Massnahmen gegen Cyber-Risiken hinken Bewusstsein hinterher

Von Gabriel Gabriel am 08. August 2018

Aufzug mit Zugriffscode

Die Widerstandsfähigkeit von Unternehmen gegenüber Cyber-Angriffen ist in vielerlei Hinsicht für den Erfolg von Unternehmen entscheidend. In einer neuen, in der Schweiz von KPMG bei 60 Unternehmen aller Branchen durchgeführten Studie geben die Befragten gar eindeutig fassbare Schäden zu Protokoll. So beklagen 42 Prozent der Befragten, deren Unternehmen bereits erfolgreichen Cyber-Angriffen ausgesetzt waren, finanzielle Einbussen. Weiter hatten Sicherheitsprobleme bei 42 Prozent Störungen ihrer Geschäftsabläufe und bei 33 Prozent den Verlust vertraulicher, unternehmensinterner Informationen ausgelöst. Ein Viertel gibt sogar zu, aufgrund der Angriffe Reputationsproblemen gewärtigt zu haben.

Dass Verantwortliche in Unternehmen in dieser Offenheit über tatsächlich erfolgte Angriffe und deren Folgen Auskunft geben, ist nicht selbstverständlich. Was gleichzeitig erstaunt ist allerdings die Tatsache, dass zwischen dem Bewusstsein des Risikos durch die diversen Bedrohungen sowie den negativen Erfahrungen und den Strategien, damit umzugehen, nach wie vor massive Widersprüche bestehen.

So dies zum Beispiel beim Thema Datenschutz: 87 Prozent der Befragten bestätigen, dass sie von der DSGVO betroffen sind. Dennoch berücksichtigen nur 64 Prozent Datenschutzverletzungen in ihren Cyber-Response-Plänen.

Eine grosse Diskrepanz betrifft aber auch Fusionen und Übernahmen: 80 Prozent der Antwortenden sagen, die Cyber-Sicherheit werde vom Verwaltungsrat als betriebliches Risiko erkannt. Dennoch führt noch nicht mal ein Viertel (23%) eine Due-Dilligence-Prüfung in Sachen Cyber-Sicherheit durch, wenn es um Fusionen oder Firmenübernahmen geht.

Risikominderung entlang der gesamten Wertschöpfungskette

Ähnlich inkonsequent sieht es bei Problemen aus, die bei Lieferanten oder Geschäftspartner auftreten: Sie können auch für das eigene Geschäft eine reale Bedrohung darstellen. Dennoch hat ein Drittel der befragten Unternehmen in ihren Verträgen mit Lieferanten keine Anforderungen für Massnahmen zur Cyber-Sicherheit definiert. Kein Unternehmen könne es sich leisten, die eigene Cyber-Sicherheit isoliert und unabhängig vom Rest seines Umfelds zu betrachten, sagt hingegen Matthias Bossardt, Leiter Cyber Security, KPMG Switzerland. „Um sich zu schützen, müssen auch Risiken erkannt werden, die andere Teile der Wertschöpfungskette betreffen.“ Denn stetig steigende Vernetzung mit Partnern, Outsourcing von Geschäftsprozessen und immer mehr offene Schnittstellen müssten heute berücksichtigt werden, wolle man die Cyber-Sicherheit in Unternehmen gewährleisten.

Während Unternehmen aber immer besser zur Effizienzsteigerung und Wachstumsförderung zusammenarbeiten, sollte dasselbe auch für die Wahrung der Cyber-Resilienz gelten. 56 Prozent der Befragten glauben zwar, das grösste Problem bei der Bewältigung von Drittparteien-Risiken bestehe in der ungenügenden Transparenz, wenn es um die Wirksamkeit des Kontrollsystems von Lieferanten gehe. Nichtsdestotrotz werden nur bei weniger als einem Fünftel der Firmen (18 Prozent) solche Sicherheitsrisiken in den Cyberstrategien entsprechend berücksichtigt.

Industriezertifikate wären einfaches Prüfmittel

Diese aktuelle Umfrage zeigt deutlich, dass sich die meisten Schweizer Unternehmen der Bedrohung durch Cyber-Attacken zwar bewusst sind, jedoch nicht ausreichende Massnahmen zum Risikomanagement ergreifen.

Die Resultate zur Frage, wie Unternehmen die Cyber-Risiken von Drittparteien in Verträgen berücksichtigen, veranschaulichen abschliessend, wie unbedeutend dieses Thema noch auf der Agenda der Risikoverantwortlichen in Schweizer Unternehmen ist. 41 Prozent fordern ein Recht auf Audits, 23 Prozent eine Anpassung an die eigenen Sicherheitsrichtlinien und 33 Prozent ein Monitoring, also beispielsweise eine Meldepflicht im Falle von erfolgten Attacken und in der Folge entsprechendes Management solcher Vorfälle.

Eine erschreckende Minderheit hingegen erkennt die sehr einfache Kontrollmöglichkeit mittels industrierelevanten Zertifizierungen nach ISO oder ISAE oder Finma-Konformität, wie sie Brainloop für seine hochsicheren Cloud-Dienste liefert.

Informationssicherheit, Trends, Schweiz

Das könnte Sie auch interessieren:

Blickdicht: So schützen Sie Ihre Daten – auch vor dem Provider

Blickdicht: So schützen Sie Ihre Daten – auch vor dem Provider

Weiterlesen
Sicherheitskategorien steuern – auf allen Ebenen

Sicherheitskategorien steuern – auf allen Ebenen

Weiterlesen
„Oops, your files have been encrypted“: Mit Brainloop gegen Ransomware

„Oops, your files have been encrypted“: Mit Brainloop gegen Ransomware

Weiterlesen