Zürich – Den Ergebnissen der 19. jährlichen EY Global Information Security Survey zufolge meinen 40 % der in der Schweiz befragten Unternehmen, dass sie komplexe Cyberangriffe aufdecken könnten. Diese Überzeugung basiert auf ihren Investitionen in vorausschauende Informationssysteme (Cyber Threat Intelligence), um vorherzusagen, was sie bezüglich möglicher Angriffe erwartet, in eine laufende Überwachung, in Security Operations Centers sowie in aktive Verteidigungsmechanismen.
«Schweizer Unternehmen sind sich relativ zuversichtlich, dass sie einen komplexen Cyberangriff vorhersagen und ihm widerstehen können», so Tom Schmidt, EY Cybersecurity Leader Schweiz. Aus diesem Grund zögern vielleicht einige Unternehmen, trotz der wachsenden Bedrohung, in ihre Fähigkeit zum raschen Wiederaufbau zu investieren. An der Umfrage zu den Herausforderungen der Cybersicherheit, denen Unternehmen heute im digitalen Ökosystem gegenüberstehen, nahmen weltweit 1’735 Unternehmen teil, 49 davon aus der Schweiz.
Grossteil der Cybersicherheit-Funktionen noch nicht auf dem neusten Stand
Trotz Investitionen in die Cybersicherheit gaben 84 % der Schweizer Teilnehmer (86 % der weltweiten Teilnehmer) an, dass ihre Massnahmen zur Cybersicherheit die Bedürfnisse des Unternehmens nicht vollständig abdecken. Über die Hälfte (59 %) der Schweizer Unternehmen haben kein formelles Cyber-Threat-Intelligence-Programm . Im Hinblick auf die Identifikation von Schwachstellen besitzen nahezu die Hälfte der Befragten (49 %) keine oder nur informelle Fähigkeiten in diesem Bereich. 42 % haben kein SOC (Security Operations Center), welches die Gefahr durch Cyberangriffe kontinuierlich überwacht.
65 % der Schweizer Teilnehmer und 57 % der weltweiten Teilnehmer gaben an, dass sie kürzlich Cybersicherheits-Vorfälle in ihren Unternehmen hatten. Über ein Drittel (37 %) nannte veraltete Sicherheitskontrollen oder eine veraltete IT-Architektur als grösste Schwachstelle, während es weltweit 48 % waren. Ferner meinten die Schweizer (gleich wie die ausländischen Teilnehmenden), dass die wesentlichen Cyberbedrohungen im Steigen begriffen seien.
Angreifer lassen sich ständig neue Tricks einfallen
Tom Schmidt kommentiert: «Trotz grosser Fortschritte bei der Vorbereitung auf einen Cyberangriff können Unternehmen mit den Angreifern kaum Schritt halten. Unternehmen müssen wachsam bleiben und ihre Widerstandsfähigkeit gegen Angriffe erhöhen. Sie müssen auch über blossen Schutz und Sicherheit hinausdenken: Es braucht einen unternehmensweiten Ansatz, der auf diese unvermeidlichen Vorfälle umfassend vorbereitet, das Stichwort hierzu ist ‚cyber resilience’. Im Fall eines Angriffs müssen die Unternehmen gerüstet sein, um den Schaden schnell zu beheben und das Unternehmen wieder instand zu setzen. Andernfalls setzen sie ihre Kunden, Mitarbeiter, Lieferanten und letztlich auch ihre eigene Zukunft unnötigen Risiken aus.»
Den Schweizer Teilnehmern zufolge hätten Schutz vor Datenlecks und Datenverlusten (56 %), Sicherheitsbewusstsein und -training (56 %) sowie Identitäts- und Zugangsmanagement (55 %) höchste Priorität. Im Gegensatz dazu nannten die weltweit Befragten (57 %) Geschäftskontinuität und Disaster Recovery, die Grundlagen für die Fähigkeit eines Unternehmens, auf einen Angriff zu reagieren, als ihre höchste Priorität . In der Schweiz hatte dies für nur ein Drittel (35 %) der Befragten Vorrang. Obwohl 43 % der Schweizer Befragten in diesem Jahr mehr Geld für den Schutz vor Datenlecks und Datenverlusten ausgeben wollen, planen nur 20 %, mehr in die Geschäftskontinuität und Disaster Recovery zu investieren – nur halb so viele wie weltweit.
Schwachstellen und Hürden bestehen weiterhin
Dieses Jahr nannten die Schweizer Teilnehmer die gleichen Hauptprobleme bei der Cybersicherheit wie 2015, etwa die erhöhten Risiken durch achtlose oder unzureichend informierte Mitarbeitende (64 % im Vergleich zu 52 % im Vorjahr), und Schwachstellen, die durch Mobile Computing entstehen (41 % im Vergleich zu 27 % im Vorjahr). Die grössten Hürden bei der Informationssicherheit sind im Grunde die gleichen wie im Vorjahr, mit der Ausnahme des Mangels an Fachkräften, der in der Schweiz erheblich zugenommen hat.
Digitales Ökosystem und vernetzte Geräte stellen eine Herausforderung dar
Die Umfrage zeigte, dass 82 % der Schweizer Unternehmen trotz der engen Verknüpfung des heutigen digitalen Ökosystems die Ausgaben für Cybersicherheit nach einem Vorfall, der auf ihre Geschäftstätigkeit keinen Einfluss hatte, nicht erhöhen würden. Ferner sagten 80 % der Befragten, dass sie ihre Ausgaben für Cybersicherheit wahrscheinlich nicht anheben würden, wenn ein Mitbewerber angegriffen würde. 82 % gaben an, dass sie ihre Ausgaben für Cybersicherheit wahrscheinlich nicht erhöhen würden, wenn einer ihrer Zulieferer angegriffen würde.
Im Fall eines Angriffs, bei dem eindeutig auf Daten zugegriffen oder diese kompromittiert wurden, würde die Hälfte der Schweizer Befragten (50 %) die betroffenen Kunden nicht binnen einer Woche benachrichtigen. Insgesamt haben 44 % der Schweizer Befragten keine einheitlichen Kommunikationsstrategien oder Pläne für den Fall eines Cyberangriffes.
Ferner stellen die Geräte, die laufend zu ihrem digitalen Ökosystem hinzugefügt werden, die Unternehmen vor Herausforderungen. Die meisten der befragten Schweizer Unternehmen sind besorgt über das fehlende Verantwortungsbewusstsein der Benutzer und den Einsatz mobiler Geräte wie Laptops, Tablets und Smartphones. Über ein Drittel (38 %) nannte den Verlust eines solchen Geräts als Hauptrisiko, das mit der zunehmenden Nutzung von mobilen Geräten einhergeht, weil es dadurch zu Informations- und Identitätsdiebstahl kommen kann.
Informationen zur Umfrage
Der 19. jährliche Global Information Security Survey von EY erfasst Antworten von 1’735 C-Suite-Führungskräften und IT-Führungskräften und Managern der grössten und renommiertesten Unternehmen der Welt. Die Umfrage wurde von Juni bis August 2016 durchgeführt.
Über die globale EY-Organisation
Die globale EY-Organisation ist eine Marktführerin in der Wirtschaftsprüfung, Steuerberatung, Transaktionsberatung und Rechtsberatung sowie in den Advisory Services. Wir fördern mit unserer Erfahrung, unserem Wissen und unseren Dienstleistungen weltweit die Zuversicht und die Vertrauensbildung in die Finanzmärkte und die Volkswirtschaften. Für diese Herausforderung sind wir dank gut ausgebildeter Mitarbeitender, starker Teams sowie ausgezeichneter Dienstleistungen und Kundenbeziehungen bestens gerüstet. Building a better working world: Unser globales Versprechen ist es, gewinnbringend den Fortschritt voranzutreiben – für unsere Mitarbeitenden, unsere Kunden und die Gesellschaft.
Die globale EY-Organisation besteht aus den Mitgliedsunternehmen von Ernst & Young Global Limited (EYG). Jedes EYG-Mitgliedsunternehmen ist rechtlich selbstständig und unabhängig und haftet nicht für das Handeln und Unterlassen der jeweils anderen Mitgliedsunternehmen. Ernst & Young Global Limited ist eine Gesellschaft mit beschränkter Haftung nach englischem Recht und erbringt keine Leistungen für Kunden.
Die EY-Organisation ist in der Schweiz durch die Ernst & Young AG, Basel, an zehn Standorten sowie in Liechtenstein durch die Ernst & Young AG, Vaduz, vertreten.