{{item.title}}
{{item.text}}
{{item.title}}
{{item.text}}
Ereignisse, die niemand vorhersehen konnte, haben dazu geführt, dass Führungskräfte sich und ihre Unternehmen in den letzten Jahren aus der Komfortzone hinausbewegen mussten: weg vom Büro, hinein in die Cloud, und dies mit fast vollständig digitalen Lieferketten. Und jeder neue Schritt brachte neue Cyberrisiken mit sich.
Die Ergebnisse unserer Studie «Global Digital Trust Insights 2023» – mit Einschätzungen von mehr als 3’500 Unternehmens-, Sicherheits- und IT-Führungskräften aus über 60 Ländern – zeigen, dass sich die Cybersicherheit zu einem dynamischen Bereich entwickelt hat. Um mit den Innovationen der Unternehmen Schritt zu halten, sind dabei Flexibilität und rasches Anpassungsvermögen gefragt.
CISOs haben nun die Initiative ergriffen und erhalten grünes Licht für eine echte Führungsfunktion. Sie treten aus ihrer Rolle als unabhängige Cyberspezialisten heraus und werden zu vollwertigen Partnern, die nicht nur mit einigen wenigen Führungskräften, sondern mit der gesamten Führungsetage und dem Verwaltungsrat zusammenarbeiten. Diese Kooperation war noch nie so wichtig wie heute.
Die gute Nachricht zuerst: CISOs und Cyberteams haben sich der Herausforderung gestellt, und andere Führungskräfte haben sich ihnen angeschlossen. Mehr als 70% der Befragten haben im vergangenen Jahr Verbesserungen bei der Cybersicherheit festgestellt.
Aber mit immer stärker vernetzten Systemen und exponentiell mehr Daten – sowie immer besser organisierten Angreifern – nehmen die Cyberrisiken zu und es gibt im aktuell schwierigen wirtschaftlichen und geschäftlichen Umfeld noch viel zu tun.
Tatsächlich geben weniger als 40% der Befragten an, die Risiken ihrer seit 2020 umgesetzten IT-Initiativen vollständig zu kontrollieren. Fernarbeit respektive das Arbeiten im Home-Office und die Migration in die Cloud haben auf globaler Ebene die meiste Aufmerksamkeit auf sich gezogen, wobei grössere Unternehmen (mit einem Umsatz von mehr als 1 Milliarde Dollar) und solche mit Sitz in Nordamerika weitaus häufiger als andere angaben, die einhergehenden Risiken abgedeckt zu haben.
Die Schweiz hinkt hinterher, vor allem wenn es um den Wechsel in die Cloud und die Risiken aufgrund der zunehmenden Nutzung des Internets der Dinge (IoT) geht. Während 84% der Befragten weltweit angeben, dass sie die Cloud-Migration beschleunigt haben, liegt dieser Wert in der Schweiz nur bei 71%. Noch grösser ist der Unterschied, wenn es um die Eindämmung von Cyberrisiken im Zusammenhang mit dem IoT und der Erschliessung neuer Märkte geht: 79% der Befragten weltweit und nur 49% in der Schweiz erkennen diesbezüglich deutliche Fortschritte.
Die globale Einschätzung der Unternehmen, dass sie ihre Risiken zu grossen Teilen vollständig oder mässig reduziert haben, überrascht. Schweizer Unternehmen stufen ihre Cyberabwehr durchwegs niedriger ein, was meiner Ansicht nach eher der Realität entspricht. Während viele Unternehmen ihre Cyber-Budgets erhöhen und weiter in die Resilienz investieren, bleibt die Tatsache bestehen, dass viele Risiken noch gar nicht angegangen werden. Dafür sprechen die stetig zunehmenden Vorfälle mit weitreichendem Ausmass.
Meldungen zu erfolgreichen Cyber-Angriffen prägen die Medienlandschaft. Kein Wunder, dass sich die Führungskräfte in der Schweiz Sorgen darüber machen, dass ihr Unternehmen wachsenden Bedrohungen ausgesetzt und auf diese nicht vollumfänglich vorbereitet ist. 73% der Schweizer Studienteilnehmer erachten Cyberkriminelle für 2023 als die grösste Gefahr für ihr Unternehmen; weltweit teilen «nur» 65% der Befragten diese Einschätzung. Interessanterweise werden Konkurrenten in der Schweiz weniger als Bedrohung angesehen als auf globaler Ebene.
Die Global Digital Trust Insights 2023 geben auch Einblicke in die Einfallstore der Angreifer: Während mobile Geräte (41%), E-Mail (40%), Cloud-basierte Dienste (38%), Webanwendungen (37%) und Insider oder Social Engineering (37%) die internationale Rangliste anführen, sehen die Schweizer Befragten die Angriffssituation anders. Sie halten E-Mail (66%), Menschen (47%) und Webanwendungen (44%) für die wahrscheinlichsten Einstiegspunkte für Cyberkriminelle. Der grosse Unterschied in der Einschätzung des Gefahrenpotenzials von E-Mails dürfte unter anderem auf die geringere Cloud-Nutzung zurückzuführen sein – Schweizer Unternehmen versenden Dokumente nach wie vor häufig per E-Mail.
Die Beurteilung der Bedrohungen ist auch abhängig von der Grösse der Unternehmen. Grössere Organisationen geben im Vergleich mit kleineren Unternehmen deutlich häufiger an, sich vor Angriffen über die Software-Lieferkette (35%), über Cloud-basierte Dienste (43%) und über die Operational Technology (29%) zu fürchten.
Die Tatsache, dass Unternehmen Cyberkriminelle als grösste Bedrohung für ihre Organisation nennen, deckt sich mit unseren Beobachtungen. Allerdings ist es für uns etwas überraschend, dass E-Mails als Einfallstor für Cyberangriffe mit 40% weltweit so niedrig eingestuft werden. Zwar spielen auch andere Faktoren eine wichtige Rolle, doch nach unseren Analysen erfolgreicher Angriffe ist die E-Mail immer noch der Angriffsvektor Nummer 1. Wenig überraschend ist der stärkere Fokus auf Risiken in der Lieferkette und der Software von Drittanbietern. Für beide haben wir im Jahr 2022 eine signifikante Zunahme festgestellt. Das Verständnis und die Integration für OT-Sicherheitsmanagement steckt noch in den Kinderschuhen, und viele Risiken werden nicht richtig verstanden und angegangen. Die IT/OT-Konvergenz ist vielerorts erst im Entstehen begriffen. Darüber hinaus ist auch in der Schweiz ein besonderer Fokus auf OT bei kritischen Infrastrukturen notwendig.
Die Angriffsszenarien im digitalen Raum werden immer komplexer, und Unternehmen müssen sich darauf einstellen, dass Cyberkriminelle immer strukturierter vorgehen. Sie nutzen zunehmend Standardtools und können eine Vielfalt von Angriffen durchführen und orchestrieren. Ransomware-Angriffe waren auch im vergangenen Jahr die grösste Bedrohung für die Cybersicherheit von Unternehmen – in allen Regionen und Branchen. Was bringt die Zukunft?
Ein Drittel der Führungskräfte weltweit erwartet, dass die Zahl der Kompromittierungen von Geschäfts-E-Mails und Kontoübernahmen, Ransomware und Angriffe auf Cloud-Management-Schnittstellen im nächsten Jahr steigen wird. Die Schweizer Befragten sind besonders besorgt über Ransomware-Angriffe, und mehr als die Hälfte von ihnen erwartet eine Zunahme von Cybervorfällen in diesem Bereich.
Ein weiteres zentrales Sicherheitsproblem sind Bedrohungen über Drittparteien und die Lieferketten: Cyberkriminelle, die es auf grosse Unternehmen abgesehen haben oder kritische Infrastrukturen ausschalten wollen, versuchen dies immer häufiger mit Angriffen auf die Zulieferer.
Die Ergebnisse korrelieren mit den Aussagen zu den Angriffsvektoren. In einem «herkömmlichen» Ransomware-Angriff spielen jedoch auch verschiedene Angriffsformen teilweisen parallel mit. Der Unterschied in der Einstufung von Ransomware ist aber interessant. In den ersten neun Monaten des Jahres 2022 war sowohl auf globaler als auch auf Schweizer Ebene ein Anstieg zu verzeichnen. Ebenso interessant sind die Unterschiede in Bezug auf die Angst vor Cloud-Angriffen. Diese Beurteilung könnte ein Grund für die schleppende Cloud-Akzeptanz in der Schweiz sein und Verzögerungen in Cloud-Migrationsprojekten erklären.
46% der CEOs wollen dem CISO im nächsten Jahr die Befugnis geben, in Sicherheitsfragen mit der C-Suite zusammenzuarbeiten. Eine gute Berichterstattung und Transparenz sind der Schlüssel zu einer erfolgreichen Zusammenarbeit, die für die Cybersicherheit entscheidend ist. Der CEO und der Verwaltungsrat spielen eine zentrale Rolle bei der Einführung und Verbesserung von Sicherheitsprogrammen. Wenn es um die Einbindung von Stakeholdern geht, steht die Einbindung des Verwaltungsrats global an erster und des CEOs an zweiter Stelle. In der Schweiz steht hingegen der CEO an erster Stelle.
Und wie steht es mit der Fähigkeit von Unternehmen, Cyberpraktiken, -strategien und -vorfälle nach aussen zu kommunizieren? Etwas mehr als vier Fünftel der Befragten weltweit und in der Schweiz geben an, dass ihr Unternehmen in der Lage ist, die erforderlichen Informationen über einen bedeutenden Vorfall innerhalb der vorgeschriebenen Meldefrist bereitzustellen. Schweizer Führungskräfte sind hinsichtlich Reporting im Durchschnitt weniger zuversichtlich als ihre internationalen Kollegen, vor allem bei der Offenlegung des Cyber-Risikomanagements von Drittparteien.
Offenlegung kommt allen zugute, und Unternehmen können aus den Angriffen auf andere Organisationen lernen. Vier Fünftel der Unternehmen weltweit sind der Meinung, dass eine obligatorische Offenlegung von Cybervorfällen in vergleichbaren und einheitlichen Formaten notwendig ist, um das Vertrauen der Stakeholder zu gewinnen – in der Schweiz sind es nur zwei Drittel.
Schweizer Unternehmen wünschen sich mehr Klarheit über die Offenlegungspraxis. Sie sehen eine höhere Offenlegungspflicht – im Vergleich zu globalen und europäischen Konkurrenten – nicht als Wettbewerbsnachteil und sind bereit, Informationen mit Strafverfolgungsbehörden zu teilen.
Anders als im Ausland gibt es in der Schweiz keine klare Tendenz, dass die Unternehmen eine Gesetzesänderung bezüglich der Meldepflicht für Sicherheitsvorfälle wünschen. Auch eine Umfrage, die wir im Auftrag des Bundes durchgeführt haben, zeigt ein gespaltenes Bild. Warum? Was sich im Ausland bewährt hat, ist nicht unbedingt direkt auf die Schweiz übertragbar. Im Gegensatz zu anderen Ländern, wo sich Wirtschafts- und Regierungsvertreter aufgrund des Legalitätsprinzips nur selten an einen Tisch setzen und freiwillig austauschen, hat sich in der Schweiz die öffentlich-private Partnerschaft seit Jahren bewährt. Die Berichterstattung alleine reicht aber nicht aus – es bedingt ein Konzept, das den Informationsaustausch regelt, um die Resilienz und das Bewusstsein effektiv zu erhöhen.
Nutzen Sie unser Benchmarking-Tool für Cybersicherheit und Datenschutz, um in Echtzeit Einblicke in die Sicherheitslage Ihres Unternehmens zu erhalten (nur auf Englisch).
Im Rahmen der Publikation unserer Studie «Global Digital Trust Insights 2023» haben wir uns mit Joe Doetzl, CISO von Hitachi Energy, unterhalten. Im Austausch mit Urs Küderli, Partner and Leader Cybersecurity und Privacy bei PwC Schweiz, erklärt er, welche Vorteile der Aufbau einer komplett neuen IT-Infrastruktur hat – und warum es oft einfach ist, sich gegen Cyberangriffe zu schützen, dies aber viel Disziplin erfordert (Interview auf Englisch).
«Trotz aller Fortschritte, die Unternehmen in der Verbesserung ihrer Cybersicherheitsprogramme erzielt haben, gibt es immer noch viel zu tun. Die Erhöhung der Widerstandsfähigkeit gegen Cyberangriffe hat auch viel mit Schulung und Verbesserung zu tun. Allerdings reichen Investitionen allein nicht aus, es ist eine kontinuierliche Mentalität von ‘implementieren, schulen, weiterentwickeln und anpassen’ erforderlich. Ständig tauchen neue Themen auf, die Lieferkette und IoT/OT sind die nächsten Herausforderungen, die es anzugehen und zu lösen gilt.»
Wollen Sie mehr zu den Cyberrisiken im Jahr 2023 erfahren und wissen, wie Führungskräfte zusammenarbeiten können, um eine cyberfähige Zukunft zu schaffen? Laden Sie hier die «PwC Global Digital Trust Insights 2023» herunter (nur auf Englisch).
https://pages.pwc.ch/core-asset-page?asset_id=7014L000000YK2GQAW&embed=true&lang=de
Die Global Digital Trust Insights 2023 sind eine Umfrage unter 3522 Führungskräften aus den Bereichen Wirtschaft, Technologie und Sicherheit (CEOs, Unternehmensleiter, CFOs, CISOs, CIOs und C-Suite-Verantwortliche), die im Juli und August 2022 durchgeführt wurde. Weibliche Führungskräfte machen 31% der Stichprobe aus.
52 Prozent der Befragten sind Führungskräfte in grossen Unternehmen (Umsatz von 1 Milliarde Dollar und mehr); 16% sind in Unternehmen mit einem Umsatz von 10 Milliarden Dollar oder mehr tätig.
Die Befragten sind in einer Reihe von Branchen tätig: industrielle Fertigung (24%), Technologie, Medien, Telekommunikation (21%), Finanzdienstleistungen (20%), Einzelhandel und Verbrauchermärkte (18%), Energie, Versorgungsunternehmen und Ressourcen (9%), Gesundheit (5%) sowie Regierung und öffentliche Dienste (3%).
Die Befragten sind in verschiedenen Regionen ansässig: Westeuropa (31%), Nordamerika (28%), Asien-Pazifik (18%), Lateinamerika (12%), Osteuropa (5%), Afrika (4%) und Naher Osten (3%).
Der Global Digital Trust Insights Survey ist formell als Global State of Information Security Survey (GSISS) bekannt.
PwC Research, das globale Kompetenzzentrum von PwC für Marktforschung und Einblicke, führte diese Umfrage durch.
Partner and Leader Cybersecurity and Privacy, PwC Switzerland
Tel.: +41 58 792 42 21
Partner, Leader Digital Assurance and Cybersecurity & Privacy, PwC Switzerland
Tel.: +41 58 792 84 59