Zum vierten Mal hat die KPMG ihre Cybersecurity-Studie publiziert. Erstmals hat auch die SATW mitgearbeitet. 60 C-Level-Fachleute von KMU und Grossunternehmen haben an der umfangreichen Befragung teilgenommen. Die Resultate wurden durch qualitative Einzelinterviews mit fünf ausgewählten Experten ergänzt.
Knapp die Hälfte aller Unternehmen (42%), die Opfer einer Cyberattacke waren, haben dadurch finanzielle Schäden und Störungen der Geschäftstätigkeiten erlitten. Bei 33% der Firmen gelangten vertrauliche Informationen an die Öffentlichkeit, und bei einem Viertel führten Angriffe zu Reputationsschäden. Erfolgreiche Cyberangriffe haben bei Banken und Versicherungen besonders häufig (75%) finanzielle Schäden zur Folge. Das sind einige Ergebnisse der KPMG-Studie «Clarity on Cyber Security», die heuer zum vierten Mal publiziert wurde.
Die KPMG gibt zu bedenken, dass viele Unternehmen Drittpartei-Risiken vernachlässigen. So verfügen lediglich 44% der Befragten über Kontrollinstrumente bei ihren Lieferanten und 38% verzichten auf vertraglich bindende Bedingungen bezüglich Cyberrisiken. Zudem deckt die grosse Mehrheit (82%) der Cyber-Response-Pläne Vorfälle wie Angriffe auf Lieferanten oder Geschäftspartner nicht ab. Aufgrund der steigenden Vernetzung (z.B. über Open API) ist es für Unternehmen aber zunehmend wichtig, Risiken bei ihren Stakeholdern richtig zu identifizieren. Trotzdem wird selbst bei M&A-Aktivitäten der Cybersicherheit noch kaum Aufmerksamkeit geschenkt: Nur gerade 23% der Befragten geben an, dass sie diesen Aspekt in ihrem Due Diligence-Konzept berücksichtigten. Weiteres Verbesserungspotential besteht in Punkto Versicherungsschutz: Weniger als ein Drittel der Befragten (28%) hat eine Cyberversicherung abgeschlossen. Häufigste Gründe für den Verzicht sind ein fehlendes Bedürfnis (68%), mangelnde Abdeckung (64%) sowie zu hohe Kosten (64%).
In Bezug auf neue Technologien rechnen 53% der Befragten damit, dass der Einsatz der Blockchain neue Risiken mit sich bringen wird, jedoch haben nur 8% bereits entsprechende Massnahmen ergriffen. Ein relativ neues Cybersecurity-Phänomen, das Crypto-Mining, wurde im Rahmen der Medienkonferenz anhand einer Live-Demonstration thematisiert. Dabei zeigte sich, wie einfach es für Hacker ist, in schlecht geschützte Computer einzudringen und deren Prozessor zu nutzen, um Kryptowährungen zu schürfen. Dabei merken die User oft gar nicht, dass ihre Rechner zweckentfremdet werden.
Verantwortlich für die Studie ist Matthias Bossardt, Leiter Cyber Security von KPMG Schweiz und seit März 2018 auch Mitglied des neu gegründeten SATW Advisory Board Cybersecurity. Er gibt zu bedenken, dass die meisten Schweizer Unternehmen die Relevanz von Cybersicherheit zwar anerkennen, ihre Massnahmen aber noch zu wenig konsequent und zielgerichtet umsetzen. «Dieser krasse Widerspruch dominiert die Cyberstrategien vieler Schweizer Organisationen.»
Die SATW hat sich aktiv an der diesjährigen Studie beteiligt. So hat sie Input zu den Fragen des Online-Fragebogens gegeben und die Umfrage in ihrem Netzwerk gestreut. Dabei wurden gezielt Cybersecurity- und IT-Verantwortliche von Unternehmen angeschrieben.
Die Studie (in Englisch) kann von der Website der KPMG heruntergeladen werden.