Unternehmen müssen Risiken ernster nehmen

Digitalisierung, Industrie 4.0, Internet der Dinge und weitere Technologien mischen derzeit das Wirtschaftsleben gehörig auf. Sei es der neue Reiz am Teilen in der Sharing-Economy oder die Neustrukturierung von globalen Wertschöpfungsketten, die neuen Errungenschaften der virtuellen und digitalisierten Welt haben das Selbstverständnis der Schweizer Volkswirtschaft und die Organisationsform von Unternehmen grundlegend verändert. Das Sammeln, Auswerten und Nutzen von grossen Datenmengen – gemeinhin als Big Data bekannt – wird zur neuen und differenzierenden Fähigkeit eines Unternehmens. Gleichzeitig stellen neue elektronische Schnittstellen aber auch neue Eintrittspunkte für kriminelle Handlungen dar, die nicht immer nur auf die virtuelle Welt beschränkt bleiben. Durch das Internet der Dinge etwa können Cyberattacken auch handfeste Schäden in der Offlinewelt anrichten, so beispielsweise bei Angriffen auf Autos, Herzschrittmacher und Maschinensteuerungen oder auf kritische Infrastrukturen wie Kraftwerke oder Spitäler.

Cyberangriffe sind mittlerweile für die meisten Schweizer Firmen zur realen Gefahr geworden. So wurden gemäss der neusten Studie des Beratungsunternehmens KPMG zum Thema Cyber-Security[1] 88 Prozent der befragten Unternehmen in den letzten zwölf Monaten Opfer von Attacken. Das bedeutet eine Zunahme von 34 Prozentpunkten gegenüber dem Vorjahr. Bei über der Hälfte der Firmen provozierte der Angriff einen Unterbruch der Geschäftstätigkeit, bei mehr als einem Drittel der Befragten hatte die Attacke einen finanziellen Schaden zur Folge (siehe Abbildung 1). Trotzdem verfügen nur wenige Unternehmen über Notfallpläne für Cyberangriffe. Entscheidend ist, dass die Unternehmen verstehen, dass Cybersicherheit ein strategisches Muss ist. Den Kopf in den Sand zu stecken, ist keine erfolgversprechende und angebrachte Strategie.

Abb. 1: Schadensart bei Cyberattacken (2016 und 2017; in %)

Social Engineering als Gefahrenquelle

Bei den Versuchen, an die vertraulichsten Daten von Unternehmen zu gelangen, wendeten die Cyberkriminellen am häufigsten Schadsoftware, Phishing-Mails oder «Social Engineering» an. Beim Social Engineering werden die Opfer unter anderem durch das Vorgaukeln falscher Identitäten oder durch vermeintliche Autoritäten manipuliert.

Viele Cyberkriminelle machen sich die Menschen und nicht nur die Technologien zunutze und umgehen so technische Abwehrhürden. Elektronische Datenwege und Anwendungen bieten zwar neue Wege, um ein Unternehmen anzugreifen, doch schlussendlich geht die kriminelle Energie auch in einer hochtechnologisierten Welt immer noch vom Menschen aus. Immer wieder lauern die Gefahren auch in den eigenen Reihen: Mitarbeitende, Geschäftspartner, Lieferanten und Dienstleister. Aus diesem Grund müssen Unternehmen in Zukunft nicht bloss die Technologie, sondern vermehrt auch weichere Faktoren wie etwa die Unternehmenskultur, die Anfälligkeit von Geschäftsabläufen und vor allem die Benutzerfreundlichkeit von Sicherheitsmassnahmen ins Zentrum ihrer Sicherheitsüberlegungen stellen. Allzu oft spielt die Benutzerfreundlichkeit im Bereich der Cybersicherheit nur eine untergeordnete Rolle. Dies zeigt sich auch in der bereits erwähnten Studie von KPMG: 65 Prozent der Befragten gaben an, dass in ihrem Unternehmen nicht systematisch an benutzerfreundlichen Sicherheitsmassnahmen gearbeitet wird, und nur gerade 11 Prozent ziehen entsprechende Spezialisten zurate.

Neue Risiken birgt auch das Internet der Dinge. In der Umfrage zeigte sich allerdings, dass sich viele Schweizer Unternehmen viel zu wenig mit den Sicherheitsaspekten des Internets der Dinge auseinandersetzen. Über die Hälfte der Studienteilnehmer gaben zu, dass sie keinen Überblick über alle Geräte des Internets der Dinge haben, die in ihrem Unternehmen genutzt werden. Rund ein Drittel versucht nicht einmal, diesen Überblick zu erlangen, und weitere 17 Prozent haben es zwar versucht, sind aber gescheitert (siehe Abbildung 2). Angesichts dieser Zahlen überrascht es nicht, dass die Hälfte der Befragten zugibt, dass die Strategie zur Cybersicherheit und die damit einhergehenden Richtlinien das Thema Internet der Dinge gar nicht erst einschliessen.

Abb. 2: Haben Sie einen Überblick über alle Geräte des Internets der Dinge in Ihrem Unternehmen?

Erfolgsfaktoren Innovation und Risikomanagement

Ohne unternehmerisches Risiko kann kein Gewinn erwirtschaftet werden. Ziel eines Unternehmens muss es sein, dieses Risiko auf allen Ebenen des operativen Geschäfts und der Unternehmensführung im Gleichschritt mit der technologischen Entwicklung zu kontrollieren und gleichzeitig den Raum offen zu lassen für Innovation, Visionen und disruptive Technologien. In einer von Daten und Technologien getriebenen Wirtschaft gehört der Umgang mit Cyberrisiken zuoberst auf die Agenda der Unternehmensführung. Vielleicht gehört es zum Wesen dieses rasanten Wandels, dass alle involvierten Parteien erst lernen müssen, die neuen Risiken abzufedern. Doch was heisst das für die Unternehmensführung? Die Fähigkeiten, sehr schnell entwickelnde Technologien einzusetzen und Daten nutzbar zu machen, werden für Unternehmen zunehmend zum kritischen Erfolgsfaktor.

Entscheidend für einen nachhaltigen Erfolg des Unternehmens wird es sein, welche Strategien es gegen die spezifischen Cyberrisiken entwickelt. In einer immer vernetzteren und komplexeren Welt macht es keinen Sinn, wenn Unternehmen im Bereich der Bekämpfung von Cyberkriminalität den Alleingang versuchen. Sinnvolle Kooperationen gilt es wo immer möglich auszubauen, um gegenseitig von Erfahrungen und Know-how profitieren zu können. Synergien können etwa beim Teilen von relevanten Informationen zur Bedrohungslage, dem Austausch von Erfahrungen oder bei der gemeinsamen Prävention genutzt werden. Was fehlt, ist eine Plattform für die Schweizer Wirtschaft, mit der dies systematisch und effizient erfolgen könnte.

Hierzu ist die Schweiz ein optimaler Standort, der eine starke Innovationskraft und ein solides Investitionsumfeld kombiniert. Umso mehr darf keine Zeit verloren werden, Cyberrisiken in Einzelunternehmen und für den Wirtschaftsstandort Schweiz aktiv und mit Nachdruck anzugehen. Bisher spielt die Schweiz international im Bereich Cybersicherheit keine Vorreiterrolle. Falls Bund und Unternehmen hier eine entschiedenere Gangart einschlagen und es damit gelingt, Erfolgsattribute des Wirtschaftsstandorts Schweiz wie Rechtssicherheit, Privatsphäre und eine funktionierende, robuste Infrastruktur in die digitalisierte Wirtschaft überzuführen, stehen die Chancen gut, dass die Schweiz als Gewinnerin aus der digitalen Transformation hervorgeht.

1. Siehe KPMG (2017). Clarity on Cyber Security. Ahead of the Next Curve. Vollständige Studie online auf Kpmg.com. []