ihr Unternehmen noch nicht genug zum Schutz gegen Cyber-Attacken unternimmt. Viele haben Schwierigkeiten bei der Messung von Cyber Security und sind sich unschlüssig über Art und Umfang der benötigten Cyber-Abwehrstrategien. Entscheidungen über Sicherheitsinvestitionen beruhten darum bisher hauptsächlich auf taktischen Überlegungen. Eine letzte Hürde beim Aufbau ausgereifter Sicherheitssysteme ist die weit verbreitete Fehleinschätzung, dass Cyber-Sicherheit ein IT-Problem ist. Andere Aspekte von Cyber Security, beispielsweise Angriffe auf Marken, rechtliche und regulatorische Vorgaben oder auch Unternehmensbetrug, finden deshalb immer noch zu wenig Beachtung.

„Unternehmen müssen jetzt erkennen, dass die Geschäftsleitung bei der Bewältigung aller Aspekte von Cyber Security eine entscheidende Rolle spielt“, folgert Mark Carter. Die meisten Befragten stimmten dieser Aussage zwar zu, aber weniger als die Hälfte der Unternehmen konnten sich bisher die notwendige Unterstützung durch das Top-Management sichern.

Ausblick

Obwohl die Herausforderungen beim Aufbau ausgereifter Sicherheitssysteme weiterhin gross sind, machen Schweizer Unternehmen erhebliche Fortschritte. Immer öfter werden Ausschüsse eingerichtet, um Cyber Security ganzheitlich und organisationsübergreifend zu steuern. Die Bestrebungen für eine frühzeitige Erkennung von Angriffen und die Messung von Cyber-Abwehrstrategien sind Anzeichen einer zunehmend reifen Disziplin. Dies sind viel versprechende Anzeichen in einer Zeit, in der Cyber-Attacken private und öffentliche Organisationen immer wieder erschüttern.

Über die Deloitte-Studie “Cyber Security in Switzerland – Finding the balance between hype and complacency”

Deloitte befragte 17 Chief Information Security Officers (CISOs) und Heads of Security Engineering/Operations aus einem breiten Branchenquerschnitt, um sich ein Bild davon zu machen, wie gut in der Schweiz ansässige Unternehmen auf Cyber-Attacken vorbereitet sind und wie sie darauf reagieren. Die Interviews wurden zwischen Oktober 2013 und Januar 2014 geführt. Die Studie basiert auf den Interview-Ergebnissen sowie der Erfahrung ausgewiesener Deloitte-Experten.

Über Deloitte in der Schweiz

Deloitte ist eine führende Wirtschaftsprüfungs- und Beratungsgesellschaft in der Schweiz und bietet branchenspezifische Dienstleistungen in den Bereichen Wirtschaftsprüfung, Steuerberatung, Unternehmensberatung und Corporate Finance. Mit rund 1‘100 Mitarbeitern an den sechs Standorten Basel, Bern, Genf, Lausanne, Lugano und Zürich (Hauptsitz) betreut Deloitte Unternehmen und Institutionen jeder Rechtsform und Grösse aus allen Wirtschaftszweigen. Deloitte AG ist eine Tochtergesellschaft der Deloitte LLP, dem Mitgliedsunternehmen von Deloitte Touche Tohmatsu Limited (DTTL) in Grossbritannien Über DTTL sind deren Mitgliedsunternehmen mit rund 200‘000 Mitarbeitern in mehr als 150 Ländern in der ganzen Welt vertreten.

Anmerkung für die Redaktion

In dieser Pressemitteilung bezieht sich die Bezeichnung Deloitte auf Deloitte AG, eine Tochtergesellschaft von Deloitte LLP, dem Mitgliedsunternehmen in Grossbritannien von DTTL, eine "UK private company limited by guarantee" (eine Gesellschaft mit beschränkter Haftung nach britischem Recht) und ihren Mitgliedsunternehmen, die rechtlich selbstständig und unabhängig sind. Eine detaillierte Beschreibung der rechtlichen Struktur von DTTL und ihrer Mitgliedsunternehmen finden Sie auf unserer Webseite unter www.deloitte.com/ch/about. Deloitte LLP und seine Tochterfirmen sind führende Beratungsunternehmen mit über 12'600 bestausgewiesenen Mitarbeiterinnen und Mitarbeitern in Grossbritannien und der Schweiz, die Leistungen in den Bereichen Wirtschaftsprüfung, Steuerberatung, Consulting und Corporate Finance Services bieten. Das Unternehmen, das dank seiner innovativen HR-Programme als erklärter Wunscharbeitgeber gilt, setzt sich dafür ein, dass seine Kunden und Mitarbeitenden Erfolg haben. Deloitte AG ist von der Eidgenössischen Revisionsaufsichtsbehörde (RAB) und der Eidgenössischen Finanzmarktaufsicht (FINMA) als anerkannter Wirtschaftsprüfer zugelassen. Die in dieser Pressemitteilung enthaltenen Informationen entsprechen zum Zeitpunkt des Drucks dem aktuellen Stand. Weitere Informationen finden Sie auf unserer Webseite unter www.deloitte.ch.