EY: Unternehmen sind sich der Cybergefahren noch zu wenig bewusst
Zürich – Der Kampf gegen Cyberkriminalität ist kostspielig, doch häufig fehlen genügend Mittel, um den aktuellen Cyberbedrohungen angemessen entgegentreten zu können. 87 Prozent der Unternehmen weltweit geben an, dass eine Steigerung ihrer Mittel für Cybersicherheit um bis zu 50 Prozent nötig sei, um das Unternehmen angemessen vor Cyberbedrohungen schützen zu können. Allerdings rechnen gerade einmal 12 Prozent der Unternehmen mit einer Budgeterhöhung von mehr als 25 Prozent.
Und das, obwohl die Bedrohung immer stärker zunimmt: Die grössten Bedrohungen gehen den Befragten zufolge von Schadsoftware – sogenannter Malware – sowie von Phishingattacken aus. Jeweils 64 Prozent nehmen diese Bedrohungen als die grössten Risiken wahr. Im Vorjahr wurden sie nur von 52 beziehungsweise 51 Prozent als grösste Risiken gesehen.
Doch Attacken kommen nicht immer nur von aussen – auch die eigenen Mitarbeiter können zum Sicherheitsrisiko werden. Unvorsichtige oder uninformierte Mitarbeiter werden von 77 Prozent als wichtigstes Einfallstor für Cyberattacken gesehen, gefolgt von kriminellen Organisationen (56 Prozent) oder auch Mitarbeitern, die dem Unternehmen vorsätzlich schaden wollen (47 Prozent), wie aus dem Global Information Security Survey 2017-18 der Prüfungs- und Beratungsgesellschaft EY hervorgeht. Für die Befragung wurden 1‘200 Unternehmen rund um den Globus und rund 40 Unternehmen in der Schweiz befragt.
«Malware-Attacken wie wir sie zuletzt durch Petya oder Wannacry erlebt haben, sind Bedrohungen auf globaler Ebene, die leicht ein ganzes Unternehmen ausser Gefecht setzen können», kommentiert Tom Schmidt, Cybersecurity Leader EY Schweiz, die Zahlen. «Jedes Unternehmen muss auf das Schlimmste vorbereitet sein – nach den öffentlichkeitswirksamen Attacken der Vergangenheit gibt es keine Entschuldigung mehr für Untätigkeit. Sicherheitslücken können kostspielige Schäden zur Folge haben. Wer zu wenig in die Cybersicherheit investiert, läuft Gefahr, am Ende draufzuzahlen.»
Mehr Geld gibt es häufig erst, wenn es zu spät ist
Häufig wird aber erst in die Cybersicherheit investiert, wenn der Schaden schon entstanden ist. So geben 76 Prozent der Sicherheitsverantwortlichen in den befragten Unternehmen an, dass sie wahrscheinlich mehr Geld bekommen, wenn eine Cyberattacke Schaden anrichtet. Erfolgreich abgewehrte Attacken oder solche, die zunächst keinen offensichtlichen Schaden hinterlassen, würden nach Ansicht von 64 Prozent der Befragten jedoch zu keiner Budgeterhöhung führen.
«Das ist ein Fehler», stellt Schmidt fest. «Firmen müssen annehmen, dass grundsätzlich jede Attacke einen Schaden darstellt, selbst, wenn er nicht offensichtlich ist. Es könnte sich beispielsweise um einen Testangriff handeln, um Sicherheitslücken auszuspähen, oder um eine Ablenkung, um an anderer Stelle anzugreifen.»
Nur wenige können raffinierte Cyberangriffe entdecken
Nur 12 Prozent der Befragten sind der Auffassung, dass sie in der Lage wären, raffinierte Cyberangriffe mit hoher Wahrscheinlichkeit entdecken zu können. 44 Prozent glauben sogar, es sei unwahrscheinlich, dass sie eine solche Attacke erkennen würden. 38 Prozent verwenden nach wie vor kein Identitäts- und Zugangsmanagement, das den Zugriff auf IT-Systeme regelt, 35 Prozent haben keine festgelegten Massnahmen zum Datenschutz und 12 Prozent verfügen über kein Programm und über keine Prozesse und Tools, um Sicherheitslücken zu entdecken.
«Einige Unternehmen spielen mit dem Feuer, wenn sie die Cybersicherheit nicht ernst nehmen», warnt Reto Aeberhardt, zuständig für Cybersecurity Transformation bei EY Schweiz. Er rät dazu, das Thema im Unternehmen möglichst weit oben anzusiedeln und konkrete Massnahmen zur Abwehr und zur Erkennung von Cyberangriffen zu ergreifen. «Viele Angriffe lassen sich schon durch einfache Massnahmen wie regelmässige Sicherheitsupdates und Firewalls abwehren. Man wird aber nicht jeden Angriff verhüten können. Dann kommt es darauf an, erfolgreiche Angriffe möglichst zeitnah zu erkennen und die entsprechenden Gegenmassnahmen einzuleiten.»
Ein Security Operations Center kann helfen, ist in knapp der Hälfte der Unternehmen jedoch nicht vorhanden
Fast die Hälfte (48 Prozent) der Unternehmen verfügt über kein Security Operations Center (SOC) – weder im eigenen Unternehmen noch bei einem externen Dienstleistungserbringer. Und nur 24 Prozent sind mit dem Thema Cybersicherheit direkt in der Geschäftsleitung vertreten. «In vielen Unternehmen fehlt es auf oberster Ebene noch an Verständnis und der Erkenntnis, welche Relevanz das Thema besitzt», bemängelt Schmidt. Er empfiehlt solchen Unternehmen, die nicht über das nötige Personal oder die nötigen Mittel verfügen, sich die nötige Expertise ausser Haus zu holen. «Das Outsourcing bestimmter Sicherheitsaufgaben an Spezialisten kann insbesondere kleineren und mittelgrossen Unternehmen helfen. Aber auch für grössere Unternehmen ist es bisweilen sehr schwierig, alle erforderlichen Cybersecurity-Kompetenzen mit eigenen Mitarbeitenden abzudecken.» (EY/mc/ps)
Über die globale EY-Organisation
Die globale EY-Organisation ist eine Marktführerin in der Wirtschaftsprüfung, Steuerberatung, Transaktionsberatung und Rechtsberatung sowie in den Advisory Services. Wir fördern mit unserer Erfahrung, unserem Wissen und unseren Dienstleistungen weltweit die Zuversicht und die Vertrauensbildung in die Finanzmärkte und die Volkswirtschaften. Für diese Herausforderung sind wir dank gut ausgebildeter Mitarbeitender, starker Teams sowie ausgezeichneter Dienstleistungen und Kundenbeziehungen bestens gerüstet. Building a better working world: Unser globales Versprechen ist es, gewinnbringend den Fortschritt voranzutreiben – für unsere Mitarbeitenden, unsere Kunden und die Gesellschaft.
Die globale EY-Organisation besteht aus den Mitgliedsunternehmen von Ernst & Young Global Limited (EYG). Jedes EYG-Mitgliedsunternehmen ist rechtlich selbstständig und unabhängig und haftet nicht für das Handeln und Unterlassen der jeweils anderen Mitgliedsunternehmen. Ernst & Young Global Limited ist eine Gesellschaft mit beschränkter Haftung nach englischem Recht und erbringt keine Leistungen für Kunden. Weitere Informationen finden Sie auf unserer Website: www.ey.com.
Die EY-Organisation ist in der Schweiz durch die Ernst & Young AG, Basel, an zehn Standorten sowie in Liechtenstein durch die Ernst & Young AG, Vaduz, vertreten. «EY» und «wir» beziehen sich in dieser Publikation auf die Ernst & Young AG, Basel, ein Mitgliedsunternehmen von Ernst & Young Global Limited.