Eine neue Studie von Deloitte verweist auf die grosse Bedeutung von Cyber Security und wie schwierig die Umsetzung für Schweizer Unternehmen ist. Die Mehrzahl der international orientierten Unternehmen in der Schweiz bewertet die Risiken von Cyber-Attacken als hoch, während national ausgerichtete Firmen diese oft unterschätzen. Diese Sichtweise berge grosse Risiken, so Deloitte.
Die Studie verdeutlicht, dass Unternehmen ihre Abwehrstrategien und das eigene Reaktionsvermögen verbessern und eine strategischere Sichtweise einnehmen müssten. Cyber Security müsse transparent gemessen und professionell gemanagt werden. Dies sei nicht zuletzt eine Aufgabe des Top-Managements. Die erste Studie von Deloitte zum Thema Cyber Security in der Schweiz zeigt, dass vor allem binnenorientierte Unternehmen Cyber-Bedrohungen tendenziell unterschätzen. Lediglich ein Drittel der Befragten erachtet Cyber Security demnach als strategisch bedeutsam.
Die Gründe für die Unterschätzung von Cyber-Risiken sind der Untersuchung gemäss vielfältig. Sie könnten jedoch auf die Tatsache zurückgeführt werden, dass Cyber Security oft unsichtbar und nicht greifbar sei, heisst es. Mark Carter, leitender Partner für Security & Resilience bei Deloitte in der Schweiz, erklärt: "Würde unzureichende Sicherheit Lärm verursachen, wären mehr Unternehmen alarmiert. Aber leider ist dies nicht der Fall." In den letzten Jahren sei Deloitte nach schwerwiegenden Vorfällen verstärkt zur Wiederherstellung des normalen Betriebs herangezogen worden. "Unternehmen stellen immer wieder überrascht fest, dass sie frühe Warnsignale übersehen haben oder Vorfälle aufgrund von unvollständigen Aufzeichnungsdaten nicht rekonstruieren können", betont Carter.
Die Befragten beschreiben dieses Problem als "Teufelskreis der Blindheit": Die Unternehmen sind sich der Cyber-Attacken offenbar oft gar nicht bewusst, da die geeigneten Instrumente für eine ausreichende Überwachung fehlen. Dies führt dazu, dass sie nur ungenügend in die notwendigen Ressourcen investieren, die einen besseren Umgang mit diesen Bedrohungen ermöglichen. Dieser Teufelskreis werde in der Regel nur dann durchbrochen, wenn Entscheidungsträger Möglichkeiten zur Verbesserung ihrer Unternehmenssicherheit frühzeitig wahrnehmen hätten. Gemäss der Deloitte-Studie setze jedoch ein Umdenken ein: Die befragten Unternehmen zählten Investitionen in Cyber-Intelligenz und Aufklärung zu den höchsten Prioritäten für die kommenden Jahre.
Schwierigkeiten beim Aufbau ausgereifter Cyber-Abwehrstrategien
Mehr als 80 Prozent der Befragten geben zudem an, dass ihr Unternehmen noch nicht genug zum Schutz gegen Cyber-Attacken unternehme. Viele hätten Schwierigkeiten bei der Messung von Cyber Security und seien sich unschlüssig über Art und Umfang der benötigten Cyber-Abwehrstrategien. Entscheidungen über Sicherheitsinvestitionen beruhten darum bisher hauptsächlich auf taktischen Überlegungen. Eine letzte Hürde beim Aufbau ausgereifter Sicherheitssysteme sei die weit verbreitete Fehleinschätzung, dass Cyber-Sicherheit ein IT-Problem sei. Andere Aspekte von Cyber Security, beispielsweise Angriffe auf Marken, rechtliche und regulatorische Vorgaben oder auch Unternehmensbetrug, fänden deshalb immer noch zu wenig Beachtung.
"Unternehmen müssen jetzt erkennen, dass die Geschäftsleitung bei der Bewältigung aller Aspekte von Cyber Security eine entscheidende Rolle spielt", folgert Mark Carter. Die meisten Befragten stimmten hätten dieser Aussage zwar zugestimmt, aber weniger als die Hälfte der Unternehmen konnten sich bisher die notwendige Unterstützung durch das Top- Management sichern.
Obwohl die Herausforderungen beim Aufbau ausgereifter Sicherheitssysteme weiterhin gross sind, machen Schweizer Unternehmen jedoch erhebliche Fortschritte. Immer öfter werden Ausschüsse eingerichtet, um Cyber Security ganzheitlich und organisationsübergreifend zu steuern. Die Bestrebungen für eine frühzeitige Erkennung von Angriffen und die Messung von Cyber-Abwehrstrategien seien Anzeichen einer zunehmend reifen Disziplin. Dies seien viel versprechende Anzeichen in einer Zeit, in der Cyber-Attacken private und öffentliche Organisationen immer wieder erschütterten, so Deloitte.
Deloitte befragte laut Angaben 17 Chief Information Security Officers (CISOs) und Heads of Security Engineering/Operations aus einem breiten Branchenquerschnitt, um sich ein Bild davon zu machen, wie gut in der Schweiz ansässige Unternehmen auf Cyber-Attacken vorbereitet seien und wie sie darauf reagierten. Die Interviews wurden zwischen Oktober 2013 und Januar 2014 geführt. Die Studie basiert auf den Interview-Ergebnissen sowie der Erfahrung von Deloitte-Experten.
