Die zunehmende Digitalisierung und die Pandemie verändern unseren Arbeitsalltag stark: Mitarbeitende sitzen im Home Office, Dokumente lagern in Clouds statt in Büroschubladen und virtuelle Sitzungen haben die physischen Treffen abgelöst. Die neuen Technologien erhöhen die Komplexität, exponieren Firmen verstärkt und schwächen somit die Cyberabwehr. Cyberkriminelle nutzen dies schamlos aus. Der Verlust von Daten und Betriebsprozessen wird zu einem strategischen Unternehmensrisiko, das nicht unterschätzt werden darf. Laut einer Studie von PricewaterhouseCoopers (PwC), bei der weltweit über 3 600 Führungskräfte befragt wurden, erwarten zwei Drittel der Teilnehmenden eine weitere Steigerung der Cyberkriminalität. Sie befürchten vor allem massive Ransomware-Angriffe, Angriffe auf Cloud-Services und Missbrauch von Geschäftsmails, welche sowohl die Finanzen als auch den Ruf stark schädigen können. Zwar plant ein Grossteil der Unternehmen, ihr Sicherheitsbudget teils erheblich zu erhöhen, aber häufig fehlt ein konkreter und strategischer Investitionsfokus. Kaum Beachtung finden nach wie vor Sicherheitslücken, die durch die Zusammenarbeit mit Drittanbietern und Lieferanten entstehen. 60 Prozent der Befragten gaben zu, das Risiko von Datenschutzverletzungen durch Drittanbieter nur unzureichend zu verstehen; ein Fünftel versteht es sogar kaum oder gar nicht.
Schweizer Unternehmen haben in Sachen Cybersicherheit Fortschritte gemacht, zum Beispiel bei der Einbindung in allgemeine Unternehmensziele, der Kommunikation von Cyberthemen oder der Schulung von Mitarbeitenden im Umgang mit Phishing-Mails. In anderen Bereichen besteht jedoch viel Aufholbedarf. Neben neuster Technologie erfordert Cybersicherheit auch eine dafür bewusste Unternehmenskultur. Doch während die befragten CEOs glauben, dass sie einen erheblichen Beitrag zur Cybersicherheit in ihrem Unternehmen leisten, stimmen dieser Aussage nur drei von zehn Führungskräften zu. Ihnen zufolge priorisieren die CEOs Cybersicherheit nicht genügend, schaffen im Unternehmen auch zu wenig Bewusstsein für die Risiken und leben eine notwendige Kultur zu wenig vor. Diese massive Diskrepanz ist erstaunlich, da Cyberattacken mittlerweile auch in der Schweiz nicht mehr nur einzelne exponierte Firmen treffen, sondern alle – vom KMU bis zum Grosskonzern.
Was also können Führungskräfte tun, um ihr Unternehmen abzusichern? In erster Linie sollten sie Cybersicherheit nicht nur als Abwehrmechanismus, sondern auch als absolut zentral für den Unternehmenserfolg und das Kundenvertrauen verstehen. Die Schulung der Mitarbeitenden ist dabei ebenso wichtig wie ein regelmässiger Austausch mit den IT-Verantwortlichen des Betriebes. IT-Verantwortliche müssen mit der Geschäftsstrategie vertraut sein und das Unternehmen so erfolgreich im Cyberspace positionieren und schützen. Die blinden Flecken hinsichtlich der Drittanbieter können effektiv ausgemerzt werden, indem Unternehmen gezielt Schwachstellen identifizieren und eliminieren. Zudem ist es empfehlenswert, einheitliche Qualitätsstandards einzuführen, mittels derer nicht nur die eigenen Geräte und Netzwerke, sondern auch die der Software- Anbieter überprüft werden.
Ein gut gegen Attacken gewappnetes, resilientes Unternehmen ist kein Zustand, sondern ein kontinuierlicher Prozess. Die Cybergefahren sind latent auf praktisch allen Unternehmensebenen und in sämtlichen Geschäftsinteraktionen vorhanden. Deshalb dürfen sie nicht allein an die IT delegiert werden. Es braucht einen Paradigmenwechsel bis auf die oberste Führungsebene.
