Studie
31.05.2018, 13:45 Uhr
Cyberangriffe auf Schweizer Firmen nehmen zu
Einer Studie von KPMG zufolge gehören Cyberangriffe bei Schweizer Unternehmen mittlerweile zum Alltag. Während zwar das Bewusstsein für Risiken steigt, gibt es aber immer noch Defizite – etwa im Umgang mit Partnern und Lieferanten.
Einem Cyberangriff zum Opfer zu fallen, das gehört für viele Schweizer Unternehmen mittlerweile offenbar zum Alltag. Das zumindest zeigt eine Studie des Beratungsunternehmens KPMG. 88 Prozent der Befragten Firmen gaben dabei an, dass sie im vergangenen Jahr attackiert wurden. Laut KPMG ist diese Zahl im Vergleich zum Vorjahr um ganze 34 Prozentpunkte angestiegen (54 %). Bei über der Hälfte aller betroffenen Firmen hätten die Angriffe zudem einen Unterbruch der Geschäftstätigkeit verursacht – bei etwas mehr als einem Drittel gar einen finanziellen Schaden. Zu diesen Resultaten kamen die Berater in der jährlichen Studie «Clarity on Cyber Security», die heuer zum vierten Mal durchgeführt wurde. Dabei wurden C-Level-Vertreter (CISO, CIO, CTO) von 60 Schweizer Unternehmen aus verschiedenen Branchen befragt.
Ein Problem identifiziert KPMG anhand der Studie bei den Stakeholdern von Unternehmen. Vielerorts würden die Drittpartei-Risiken vernachlässigt, heisst es in einer Mitteilung zur Studie. Bei knapp der Hälfte aller Befragten gibt es demnach keine Kontrollinstrumente für Lieferanten. Noch weniger setzten mit ihren Partnern vertraglich bedingte Bedingungen in Bezug auf Cyberrisiken auf (38 %). Zusätzlich decken die Cyber-Response-Pläne der Befragten mehrheitlich keine Angriffe auf Lieferanten oder Geschäftspartner ab.
Konstruktionsfehler
Aus der Studie geht hervor, dass besonders Datendiebstähle auf menschliches Versagen und Social Engineering zurückzuführen ist. Gemäss dem Beratungsunternehmen tragen daran aber nicht bloss sorglose Benutzer die Schuld, sondern auch Konstruktionsfehler in der Cyberabwehr. Denn oft werde der Benutzerfreundlichkeit im Bereich der Cybersicherheit eine untergeordnete Rolle beigemessen. KPMG untermauert dies mit folgenden Zahlen: 65 Prozent der Befragten gaben an, dass in ihrem Unternehmen nicht systematisch an benutzerfreundlichen Massnahmen zur Cybersicherheit gearbeitet wird. Nur 11 Prozent aller Firmen ziehen hierbei Spezialisten zurate. «Die Wirksamkeit von Massnahmen zur Cybersicherheit muss dringend gestärkt werden. Dies geht nicht ohne das menschliche Verhalten viel stärker im Design der Massnahmen zu berücksichtigen», erklärt Matthias Bossardt, Leiter Cyber Security von KPMG Schweiz. Und weiter: «Die Benutzerfreundlichkeit von Cybersicherheit ist entscheidend, wenn es darum geht, die Cyberbedrohung in den Griff zu kriegen. Das schwächste Glied in der Kette war, ist und bleibt immer der Mensch», resümiert er.
Risiken durch IoT und KI
Grossen Aufholbedarf sehen die Studienautoren auch beim Internet der Dinge. Mehr als die Hälfte aller Teilnehmer hätten zugegeben, dass sie keinen Überblick über alle vernetzten Geräte haben, die in ihrem Unternehmen genutzt werden. Etwas mehr als ein Drittel aller Antwortgeber versuche nicht einmal, diesen Überblick zu erlangen. 17 Prozent hätten es zwar versucht, seien dabei aber gescheitert. Es überrasche deshalb nicht, dass das Thema IoT bei der Hälfte aller befragten Firmen nicht in der Strategie zur Cybersicherheit auftauche, heisst es seitens KPMG.
Auch Künstliche Intelligenz scheint vielerorts noch kein grosses Thema zu sein. Nur etwas mehr als 20 Prozent der Befragten gaben an, dass sie sich der Risiken, die durch den Einsatz von Künstlicher Intelligenz im eigenen Unternehmen oder in Produkten und Dienstleistungen entstehen, bewusst sind. «Wir sehen uns durch den vermehrten Einsatz von Künstlicher Intelligenz mit ganz neuen Risiken im Bereich der Cybersicherheit konfrontiert. Gleichzeitig bieten sich auch neue Möglichkeiten bei der Abwehr von Cyberangriffen – künstliche Intelligenz ist aber keinesfalls ein Wundermittel», sagt Bossardt hierzu.
Lerneffekt
Gemäss der KPMG-Studie machte die Schweizer Wirtschaft in puncto Cyberrisiken allerdings nicht nur Fehler, sondern hat auch dazugelernt, wie mit der Bedrohung durch Cyberattacken umzugehen ist. 81 Prozent der Befragten gaben an, dass sie im Laufe der vergangenen zwölf Monate ein grösseres Risikobewusstsein entwickelt haben. Die Relevanz des Themas Cybersicherheit steigerte sich also bei Schweizer Firmen. Etwas mehr als die Hälfte der Befragten versteht zudem die Motive sowie die Strategie und Vorgehensweise der Angreifer besser. Und 44 Prozent konnten schliesslich ihre Vorhersagemöglichkeiten verbessern.
Das Beratungsunternehmen kritisiert hingegen, dass Massnahmen nach wie vor zu wenig konsequent und zielgerichtet umgesetzt würden. «Dieser krasse Widerspruch dominiert die Cyberstrategien vieler Schweizer Organisationen», sagt Bossardt. «Viele Firmen sehen Cybersicherheit ausschliesslich durch die Linse von Bedrohungen oder Risiken. Dabei können sie, wenn sie es richtig angehen, die Widerstandsfähigkeit ihres Unternehmens erhöhen und bei den relevanten Stakeholdern zusätzliches Vertrauen schaffen. Dies stärkt die Wettbewerbsposition und generiert zusätzliches Geschäft», ergänzt Bossardt.