Cyber-Angriffe: Verwaltungsräte sehen Risiken, doch bei Krisenvorsorge und Reporting besteht Handlungsbedarf

Cyber-Angriffe beschäftigen die Schweizer Wirtschaft mehr denn je. Jedes zweite Grossunternehmen wurde bereits Opfer eines Cyber-Angriffs. In vielen Fällen ist die Folge ein Betriebsunterbruch. Die 14. Ausgabe des swissVR Monitors zeigt: Obwohl das Bewusstsein für die Risiken zunimmt, fehlt vielen Firmen eine klar formulierte Cyber-Strategie. Der Ernstfall wird nur selten geprobt und auch das Reporting der Geschäftsleitung an den Verwaltungsrat muss sich verbessern.

Die Bedrohung durch Cyber-Angriffe wächst. Betroffen sind insbesondere Grossunternehmen: 45 Prozent der Firmen mit über 250 Mitarbeitenden wurden bereits mindestens einmal Opfer einer Cyber-Attacke. Dies zeigt der jüngste swissVR Monitor, eine halbjährlich von der Verwaltungsratsvereinigung swissVR in Kooperation mit dem Prüfungs- und Beratungsunternehmen Deloitte Schweiz und der Hochschule Luzern durchgeführte Umfrage. Für die Studie wurden 400 Verwaltungsratsmitglieder zum Fokusthema «Cyber-Resilienz» befragt.

Im Gegensatz zu Grossunternehmen scheinen KMU deutlich weniger betroffen: Nur 18 Prozent der Firmen mit unter 50 Mitarbeitenden geben einen schwerwiegenden Angriff an. Der Zusammenhang zwischen der Unternehmensgrösse und der Häufigkeit der Angriffe liegt auf der Hand: Grossunternehmen sind global stärker exponiert und bieten Cyber-Kriminellen grössere Angriffsflächen. Eine weitere Erklärung für die vermeintlich geringere Betroffenheit bei kleineren Unternehmen ist das teilweise fehlende Reporting über solche Vorfälle gegenüber dem Verwaltungsrat.

Betriebsunterbruch ist die häufigste Folge

Cyber-Angriffe haben oftmals gravierende Folgen für das operative Geschäft. Die mit Abstand häufigste Konsequenz ist ein Betriebsunterbruch. Dies ist bei 42 Prozent der von einem Cyber-Angriff betroffenen Unternehmen der Fall (siehe Grafik 1). Besonders gefährdet sind die operativen Prozesse von Unternehmen im Bereich Informations- und Kommunikationstechnik. In dieser Branche kam es bei 69 Prozent der Betroffenen zu einem Betriebsunterbruch.

Auch Datenlecks und Fehlfunktionen von Produkten oder Dienstleistungen sind häufige Folgen. Teilweise haben Cyber-Angriffe sogar Konsequenzen ausserhalb des eigenen Unternehmens: So beklagen 11 Prozent der Befragten Folgeangriffe auf Kunden. Obwohl der Abfluss von Vermögenswerten nur selten vorkommt, sind auch die finanziellen Folgen nicht zu unterschätzen. Neben Umsatzeinbussen durch Betriebsunterbrüche drohen hohe Folgekosten, etwa für die Wiederherstellung von Daten.

Resilienz gegenüber Cyber-Attacken gewinnt stark an Bedeutung

Die weitreichenden Folgen machen es deutlich: Jedes KMU muss sich mit Cyber-Risiken auseinandersetzen. «Das Thema ist heute fester Bestandteil einer guten Corporate Governance. Erfreulicherweise haben das bereits viele Unternehmen erkannt. Aber es besteht durchaus noch Potenzial. Unsere Umfrage zeigt, dass Cyber-Resilienz über alle Branchen hinweg stark an Bedeutung gewinnt. Dies muss sich auch im Risikomanagement und im Strategieprozess jedes Unternehmens widerspiegeln», sagt Mirjam Durrer, Dozentin der Hochschule Luzern am Institut für Finanzdienstleistungen Zug IFZ. 95 Prozent der befragten Verwaltungsratsmitglieder sind der Meinung, dass die Bedeutung der Cyber-Resilienz für ihr Unternehmen in den letzten drei Jahren gestiegen ist. Die Mehrheit beobachtet sogar eine starke Zunahme, wobei die Bewertung wesentlich von der Unternehmensgrösse abhängt. Auch hier spiegelt sich die Korrelation von Grösse und Bedrohungslage.

Cyber-Sicherheit ist noch nicht überall Chefsache

Positiv zu werten ist: Verwaltungsräte nehmen laut eigener Aussage ihre Aufgaben mit Blick auf die Cyberresilienz grösstenteils wahr. 85 Prozent der Befragten bejahen, dass ihr VR-Gremium Trends und aktuelle Entwicklungen im Bereich Cyber-Resilienz verfolgt (siehe Grafik 2). Auch verfügen acht von zehn Gremien über eine Risikopolitik, die Cyber-Gefahren adressiert. Trotzdem bestehe Handlungsbedarf, betont Klaus Julisch, Leiter Risk Advisory bei Deloitte Schweiz: «Das Bewusstsein für die Risiken nimmt zu, was positiv zu bewerten ist. Davon abgesehen ist das Thema noch nicht überall in den Verwaltungsratsgremien angekommen. Auch fehlt fast der Hälfte der Unternehmen eine klare Cyber-Strategie. Schweizer Unternehmen und ihre Verwaltungsräte müssen daher mit Blick auf die Cyber-Resilienz noch mehr Verantwortung übernehmen.»

Nur ein Drittel probt den Ernstfall

Auch bei der Vorbereitung auf den Ernstfall gibt es Luft nach oben. Lediglich jedes dritte Verwaltungsratsmitglied bestätigt, das VR-Gremium probe das Krisenmanagement zumindest teilweise. Etwas besser ist das Bild in der Finanzindustrie: Rund jedes zweite Unternehmen dieser Branche führt regelmässige Krisentrainings durch. Zudem verzeichnet die Finanzindustrie mit 58 Prozent den höchsten Anteil abgeschlossener Cyber-Versicherungen.

Verbesserungspotenzial gibt es auch bei der Berichterstattung an den Verwaltungsrat: Nur etwa ein Drittel der Befragten wird regelmässig durch die Geschäftsleitung über die Top-Cyberrisiken oder die eigene Cyberstrategie informiert. Gut die Hälfte der VR-Gremien erhält immerhin ein Reporting zur allgemeinen Bedrohungslage, zu aktuellen Cyber-Angriffen im Unternehmen oder zum Handlungs- und Investitionsbedarf zur Stärkung der Cyber-Resilienz.

Trotz Herausforderungen: Verwaltungsräte sehen Konjunkturaussichten positiv(er)

Nebst der Befragung zum aktuellen Themenschwerpunkt Cyber-Resilienz erhebt der swissVR Monitor zweimal jährlich die Einschätzungen von VR-Mitgliedern zu den aktuellen Konjunktur- und Geschäftsaussichten. Nach einem Abschwung der Erwartungen infolge des Kriegsausbruchs in der Ukraine im Jahr 2022 geben die befragten Verwaltungsratsmitglieder aktuell wieder etwas optimistischere Wirtschaftsaussichten für die nächsten 12 Monate an. Knapp ein Viertel (24%) aller VR-Mitglieder geben bei der Befragung an, von einer positiven Konjunkturentwicklung auszugehen. 10 Prozent gehen von einer negativen Entwicklung aus. Die überwiegende Mehrheit (66%) beurteilt die Konjunkturaussichten als «neutral».

Im Verhältnis wurden die Branchenaussichten mit 45 Prozent und die Geschäftsaussichten mit 57 Prozent weitaus positiver bewertet als die gesamte Konjunkturlage. Cornelia Ritz Bossicard, Präsidentin von swissVR, räumt jedoch ein: «Es bleiben weiterhin viele Unsicherheitsfaktoren für die Schweizer Wirtschaft bestehen, wozu beispielsweise anhaltende geopolitische Risiken, eine unklare Energielage für den kommenden Winter und ein sich als beständig erweisender, überdurchschnittlich hoher Teuerungsdruck zählen. Der Wirtschaftsstandort Schweiz hat in schwierigen Zeiten seine Resilienz bewiesen. Nun gilt es, diese Qualität angesichts der sich neu entwickelnden Herausforderungen – etwa der beschriebenen Cyber-Risiken – zu bewahren. Denn so viel steht fest: Neue Herausforderungen, gerade auch im Cyber-Bereich, werden zunehmen.»

• Medienmitteilung herunterladen
• Umfrage herunteladen
• All media news as it happens: follow @DeloitteCH on Twitter!