Cyber-Angriffe: Verwaltungsräte sehen Risiken, doch es hapert bei Krisenvorsorge

Die Bedrohung durch Cyber-Angriffe wächst. Betroffen sind insbesondere Grossunternehmen: 45 Prozent der Firmen mit über 250 Mitarbeitenden wurden bereits mindestens einmal Opfer einer Cyber-Attacke. Dies zeigt der jüngste swissVR Monitor.

Im Gegensatz zu Grossunternehmen scheinen KMU deutlich weniger betroffen: Nur 18 Prozent der Firmen mit unter 50 Mitarbeitenden geben einen schwerwiegenden Angriff an, wie es in der Medienmitteilung heisst. Der Zusammenhang zwischen der Unternehmensgrösse und der Häufigkeit der Angriffe liege auf der Hand: Grossunternehmen seien global stärker exponiert und böten Cyber-Kriminellen grössere Angriffsflächen. Eine weitere Erklärung für die vermeintlich geringere Betroffenheit bei kleineren Unternehmen sei das teilweise fehlende Reporting über solche Vorfälle gegenüber dem Verwaltungsrat.

Betriebsunterbruch ist die häufigste Folge

Cyber-Angriffe haben oftmals gravierende Folgen für das operative Geschäft. Die mit Abstand häufigste Konsequenz ist gemäss dem Prüfungs- und Beratungsunternehmen Deloitte Schweiz ein Betriebsunterbruch. Dies sei bei 42 Prozent der von einem Cyber-Angriff betroffenen Unternehmen der Fall (siehe Grafik 1). Besonders gefährdet seien die operativen Prozesse von Unternehmen im Bereich Informations- und Kommunikationstechnik. In dieser Branche käme es bei 69 Prozent der Betroffenen zu einem Betriebsunterbruch.

Auch Datenlecks und Fehlfunktionen von Produkten oder Dienstleistungen seien häufige Folgen. Teilweise würden Cyber-Angriffe sogar Konsequenzen ausserhalb des eigenen Unternehmens haben: So beklagen 11 Prozent der Befragten Folgeangriffe auf Kunden. Obwohl der Abfluss von Vermögenswerten nur selten vorkäme, seien auch die finanziellen Folgen nicht zu unterschätzen. Neben Umsatzeinbussen durch Betriebsunterbrüche würden hohe Folgekosten drohen, etwa für die Wiederherstellung von Daten.

Resilienz gewinnt stark an Bedeutung

Die weitreichenden Folgen würden es deutlich machen: Jedes KMU müsse sich mit Cyber-Risiken auseinandersetzen. «Das Thema ist heute fester Bestandteil einer guten Corporate Governance. Erfreulicherweise haben das bereits viele Unternehmen erkannt. Aber es besteht durchaus noch Potenzial. Unsere Umfrage zeigt, dass Cyber-Resilienz über alle Branchen hinweg stark an Bedeutung gewinnt. Dies muss sich auch im Risikomanagement und im Strategieprozess jedes Unternehmens widerspiegeln», sagt Mirjam Durrer, Dozentin der Hochschule Luzern am Institut für Finanzdienstleistungen Zug IFZ. 95 Prozent der befragten Verwaltungsratsmitglieder seien der Meinung, dass die Bedeutung der Cyber-Resilienz für ihr Unternehmen in den letzten drei Jahren gestiegen sei. Die Mehrheit beobachte sogar eine starke Zunahme, wobei die Bewertung wesentlich von der Unternehmensgrösse abhänge. Auch hier spiegle sich die Korrelation von Grösse und Bedrohungslage.

Noch nicht überall Chefsache

Laut Prüfungs- und Beratungsunternehmen ist positiv zu werten: Verwaltungsräte nehmen laut eigener Aussage ihre Aufgaben mit Blick auf die Cyberresilienz grösstenteils wahr. 85 Prozent der Befragten bejahen, dass ihr VR-Gremium Trends und aktuelle Entwicklungen im Bereich Cyber-Resilienz verfolgt (siehe Grafik 2). Auch verfügen acht von zehn Gremien über eine Risikopolitik, die Cyber-Gefahren adressiert. Trotzdem bestehe Handlungsbedarf, betont Klaus Julisch, Leiter Risk Advisory bei Deloitte Schweiz: «Das Bewusstsein für die Risiken nimmt zu, was positiv zu bewerten ist. Davon abgesehen ist das Thema noch nicht überall in den Verwaltungsratsgremien angekommen. Auch fehlt fast der Hälfte der Unternehmen eine klare Cyber-Strategie. Schweizer Unternehmen und ihre Verwaltungsräte müssen daher mit Blick auf die Cyber-Resilienz noch mehr Verantwortung übernehmen.»

Nur ein Drittel probt den Ernstfall

Auch bei der Vorbereitung auf den Ernstfall gibt es laut Deloitte Schweiz Luft nach oben. Lediglich jedes dritte Verwaltungsratsmitglied bestätige, das VR-Gremium probe das Krisenmanagement zumindest teilweise. Etwas besser sei das Bild in der Finanzindustrie: Rund jedes zweite Unternehmen dieser Branche führe regelmässige Krisentrainings durch. Zudem verzeichne die Finanzindustrie mit 58 Prozent den höchsten Anteil abgeschlossener Cyber-Versicherungen.

Verbesserungspotenzial gebe es auch bei der Berichterstattung an den Verwaltungsrat: Nur etwa ein Drittel der Befragten werde regelmässig durch die Geschäftsleitung über die Top-Cyberrisiken oder die eigene Cyberstrategie informiert. Gut die Hälfte der VR-Gremien erhalte immerhin ein Reporting zur allgemeinen Bedrohungslage, zu aktuellen Cyber-Angriffen im Unternehmen oder zum Handlungs- und Investitionsbedarf zur Stärkung der Cyber-Resilienz.

swissVR Monitor

Der swissVR Monitor ist eine von der Verwaltungsratsvereinigung swissVR in Kooperation mit dem Prüfungs- und Beratungsunternehmen Deloitte Schweiz und der Hochschule Luzern durchgeführte Umfrage.

Die halbjährliche Umfrage swissVR Monitor zielt darauf ab, die Einschätzungen von Verwaltungsratsmitgliedern zu Geschäftsaussichten, Strategien und strukturellen Themen – sowie in dieser Ausgabe zum Fokusthema «Cyber-Resilienz» – zu erfassen. Die 14. Umfrage wurde von swissVR in Zusammenarbeit mit Deloitte und der Hochschule Luzern im Zeitraum vom 22. Mai bis 8. Juli 2023 durchgeführt. Die 400 teilnehmenden Personen repräsentieren Verwaltungsräte von börsenkotierten Unternehmen wie auch von KMU und stammen aus allen relevanten Branchen.