Cyberabwehr von Schweizer Unternehmen mangelhaft

Das Beratungshaus EY hat Unternehmen die Gretchen-Frage gestellt: Wie haltet ihr es mit der IT-Sicherheit? Die Antworten waren teils desaströs. So gaben 84 Prozent der Schweizer Umfrageteilnehmer an, dass ihre Massnahmen zur Cybersicherheit die Bedürfnisse des Unternehmens nicht vollständig abdecken, wie EY schreibt.

Es ist daher nicht verwunderlich, dass 65 Prozent der Schweizer Teilnehmer von kürzlich erfolgten Sicherheitsvorfällen in ihren Unternehmen berichten konnten.

Die Probleme sind vielfältig

Über die Hälfte der Schweizer Unternehmen hat dem Bericht zufolge kein formelles Cyber-Threat-Intelligence-Programm. Gerade mal in 51 Prozent der Unternehmen sei das Wissen darüber vorhanden, wie man Gefahren identifiziert. Mehr als jedes dritte Unternehmen (37 Prozent) nannte veraltete Sicherheitskontrollen oder eine veraltete IT-Architektur als grösste Schwachstelle.

Zu den grössten Herausforderungen zählen Risiken durch achtlose oder unzureichend informierte Mitarbeiter und Schwachstellen, die durch Mobile Computing entstehen. Die grössten Hürden bei der Informationssicherheit sind im Grunde die gleichen wie im Vorjahr, merken die Studienautoren an.

Ferner stellen die Geräte, die laufend zu ihrem digitalen Ökosystem hinzugefügt werden, die Unternehmen vor Herausforderungen. Die meisten der befragten Schweizer Entscheider seien besorgt wegen das fehlenden Verantwortungsbewusstseins der Benutzer und deren Einsatz mobiler Geräte wie Laptops, Tablets und Smartphones. Über ein Drittel der Umfrageteilnehmer fürchtet den Verlust eines mobilen Geräts, weil es dadurch zu Informations- und Identitätsdiebstahl kommen kann.

Nicht mal die Hälfte erkennt komplexe Angriffe

Den Ergebnissen der 19. jährlichen EY Global Information Security Survey zufolge meinen 40 Prozent der in der Schweiz befragten Unternehmen, dass sie komplexe Cyberangriffe aufdecken könnten. Immerhin ist den Unternehmensvertretern bewusst, dass die Cyberbedrohungen zunehmen.

Ein Lösungsansatz wären spezialisierte Cyberabwehrteams, die in einem sogenannten Security Operations Center (SOC) ausschliesslich Daten, Infrastruktur und Schwachstellen (die jedes Unternehmen hat) schützen.

Doch 42 Prozent der befragten Unternehmen haben kein SOC. Jene, die in moderne Ansätze wie SOC oder vorausschauende Informationssysteme (Cyber Threat Intelligence) investieren, geben sich der Studie zufolge zuversichtlich, gewappnet zu sein.

Begrenzte Investitionsfreude

Ein Problem ist auch die begrenzte Investitionsfreude. IT-Sicherheit kostet, solange nichts passiert ist. Dies zeigen auch die Studienergebnisse. 82 Prozent der Schweizer Unternehmen würden nach einem Vorfall, der dem Business nicht geschadet hat, keine weiteren Gelder in die Sicherheit investieren.

Ferner sagten 80 Prozent der Befragten, dass sie ihre Ausgaben für Cybersicherheit wahrscheinlich nicht anheben würden, wenn ein Mitbewerber angegriffen würde. 82 Prozent gaben an, dass sie ihre Ausgaben für Cybersicherheit wahrscheinlich nicht erhöhen würden, wenn einer ihrer Zulieferer angegriffen würde.

Was wird geschützt?

Den Schweizer Teilnehmern zufolge stehen auf der Sicherheitsagenda der Schutz vor Datenlecks und Datenverlusten (56 Prozent), Training des Sicherheitsbewusstseins (56 Prozent) sowie Identitäts- und Zugangsmanagement (55 Prozent).

Ein Drittel der Schweizer Umfrageteilnehmer (35 Prozent) zählt auch Disaster Recovery zu den Top-Prioritäten. Obwohl 43 Prozent der Schweizer Befragten dieses Jahr mehr Geld für den Schutz vor Datenlecks und Datenverlusten ausgeben wollen, plant nur jedes fünfte Unternehmen, mehr in die Geschäftskontinuität und das Disaster Recovery zu investieren.

Schaden lieber verschweigen

Im Schadensfall hüllen sich viele Firmen in Schweigen. Im Fall eines Angriffs, bei dem eindeutig auf Daten zugegriffen oder diese kompromittiert wurden, würde die Hälfte der Schweizer Befragten die betroffenen Kunden nicht binnen einer Woche benachrichtigen. Insgesamt haben laut der Studie 44 Prozent der Schweizer Befragten keine einheitliche Kommunikationsstrategie oder -pläne für den Fall eines Cyberangriffes.

Diese Unternehmen werden ein Problem bekommen. Denn die künftige europäische Datenschutzgrundverordnung sieht vor, dass Unternehmen Datendiebstähle innerhalb von 72 Stunden mit einem strukturierten Bericht melden müssen.

Schweizer Firmen zuversichtlich

"Schweizer Unternehmen sind relativ zuversichtlich, dass sie einen komplexen Cyberangriff vorhersagen und ihm widerstehen können", kommentiert Tom Schmidt, Cybersecurity Leader Schweiz bei EY, die Studienergebnisse. Aus diesem Grund zögerten vielleicht einige Unternehmen, trotz der wachsenden Bedrohung in ihre Fähigkeit zum raschen Wiederaufbau zu investieren.

Für den Sicherheitsexperten ist klar, dass trotz grosser Fortschritte bei der Vorbereitung auf einen Cyberangriff Unternehmen mit den Angreifern kaum Schritt halten können. Schmidt warnt daher: "Unternehmen müssen wachsam bleiben und ihre Widerstandsfähigkeit gegen Angriffe erhöhen. Sie müssen auch über blossen Schutz und Sicherheit hinausdenken." Es brauche unternehmensweite Ansätze, die auf diese unvermeidlichen Vorfälle umfassend vorbereiten, Schmidt spricht von "Cyber Resilience".

49 Schweizer Entscheider befragt

Der 19. jährliche Global Information Security Survey von EY präsentiert die Antworten von 1735 C-Suite- und IT-Führungskräften sowie Managern von Unternehmen aus aller Welt. EY befragte hierzu auch 49 Schweizer Entscheider. Die Umfrage wurde von Juni bis August 2016 durchgeführt.

Den umfassenden Bericht können Interessierte auf der Website von EY herunterladen.