Neben einer weiteren Zunahme an massiven Ransomware-Fällen verzeichnet weltweit jedes vierte Unternehmen in den letzten drei Jahren zusätzlich eine Datenschutzverletzung mit Kosten zwischen einer und 20 Millionen Franken – nur 14% meldeten gar keine Verletzungen. Dies zeigt die jährliche PwC-Umfrage «Global Digital Trust Insights Survey», bei der mehr als 3’500 Führungskräfte aus 65 Ländern befragt wurden.
Die Angriffe zeigen Wirkung. In der Schweiz haben mehr als zwei Drittel der befragten Unternehmen ihre Cybersicherheit im vergangenen Jahr erhöht. Die Teilnehmenden stellen in der Selbsteinschätzung vor allem eine Effizienzsteigerung bei den Cyber-Ressourcen sowie bessere Fähigkeiten zum Schutz vor Ransomware-Attacken fest. Von einer Verbesserung des Risikomanagements in Bezug auf die Lieferkette konnten hingegen nur gut die Hälfte (51%) der befragten Schweizer Unternehmen berichten. Ebenso orten sie Nachholbedarf, wenn es um die Eindämmung von Cyberrisiken im Zusammenhang mit dem Internet of Things (IoT) und der Erschliessung neuer Märkte geht: 79% der Befragten weltweit und nur 49% in der Schweiz erkennen diesbezüglich Fortschritte. Die Gefahrenlage wird von den befragten Führungskräften weiterhin hoch eingeschätzt. Sie rechnen auch im neuen Jahr mit einer weiteren signifikanten Zunahme an Cybervorfällen. Phishing-E-Mails gelten weltweit immer noch als die am häufigsten erwartete Angriffsart. In der Schweiz erwarten mehr als die Hälfte der Teilnehmenden einen weiteren Anstieg von Ransomware-Attacken. Daneben fürchten sich Schweizer Führungskräfte (36%) auch vermehrt und häufiger als im globalen Schnitt vor Angriffen auf ihre Cloud-Dienste.
Verpflichtende Offenlegung von Cybervorfällen: Sonderfall Schweiz
66 % der teilnehmenden Unternehmen in der Schweiz geben an, dass ein vergleichbares und einheitliches Format für die verpflichtende Offenlegung von Cybervorfällen erforderlich ist, um das Vertrauen der Interessengruppen zu gewinnen. Mehr als zwei Drittel sind der Meinung, dass eine verstärkte Berichterstattung gegenüber Investor:innen einen Nutzen für das Unternehmen und das gesamte Ökosystem darstellt. Fast 60% sind der Meinung, dass Regierungen die aus der Offenlegungspflicht von Cyberangriffen gewonnenen Erkenntnisse zur Entwicklung von Cyberabwehrtechniken für den privaten Sektor nutzen sollten. Alle Aussagen der befragten Schweizer Führungskräfte zu den Offenlegungspraktiken liegen teilweise deutlich unter dem globalen Schnitt, was zu einem gespaltenen Bild führt. «Anders als im Ausland gibt es in der Schweiz keine klare Tendenz, dass die Unternehmen eine Gesetzesänderung bezüglich der Meldepflicht von Sicherheitsvorfällen wünschen», folgert Urs Küderli, Partner und Leiter Cybersecurity und Privacy bei PwC Schweiz. Dies obwohl Schweizer Unternehmen im globalen als auch europäischen Vergleich, eine höhere Offenlegungspflicht nicht als Wettbewerbsnachteil betrachten und bereit sind, Informationen mit Strafverfolgungsbehörden zu teilen. «Aus unserer Umfrage geht deutlich hervor, dass ein höheres Mass an öffentlich-privater Zusammenarbeit erforderlich ist, um die immer komplexer werdenden Cyberbedrohungen zu bewältigen. Die Berichterstattung alleine ist aber nicht ausreichend – es bedingt ein Konzept, das den Informationsaustausch und die Erkenntnisse daraus regelt und somit zu einer echten Steigerung der Resilienz beiträgt», erklärt Urs Küderli.
Cyberangriff ist für Unternehmen bedeutsamer als globale Rezession oder Gesundheitskrise
Mehr als zwei Drittel der Befragten des globalen Panels gaben an, dass sie ihre Budgets für Cybersicherheit sowohl dieses Jahr erhöht haben, als auch im nächsten Jahr aufstocken werden. Von den befragten Schweizer Führungskräften erwarten mit 54% vergleichsweise weniger eine weitere Erhöhung des Investitionsbudgets im Jahr 2023. Die Zahlen verdeutlichen, dass Cybersicherheit bei vielen Unternehmen ganz oben auf der Agenda steht. Der Analyse zufolge ist ein katastrophaler Cyberangriff für die Resilienzplanung von Unternehmen sogar bedeutsamer als eine globale Rezession oder eine weitere Gesundheitskrise. Laut den global befragten Führungskräften gehen die Kosten von Cyberattacken weit über die unmittelbaren finanziellen Kosten hinaus. Zu den Schäden, die Unternehmen in den letzten drei Jahren durch eine Cyberverletzung oder einen Datenschutzvorfall erlitten haben, gehören der Verlust von Kund:innen (27%), der Verlust von Kundendaten (25%) und eine Schädigung des Rufs oder der Marke (23%).
