Zürich/Genf
Cyber-Angriffe beschäftigen die Schweizer Wirtschaft mehr denn je. Jedes zweite Grossunternehmen wurde bereits Opfer eines Cyber-Angriffs. In vielen Fällen ist die Folge ein Betriebsunterbruch. Die 14. Ausgabe des swissVR Monitors zeigt: Obwohl das Bewusstsein für die Risiken zunimmt, fehlt vielen Firmen eine klar formulierte Cyber-Strategie. Der Ernstfall wird nur selten geprobt und auch das Reporting der Geschäftsleitung an den Verwaltungsrat muss sich verbessern.
Die Bedrohung durch Cyber-Angriffe wächst. Betroffen sind insbesondere Grossunternehmen: 45 Prozent der Firmen mit über 250 Mitarbeitenden wurden bereits mindestens einmal Opfer einer Cyber-Attacke. Dies zeigt der jüngste swissVR Monitor, eine halbjährlich von der Verwaltungsratsvereinigung swissVR in Kooperation mit dem Prüfungs- und Beratungsunternehmen Deloitte Schweiz und der Hochschule Luzern durchgeführte Umfrage. Für die Studie wurden 400 Verwaltungsratsmitglieder zum Fokusthema «Cyber-Resilienz» befragt.
Im Gegensatz zu Grossunternehmen scheinen KMU deutlich weniger betroffen: Nur 18 Prozent der Firmen mit unter 50 Mitarbeitenden geben einen schwerwiegenden Angriff an. Der Zusammenhang zwischen der Unternehmensgrösse und der Häufigkeit der Angriffe liegt auf der Hand: Grossunternehmen sind global stärker exponiert und bieten Cyber-Kriminellen grössere Angriffsflächen. Eine weitere Erklärung für die vermeintlich geringere Betroffenheit bei kleineren Unternehmen ist das teilweise fehlende Reporting über solche Vorfälle gegenüber dem Verwaltungsrat.
Betriebsunterbruch ist die häufigste Folge
Cyber-Angriffe haben oftmals gravierende Folgen für das operative Geschäft. Die mit Abstand häufigste Konsequenz ist ein Betriebsunterbruch. Dies ist bei 42 Prozent der von einem Cyber-Angriff betroffenen Unternehmen der Fall (siehe Grafik 1). Besonders gefährdet sind die operativen Prozesse von Unternehmen im Bereich Informations- und Kommunikationstechnik. In dieser Branche kam es bei 69 Prozent der Betroffenen zu einem Betriebsunterbruch.
Auch Datenlecks und Fehlfunktionen von Produkten oder Dienstleistungen sind häufige Folgen. Teilweise haben Cyber-Angriffe sogar Konsequenzen ausserhalb des eigenen Unternehmens: So beklagen 11 Prozent der Befragten Folgeangriffe auf Kunden. Obwohl der Abfluss von Vermögenswerten nur selten vorkommt, sind auch die finanziellen Folgen nicht zu unterschätzen. Neben Umsatzeinbussen durch Betriebsunterbrüche drohen hohe Folgekosten, etwa für die Wiederherstellung von Daten.
Resilienz gegenüber Cyber-Attacken gewinnt stark an Bedeutung
Die weitreichenden Folgen machen es deutlich: Jedes KMU muss sich mit Cyber-Risiken auseinandersetzen. «Das Thema ist heute fester Bestandteil einer guten Corporate Governance. Erfreulicherweise haben das bereits viele Unternehmen erkannt. Aber es besteht durchaus noch Potenzial. Unsere Umfrage zeigt, dass Cyber-Resilienz über alle Branchen hinweg stark an Bedeutung gewinnt. Dies muss sich auch im Risikomanagement und im Strategieprozess jedes Unternehmens widerspiegeln», sagt Mirjam Durrer, Dozentin der Hochschule Luzern am Institut für Finanzdienstleistungen Zug IFZ. 95 Prozent der befragten Verwaltungsratsmitglieder sind der Meinung, dass die Bedeutung der Cyber-Resilienz für ihr Unternehmen in den letzten drei Jahren gestiegen ist. Die Mehrheit beobachtet sogar eine starke Zunahme, wobei die Bewertung wesentlich von der Unternehmensgrösse abhängt. Auch hier spiegelt sich die Korrelation von Grösse und Bedrohungslage.
Cyber-Sicherheit ist noch nicht überall Chefsache
Positiv zu werten ist: Verwaltungsräte nehmen laut eigener Aussage ihre Aufgaben mit Blick auf die Cyberresilienz grösstenteils wahr. 85 Prozent der Befragten bejahen, dass ihr VR-Gremium Trends und aktuelle Entwicklungen im Bereich Cyber-Resilienz verfolgt (siehe Grafik 2). Auch verfügen acht von zehn Gremien über eine Risikopolitik, die Cyber-Gefahren adressiert. Trotzdem bestehe Handlungsbedarf, betont Klaus Julisch, Leiter Risk Advisory bei Deloitte Schweiz: «Das Bewusstsein für die Risiken nimmt zu, was positiv zu bewerten ist. Davon abgesehen ist das Thema noch nicht überall in den Verwaltungsratsgremien angekommen. Auch fehlt fast der Hälfte der Unternehmen eine klare Cyber-Strategie. Schweizer Unternehmen und ihre Verwaltungsräte müssen daher mit Blick auf die Cyber-Resilienz noch mehr Verantwortung übernehmen.»
Nur ein Drittel probt den Ernstfall
Auch bei der Vorbereitung auf den Ernstfall gibt es Luft nach oben. Lediglich jedes dritte Verwaltungsratsmitglied bestätigt, das VR-Gremium probe das Krisenmanagement zumindest teilweise. Etwas besser ist das Bild in der Finanzindustrie: Rund jedes zweite Unternehmen dieser Branche führt regelmässige Krisentrainings durch. Zudem verzeichnet die Finanzindustrie mit 58 Prozent den höchsten Anteil abgeschlossener Cyber-Versicherungen.
Verbesserungspotenzial gibt es auch bei der Berichterstattung an den Verwaltungsrat: Nur etwa ein Drittel der Befragten wird regelmässig durch die Geschäftsleitung über die Top-Cyberrisiken oder die eigene Cyberstrategie informiert. Gut die Hälfte der VR-Gremien erhält immerhin ein Reporting zur allgemeinen Bedrohungslage, zu aktuellen Cyber-Angriffen im Unternehmen oder zum Handlungs- und Investitionsbedarf zur Stärkung der Cyber-Resilienz.
Trotz Herausforderungen: Verwaltungsräte sehen Konjunkturaussichten positiv(er)
Nebst der Befragung zum aktuellen Themenschwerpunkt Cyber-Resilienz erhebt der swissVR Monitor zweimal jährlich die Einschätzungen von VR-Mitgliedern zu den aktuellen Konjunktur- und Geschäftsaussichten. Nach einem Abschwung der Erwartungen infolge des Kriegsausbruchs in der Ukraine im Jahr 2022 geben die befragten Verwaltungsratsmitglieder aktuell wieder etwas optimistischere Wirtschaftsaussichten für die nächsten 12 Monate an. Knapp ein Viertel (24%) aller VR-Mitglieder geben bei der Befragung an, von einer positiven Konjunkturentwicklung auszugehen. 10 Prozent gehen von einer negativen Entwicklung aus. Die überwiegende Mehrheit (66%) beurteilt die Konjunkturaussichten als «neutral».
Im Verhältnis wurden die Branchenaussichten mit 45 Prozent und die Geschäftsaussichten mit 57 Prozent weitaus positiver bewertet als die gesamte Konjunkturlage. Cornelia Ritz Bossicard, Präsidentin von swissVR, räumt jedoch ein: «Es bleiben weiterhin viele Unsicherheitsfaktoren für die Schweizer Wirtschaft bestehen, wozu beispielsweise anhaltende geopolitische Risiken, eine unklare Energielage für den kommenden Winter und ein sich als beständig erweisender, überdurchschnittlich hoher Teuerungsdruck zählen. Der Wirtschaftsstandort Schweiz hat in schwierigen Zeiten seine Resilienz bewiesen. Nun gilt es, diese Qualität angesichts der sich neu entwickelnden Herausforderungen – etwa der beschriebenen Cyber-Risiken – zu bewahren. Denn so viel steht fest: Neue Herausforderungen, gerade auch im Cyber-Bereich, werden zunehmen.»
Über Deloitte
Deloitte bezieht sich auf Deloitte Touche Tohmatsu Limited (DTTL), ihr weltweites Netzwerk von Mitgliedsunternehmen und ihre verbundenen Unternehmen (zusammen die „Deloitte-Organisation“). DTTL (auch als „Deloitte Global“ bezeichnet) und jedes seiner Mitgliedsunternehmen und verbundenen Unternehmen sind rechtlich eigenständige und unabhängige Unternehmen, die sich gegenüber Dritten weder gegenseitig verpflichten noch binden können. DTTL, jedes DTTL-Mitgliedsunternehmen und verbundene Unternehmen haften nur für ihre eigenen Handlungen und Unterlassungen und nicht für die der anderen. DTTL erbringt selbst keine Leistungen gegenüber Mandanten. Weitere Informationen finden Sie unter www.deloitte.com/about um mehr zu lernen.
Deloitte stellt branchenführende Dienstleistungen in den Bereichen Wirtschaftsprüfung und Beratung, Steuern und Recht, Consulting, Finanzberatung sowie Risikoberatung für nahezu 90% der Fortune Global ® -Unternehmen und Tausende private Unternehmen bereit. Unsere Experten liefern messbare und nachhaltige Ergebnisse, die dazu beitragen, das öffentliche Vertrauen in die Kapitalmärkte zu stärken, unseren Kunden Transformation und Erfolg zu ermöglichen und den Weg hin zu einer stärkeren Wirtschaft, einer gerechteren Gesellschaft und einer nachhaltigen Welt zu ebnen. Aufbauend auf seiner über 175-jährigen Geschichte ist Deloitte in mehr als 150 Ländern und Regionen vertreten. Erfahren Sie unter www.deloitte.com, wie die rund 415'000 Mitarbeiter von Deloitte weltweit einen bedeutenden Beitrag leisten.
Über Deloitte Legal
Deloitte Legal bezeichnet die Rechtsanwaltspraxen der DTTL-Mitgliedsfirmen, deren Tochtergesellschaften oder verbundene Unternehmen, die juristische Dienstleistungen erbringen. Die genaue Art dieser Beziehungen und der Bereitstellung von Rechtsdienstleistungen unterscheidet sich je nach Rechtsraum, um die Einhaltung der örtlichen Gesetze und Berufsvorschriften zu ermöglichen. Aus rechtlichen, regulatorischen und anderen Gründen bieten nicht alle Mitgliedsfirmen, ihre Tochtergesellschaften oder ihre verbundenen Unternehmen Rechtsdienstleistungen an oder sind mit den Rechtsanwaltspraxen von Deloitte verbunden.
Über die University of California Health
University of California Health ist eines der grössten akademischen Gesundheitssysteme des Landes. Es besteht aus sechs akademischen Gesundheitszentren, sechs medizinischen Fakultäten und 13 Schulen für Gesundheitsberufe. Jährlich werden in den Notaufnahmen über 375'000 Menschen versorgt, über 172'000 Menschen werden stationär behandelt und über 7,6 Millionen Patienten werden ambulant behandelt.
Über das IOC
Das Internationale Olympische Komitee ist eine gemeinnützige, zivile, nichtstaatliche, internationale Organisation, die sich aus Freiwilligen zusammensetzt und sich für die Schaffung einer besseren Welt durch Sport einsetzt. Mehr als 90 Prozent seiner Einnahmen werden an die breitere Sportbewegung weitergeleitet. Das bedeutet, dass täglich umgerechnet 3,4 Millionen US-Dollar an Sportler und Sportorganisationen auf allen Ebenen auf der ganzen Welt gehen.
Über IDC
International Data Corporation (IDC) ist der weltweit führende Anbieter von Marktinformationen, Beratungsdiensten und Veranstaltungen für die Märkte Informationstechnologie, Telekommunikation und Verbrauchertechnologie. IDC unterstützt IT-Experten, Führungskräfte und die Investment-Community dabei, faktenbasierte Entscheidungen über Technologiekäufe und Geschäftsstrategien zu treffen. Mehr als 1'100 IDC-Analysten liefern globales, regionales und lokales Fachwissen zu Technologie- und Branchenchancen und -trends in über 110 Ländern weltweit. Seit 50 Jahren bietet IDC strategische Erkenntnisse, die unseren Kunden helfen, ihre wichtigsten Geschäftsziele zu erreichen. IDC ist eine Tochtergesellschaft von IDG, dem weltweit führenden Technologieunternehmen
Medien-, Forschungs- und Eventunternehmen.
MuleSoft ist eine eingetragene Marke von MuleSoft, Inc., einem Unternehmen von Salesforce. Alle anderen Marken sind Eigentum der jeweiligen Eigentümer.
Über Deloitte Asia Pacific
Deloitte Asia Pacific Limited ist eine Gesellschaft mit beschränkter Haftung und ein Mitgliedsunternehmen von DTTL. Mitglieder von Deloitte Asia Pacific Limited und ihre verbundenen Unternehmen, die alle separate und unabhängige Rechtspersönlichkeiten sind, bieten ihre Dienste von über 100 Städten in der gesamten Region aus an, darunter Auckland, Bangkok, Peking, Hanoi, Hongkong, Jakarta, Kuala Lumpur, Manila, Melbourne, Osaka, Seoul, Shanghai, Singapur, Sydney, Taipeh und Tokio.
Diese Mitteilung enthält nur allgemeine Informationen. Weder Deloitte Touche Tohmatsu Limited („DTTL“) noch sein globales Netzwerk von Mitgliedsfirmen oder deren verbundene Unternehmen (zusammen die „Deloitte-Organisation“) erbringen mittels dieser Mitteilung professionelle Beratung oder Dienstleistungen. Bevor Sie Entscheidungen treffen oder Massnahmen ergreifen, die Ihre Finanzen oder Ihr Unternehmen beeinträchtigen könnten, sollten Sie einen qualifizierten professionellen Berater konsultieren.
Es werden keine (ausdrücklichen oder stillschweigenden) Zusicherungen, Garantien oder Gewährleistungen hinsichtlich der Genauigkeit oder Vollständigkeit der Informationen in dieser Mitteilung gegeben und weder DTTL noch seine Mitgliedsunternehmen, verbundenen Unternehmen, Mitarbeiter oder Vertreter haften oder sind für Verluste oder Schäden jeglicher Art haftbar oder verantwortlich, die direkt oder indirekt im Zusammenhang mit Personen entstehen, die sich auf diese Mitteilung verlassen. DTTL und jedes seiner Mitgliedsunternehmen sowie die mit ihnen verbundenen Unternehmen sind rechtlich eigenständige und unabhängige Einheiten.
Gartner Disclaimer
Gartner unterstützt keine der in seinen Forschungspublikationen dargestellten Anbieter, Produkte oder Dienstleistungen und rät Technologienutzern nicht, nur die Anbieter mit den höchsten Bewertungen oder anderen Bezeichnungen auszuwählen. Die Forschungsveröffentlichungen von Gartner geben die Meinungen der Forschungsorganisation von Gartner wieder und sollten nicht als Tatsachenbehauptungen ausgelegt werden. Gartner lehnt jegliche ausdrückliche oder stillschweigende Gewährleistung in Bezug auf diese Forschung ab, einschliesslich aller Gewährleistungen hinsichtlich der Marktgängigkeit oder Eignung für einen bestimmten Zweck.
Gartner, Magic Quadrant für SAP S/4HANA Application Services, weltweit, 27. Juni 2022, Jaideep Thyagarajan, Fabio Di Capua, Peter Adamo, Luis Pinto, Allan Wilkins
Gartner, Kritische Fähigkeiten für SAP S/4HANA Anwendungsdienste, weltweit, weltweit, 27. Juni 2022, Peter Adamo, Fabio Di Capua, Luis Pinto, Jaideep Thyagarajan, Allan Wilkins
GARTNER und Magic Quadrant sind eingetragene Marken und Dienstleistungsmarken von Gartner, Inc. und/oder seinen Tochtergesellschaften in den USA und international und werden hier mit Genehmigung verwendet. Alle Rechte vorbehalten.
Über Deloitte Health & Human Services
Deloitte bietet innovative und zugleich praktische Lösungen für die Navigation auf dem äusserst komplexen Markt der Personaldienstleistungen. Wir streben danach, Gemeinschaften zu schützen und ihnen bessere Lebensbedingungen zu bieten, und zwar durch Programme, die bei der Sozialhilfe, Arbeitslosigkeit und Familienfürsorge sowie körperlicher und geistiger Gesundheit helfen. Weitere Informationen zu unseren Dienstleistungen finden Sie auf der Seite „Future of Human Services“ auf Deloitte.com. Dort können Sie unseren neuesten Bericht Umgestaltung der Sozialfürsorge: Mehr als "besser, schneller, billiger‘“ lesen.
Pressekontakt(e):
Michael Wiget
Leiter Externe Kommunikation
Tel: +41 58 279 70 50
mwiget@deloitte.ch
Kevin Capellini
Spezialist für externe Kommunikation
Telefon: +41 58 279 59 74
kcapellini@deloitte.ch