Schweizer Unternehmen hadern mit IT-Risiko-Management

Mehr und mehr Unternehmen bekunden Mühe, die Bedrohungen ihrer IT-Sicherheit zu erkennen und etwas dagegen zu tun. Das erschwert wiederum das komplette Risikomanagement, wie Trend Micro unter Berufung auf eine globale Umfrage mitteilt. Der japanische IT-Sicherheitsdienstleister befragte im April 2022 insgesamt 6297 IT- und Business-Entscheider in 29 Ländern, darunter 212 in der Schweiz.

Den Ergebnissen zufolge zeigen sich 77 Prozent der Schweizer Unternehmen (weltweit 73 Prozent) besorgt über ihre wachsende Angriffsfläche. 35 Prozent (weltweit 37 Prozent) geben an, dass sie sich "ständig verändert und unübersichtlich ist", wobei immerhin 67 Prozent (weltweit nur 51 Prozent) in der Lage sind, ihr Ausmass vollständig zu erfassen. Mehr als die Hälfte (57 Prozent, weltweit 43 Prozent) der Befragten geht allerdings noch weiter und gibt zu, dass die digitale Angriffsfläche ihres Unternehmens "ausser Kontrolle geraten" ist.

Den Hauptgrund für die Schwierigkeiten Schweizer Unternehmen beim Verwalten und Verstehen von Cyberrisiken verortet Trend Micro in der fehlenden Visibilität. Fast drei Viertel (71 Prozent in der Schweiz, 62 Prozent weltweit) geben an, tote Winkel in der IT-Landschaft zu haben, welche das Sicherheitsniveau verschlechtern. Cloud-Umgebungen seien in diesem Zusammenhang am meisten gefährdet, heisst es in der Mitteilung zu den Ergebnissen. Im Durchschnitt schätzen die Befragten, dass sie nur 64 Prozent (weltweit 62 Prozent) ihrer Angriffsoberfläche im Blick haben.

Globale Präsenz und manuelles Mapping erschweren das Risikomanagement

Für weltweit tätige Unternehmen sei die Lage noch gravierender. Fast drei Viertel (74 Prozent in der Schweiz, 65 Prozent global) aller Befragten geben an, dass ein international in mehreren Ländern tätiges Unternehmen das Risikomanagement weiter erschwert.

Zudem laufe bei fast einem Drittel aller Schweizer Unternehmen (32 Prozent, weltweit 24 Prozent) das Mapping der IT-Infrastruktur noch immer manuell ab. 46 Prozent organisieren sich darüber hinaus – unabhängig von der globalen Struktur – auf regionaler Ebene, was zu Silobildung und weiterer Intransparenz führt.

Die meisten befragten Unternehmen geben ausserdem an, dass ihre Methodik zur Bewertung von Cyberrisiken nicht ausgereift genug sei. Die folgenden Zahlen aus der Schweiz sollen den Befund bestätigen:

• Nur etwa die Hälfte 53 Prozent (weltweit 45 Prozent) verfügt über eine vollständig definierte Methodik zur Risikobewertung ihrer digitalen Angriffsoberfläche

• 21 Prozent (weltweit 35 Prozent) überprüfen ihr Risikoniveau nur monatlich oder seltener

• Ein Viertel (23 Prozent weltweit) analysiert sein Risiko täglich

• Angesichts einer sich ständig wandelnden Angriffsoberfläche auf dem Laufenden zu bleiben, stellt die grösste Schwierigkeit für Schweizer Unternehmen dar

Eine im Mai publizierte Studie der HSLU hat das Cyber-Risikomanagement von Schweizer Unternehmen genauer untersucht. Einer der Hauptbefunde: Cyberrisiken gelten zu oft als reine IT-Probleme und sind nicht Teil der gesamtunternehmerischen Risikomanagement-Strategie. Lesen Sie hier mehr dazu.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.