Zürich/Genf
Cyber-Angriffe beschäftigen die Schweizer Wirtschaft mehr denn je. Jedes zweite Grossunternehmen wurde bereits Opfer eines Cyber-Angriffs. In vielen Fällen ist die Folge ein Betriebsunterbruch. Die 14. Ausgabe des swissVR Monitors zeigt: Obwohl das Bewusstsein für die Risiken zunimmt, fehlt vielen Firmen eine klar formulierte Cyber-Strategie. Der Ernstfall wird nur selten geprobt und auch das Reporting der Geschäftsleitung an den Verwaltungsrat muss sich verbessern.
Die Bedrohung durch Cyber-Angriffe wächst. Betroffen sind insbesondere Grossunternehmen: 45 Prozent der Firmen mit über 250 Mitarbeitenden wurden bereits mindestens einmal Opfer einer Cyber-Attacke. Dies zeigt der jüngste swissVR Monitor, eine halbjährlich von der Verwaltungsratsvereinigung swissVR in Kooperation mit dem Prüfungs- und Beratungsunternehmen Deloitte Schweiz und der Hochschule Luzern durchgeführte Umfrage. Für die Studie wurden 400 Verwaltungsratsmitglieder zum Fokusthema «Cyber-Resilienz» befragt.
Im Gegensatz zu Grossunternehmen scheinen KMU deutlich weniger betroffen: Nur 18 Prozent der Firmen mit unter 50 Mitarbeitenden geben einen schwerwiegenden Angriff an. Der Zusammenhang zwischen der Unternehmensgrösse und der Häufigkeit der Angriffe liegt auf der Hand: Grossunternehmen sind global stärker exponiert und bieten Cyber-Kriminellen grössere Angriffsflächen. Eine weitere Erklärung für die vermeintlich geringere Betroffenheit bei kleineren Unternehmen ist das teilweise fehlende Reporting über solche Vorfälle gegenüber dem Verwaltungsrat.
Betriebsunterbruch ist die häufigste Folge
Cyber-Angriffe haben oftmals gravierende Folgen für das operative Geschäft. Die mit Abstand häufigste Konsequenz ist ein Betriebsunterbruch. Dies ist bei 42 Prozent der von einem Cyber-Angriff betroffenen Unternehmen der Fall (siehe Grafik 1). Besonders gefährdet sind die operativen Prozesse von Unternehmen im Bereich Informations- und Kommunikationstechnik. In dieser Branche kam es bei 69 Prozent der Betroffenen zu einem Betriebsunterbruch.
Auch Datenlecks und Fehlfunktionen von Produkten oder Dienstleistungen sind häufige Folgen. Teilweise haben Cyber-Angriffe sogar Konsequenzen ausserhalb des eigenen Unternehmens: So beklagen 11 Prozent der Befragten Folgeangriffe auf Kunden. Obwohl der Abfluss von Vermögenswerten nur selten vorkommt, sind auch die finanziellen Folgen nicht zu unterschätzen. Neben Umsatzeinbussen durch Betriebsunterbrüche drohen hohe Folgekosten, etwa für die Wiederherstellung von Daten.
Resilienz gegenüber Cyber-Attacken gewinnt stark an Bedeutung
Die weitreichenden Folgen machen es deutlich: Jedes KMU muss sich mit Cyber-Risiken auseinandersetzen. «Das Thema ist heute fester Bestandteil einer guten Corporate Governance. Erfreulicherweise haben das bereits viele Unternehmen erkannt. Aber es besteht durchaus noch Potenzial. Unsere Umfrage zeigt, dass Cyber-Resilienz über alle Branchen hinweg stark an Bedeutung gewinnt. Dies muss sich auch im Risikomanagement und im Strategieprozess jedes Unternehmens widerspiegeln», sagt Mirjam Durrer, Dozentin der Hochschule Luzern am Institut für Finanzdienstleistungen Zug IFZ. 95 Prozent der befragten Verwaltungsratsmitglieder sind der Meinung, dass die Bedeutung der Cyber-Resilienz für ihr Unternehmen in den letzten drei Jahren gestiegen ist. Die Mehrheit beobachtet sogar eine starke Zunahme, wobei die Bewertung wesentlich von der Unternehmensgrösse abhängt. Auch hier spiegelt sich die Korrelation von Grösse und Bedrohungslage.
Cyber-Sicherheit ist noch nicht überall Chefsache
Positiv zu werten ist: Verwaltungsräte nehmen laut eigener Aussage ihre Aufgaben mit Blick auf die Cyberresilienz grösstenteils wahr. 85 Prozent der Befragten bejahen, dass ihr VR-Gremium Trends und aktuelle Entwicklungen im Bereich Cyber-Resilienz verfolgt (siehe Grafik 2). Auch verfügen acht von zehn Gremien über eine Risikopolitik, die Cyber-Gefahren adressiert. Trotzdem bestehe Handlungsbedarf, betont Klaus Julisch, Leiter Risk Advisory bei Deloitte Schweiz: «Das Bewusstsein für die Risiken nimmt zu, was positiv zu bewerten ist. Davon abgesehen ist das Thema noch nicht überall in den Verwaltungsratsgremien angekommen. Auch fehlt fast der Hälfte der Unternehmen eine klare Cyber-Strategie. Schweizer Unternehmen und ihre Verwaltungsräte müssen daher mit Blick auf die Cyber-Resilienz noch mehr Verantwortung übernehmen.»
Nur ein Drittel probt den Ernstfall
Auch bei der Vorbereitung auf den Ernstfall gibt es Luft nach oben. Lediglich jedes dritte Verwaltungsratsmitglied bestätigt, das VR-Gremium probe das Krisenmanagement zumindest teilweise. Etwas besser ist das Bild in der Finanzindustrie: Rund jedes zweite Unternehmen dieser Branche führt regelmässige Krisentrainings durch. Zudem verzeichnet die Finanzindustrie mit 58 Prozent den höchsten Anteil abgeschlossener Cyber-Versicherungen.
Verbesserungspotenzial gibt es auch bei der Berichterstattung an den Verwaltungsrat: Nur etwa ein Drittel der Befragten wird regelmässig durch die Geschäftsleitung über die Top-Cyberrisiken oder die eigene Cyberstrategie informiert. Gut die Hälfte der VR-Gremien erhält immerhin ein Reporting zur allgemeinen Bedrohungslage, zu aktuellen Cyber-Angriffen im Unternehmen oder zum Handlungs- und Investitionsbedarf zur Stärkung der Cyber-Resilienz.
Trotz Herausforderungen: Verwaltungsräte sehen Konjunkturaussichten positiv(er)
Nebst der Befragung zum aktuellen Themenschwerpunkt Cyber-Resilienz erhebt der swissVR Monitor zweimal jährlich die Einschätzungen von VR-Mitgliedern zu den aktuellen Konjunktur- und Geschäftsaussichten. Nach einem Abschwung der Erwartungen infolge des Kriegsausbruchs in der Ukraine im Jahr 2022 geben die befragten Verwaltungsratsmitglieder aktuell wieder etwas optimistischere Wirtschaftsaussichten für die nächsten 12 Monate an. Knapp ein Viertel (24%) aller VR-Mitglieder geben bei der Befragung an, von einer positiven Konjunkturentwicklung auszugehen. 10 Prozent gehen von einer negativen Entwicklung aus. Die überwiegende Mehrheit (66%) beurteilt die Konjunkturaussichten als «neutral».
Im Verhältnis wurden die Branchenaussichten mit 45 Prozent und die Geschäftsaussichten mit 57 Prozent weitaus positiver bewertet als die gesamte Konjunkturlage. Cornelia Ritz Bossicard, Präsidentin von swissVR, räumt jedoch ein: «Es bleiben weiterhin viele Unsicherheitsfaktoren für die Schweizer Wirtschaft bestehen, wozu beispielsweise anhaltende geopolitische Risiken, eine unklare Energielage für den kommenden Winter und ein sich als beständig erweisender, überdurchschnittlich hoher Teuerungsdruck zählen. Der Wirtschaftsstandort Schweiz hat in schwierigen Zeiten seine Resilienz bewiesen. Nun gilt es, diese Qualität angesichts der sich neu entwickelnden Herausforderungen – etwa der beschriebenen Cyber-Risiken – zu bewahren. Denn so viel steht fest: Neue Herausforderungen, gerade auch im Cyber-Bereich, werden zunehmen.»
Deloitte bietet integrierte Dienstleistungen in den Bereichen Audit & Assurance, Tax & Legal, Strategy, Risk & Transaction Advisory und Technology & Transformation. Wir kombinieren Erkenntnisse und Innovationen aus verschiedenen Disziplinen mit unserer betriebswirtschaftlichen Expertise und unseren Branchenkenntnissen. So verhelfen wir unserer Kundschaft weltweit zum Erfolg. Mit rund 2’700 Mitarbeitenden an den sechs Standorten Basel, Bern, Genf, Lausanne, Lugano und Zürich (Hauptsitz) betreut Deloitte Unternehmen und Organisationen jeder Rechtsform und Grösse aus allen Wirtschaftszweigen.
Deloitte AG ist eine Tochtergesellschaft von Deloitte North and South Europe (NSE), einem Mitgliedsunternehmen der Deloitte Touche Tohmatsu Limited (DTTL) mit über 460’000 Mitarbeitenden in mehr als 150 Ländern.
Anmerkung für die Redaktion
In dieser Medieninformation bezieht sich Deloitte auf die Schweizer Tochtergesellschaften von Deloitte NSE LLP, Mitgliedsunternehmen der Deloitte Touche Tohmatsu Limited (DTTL), einer «UK private company limited by guarantee» (einer Gesellschaft mit beschränkter Haftung nach britischem Recht). DTTL und ihre Mitgliedsunternehmen sind rechtlich selbstständige und unabhängige Unternehmen. DTTL und Deloitte NSE LLP erbringen selbst keine Dienstleistungen gegenüber Kunden. Eine Beschreibung der rechtlichen Struktur finden Sie unter www.deloitte.com/ch/about.
Deloitte AG ist eine von der Eidgenössischen Revisionsaufsichtsbehörde (RAB) und der Eidgenössischen Finanzmarktaufsicht (FINMA) zugelassene und beaufsichtigte Revisionsgesellschaft.
Die Informationen in dieser Medieninformation haben ihre Richtigkeit zum Zeitpunkt des Versands.
Pressekontakt(e):
Michael Wiget
Leiter Externe Kommunikation
Tel: +41 58 279 70 50
mwiget@deloitte.ch
Kevin Capellini
Spezialist für externe Kommunikation
Telefon: +41 58 279 59 74
kcapellini@deloitte.ch