Der Umgang mit Cyberbedrohungen gehört für die Schweizer Wirtschaft mittlerweile zum Alltag. Viele Unternehmen konzentrieren sich jedoch ausschliesslich auf die eigene Organisation und vernachlässigen Drittparteirisiken sträflich. Zurückhaltung zeigen die Schweizer Firmen auch bei der zukünftigen Integration der digitalen ID in Produkte und Dienstleistungen. Dies und mehr zeigt die aktuelle KPMG Studie «Clarity on Cyber Security».

Für die Schweizer Wirtschaft gehören Cyberattacken und deren Auswirkungen längst zur Realität: Wie eine Umfrage von KPMG Schweiz zeigt, erlitt beinahe die Hälfte (42%) der Unternehmen, die Opfer einer Cyberattacke wurden dadurch finanzielle Schäden und Störungen der Geschäftstätigkeiten. Bei 33% der Firmen gelangten vertrauliche Informationen an die Öffentlichkeit, und bei einem Viertel verursachten die Angriffe Reputationsschäden.

Besonders häufig von finanziellen Schäden betroffen sind Banken und Versicherungen. In diesen Branchen führten 75% der erfolgreichen Cyberangriffe zu finanziellen Verlusten.
Vernachlässigte Drittpartei-Risiken
In einer stark vernetzten Umgebung kennt Cyberkriminalität keine Grenzen. Deshalb ist es für Unternehmen entscheidend, die Risiken durch ihre Stakeholder richtig zu identifizieren. Trotzdem werden vielerorts Drittpartei-Risiken vernachlässigt. So gab knapp die Hälfte der Befragten (44%) an, dass sie über keine Kontrollinstrumente bei ihren Lieferanten verfügten. 38% der Unternehmen verzichten auf vertraglich bindende Bedingungen in Bezug auf Cyberrisiken. Ausserdem deckt die grosse Mehrheit (82%) der Cyber-Response-Pläne Vorfälle wie Angriffe auf Lieferanten oder Geschäftspartner nicht ab.

Auch bei M&A-Aktivitäten wird der Cybersicherheit noch nicht genügend Aufmerksamkeit geschenkt: Nur gerade 23% der Befragten geben an, dass sie diesen Aspekt in ihrem Due Diligence-Konzept berücksichtigten.
Mangelhafter Datenschutz und fehlende Cyberversicherungen
Vor wenigen Tagen traten die neuen EU-Datenschutzrichtlinien (GDPR) in Kraft. Diese gelten auch für Schweizer Firmen, welche Daten von EU-Bürgern verarbeiten. Obwohl GDPR von den Unternehmen verlangt, dass sie für den Fall von Verstössen gegen den Schutz von personenbezogene Daten über ein entsprechendes Szenario verfügen, fehlt dieser Punkt im Response-Plan von 64% der Befragten.

Weiteres Verbesserungspotential besteht bei Schweizer Firmen bei Versicherungen gegen Cyberrisiken: Weniger als ein Drittel (28%) der Befragten gab an, eine Cyberversicherung abgeschlossen zu haben. Häufigste Gründe für diesen Verzicht sind ein fehlendes Bedürfnis (68%), mangelnde Abdeckung (64%) sowie zu hohe Kosten (64%).
Blockchain und digitale ID am Horizont
Neue Technologien bergen auch immer neue Risiken. Bezüglich der Blockchain-Technologie rechnen 53% der Befragten damit, dass deren Einsatz neue Sicherheitsrisiken mit sich bringen wird. Allerdings hat nur eine kleine Minderheit (8%) bereits spezifische Massnahmen zur Bewältigung dieser Risiken ergriffen.

Ähnliche Zurückhaltung lässt sich auch bei der digitalen ID beobachten: 69% der Befragten sehen in der Etablierung eines digitalen Identitätsnachweises einen wichtigen Schritt in Richtung vertrauenswürdige Interaktion mit den Kunden. Aber nur gut ein Drittel der Unternehmen (35%) hat vor, digitale ID in ihre Produkte und Dienstleistungen zu integrieren.
Cybersicherheit als Wachstumstreiber
Die vierte KPMG Studie zum Umgang der Schweizer Wirtschaft mit den Bedrohungen durch Cyberkriminalität zeigt, dass die meisten Unternehmen zwar die Relevanz von Cybersicherheit anerkennen, aber nach wie vor zu wenig konsequent und zielgerichtet ihre Massnahmen umsetzen. «Dieser krasse Widerspruch dominiert die Cyberstrategien vieler Schweizer Organisationen», konstatiert Matthias Bossardt, Leiter Cyber Security von KPMG Schweiz. «Viele Firmen sehen Cybersicherheit ausschliesslich durch die Linse von Bedrohungen oder Risiken. Dabei können sie, wenn sie es richtig angehen, die Widerstandsfähigkeit ihres Unternehmens erhöhen und bei den relevanten Stakeholdern zusätzliches Vertrauen schaffen. Dies stärkt die Wettbewerbsposition und generiert zusätzliches Geschäft», so Matthias Bossardt weiter.

Quelle:
https://home.kpmg/ch/de/home/medien/medienmitteilungen/2018/05/gefaehrliche-alleingaenge-bei-der-bekaempfung-von-cyberkriminalitaet.html

Im Januar 2016 wurde ein Cyber-Angriff auf die RUAG aufgedeckt und der Bundesrat informiert. Dieser stufte die Informationen zu diesem Vorfall zunächst als geheim ein, weshalb sich die Geschäftsprüfungsdelegation (GPDel) der Eidgenössischen Räte damit befasste. Nachdem der Angriff auch öffentlich bekannt wurde,
schloss die GPDel ihre Arbeiten in dieser Sache weitestgehend ab und übergab das
Geschäft für die weiteren Abklärungen an die Geschäftsprüfungskommission des
Nationalrates (GPK-N). Diese legte den Fokus ihrer Abklärungen insbesondere auf
die Frage, ob die verantwortlichen Bundesstellen – insbesondere der Bundesrat und
das VBS – angemessen und mit der nötigen Dringlichkeit auf den Vorfall reagiert
hatten und ob sie dabei auch die Wahrung der Eignerinteressen des Bundes sicherstellten. Die Prüfung der Umsetzung der Massnahmen zur Bewältigung des CyberAngriffs stand dagegen nicht im Fokus, da diese Aufgabe bereits durch andere
Stellen, insbesondere durch die EFK, wahrgenommen wird.
Im Rahmen ihrer Abklärungen hörte die zuständige Subkommission der GPK-N den
Vorsteher und weitere zuständige Personen des VBS an, ebenso analysierte sie
zahlreiche Unterlagen zum Vorfall sowie zur Steuerung der RUAG wie beispielsweise die Protokolle der regelmässigen Sitzungen des Vorstehers VBS mit der
RUAG-Leitung. Da die erhaltenen Informationen nicht immer fristgerecht oder in
der erforderlichen Qualität eintrafen, war es der Kommission lange nicht möglich,
eine Bewertung vorzunehmen. Im November 2017 kam sie zum Schluss, dass sie nun
eine genügende Informationsbasis hat, um die wesentlichen Fragen zu beantworten
und eine Standortbestimmung vorzunehmen.
Die Kommission erhielt im Rahmen ihrer Abklärungen detaillierte Angaben über die
vom Angriff betroffenen Datenverzeichnisse und die damit verbundenen Risiken. Auf
der Basis dieser Informationen stuft sie den Vorfall als gravierend ein. Sie stellte
aber auch fest, dass der Bundesrat und das VBS rasch und angemessen auf den
Vorfall reagiert haben, indem sie die Risiken analysierten und entsprechende Massnahmen anordneten. Sie begrüsst insbesondere, dass das VBS diesbezüglich auch
die RUAG in die Pflicht nahm und eine enge Kooperation forderte.


Zum vollständigen Bericht:
https://www.parlament.ch/centers/documents/de/bericht-gpk-n-cyberangriff-ruag-2018-05-08-d.pdf