Eine Mehrheit der Unternehmen in der Schweiz, konkret 51 Prozent von ihnen, erwartet im nächsten Jahr wesentlich mehr Ransomware-Angriffe. Das sind doch um einiges mehr als global. Nur 32 Prozent der weltweiten Firmen gehen von einer entsprechenden Zunahme aus. Dies ist eines der Ergebnisse der PwC-Umfrage «Global Digital Trust Insights Survey», bei der mehr als 3500 Führungskräfte aus 65 Ländern befragt wurden, darunter deren 70 aus der Schweiz.

Doch nicht nur bei Ransomware-Angriffen erwartet ein höherer Prozentsatz der befragten Schweizer Unternehmen 2023 eine Steigerung der Vorkommnisse gegenüber dem weltweiten Durchschnitt. Dies trifft bei zahlreichen erwarteten Cybervorfällen vor (vgl. Grafik).

Umso erstaunlicher ist es da, dass ein geringerer Teil der helvetischen Firmen bereit ist, die Budgets für Cybersecurity künftig zu erhöhen, als weltweit. So planen 54 Prozent der Schweizer Unternehmen im nächsten Jahr eine Erhöhung der entsprechenden Investitionen und damit doch um einiges weniger als global, wo 65 Prozent der Firmen dies vorhaben.

Vielleicht liegt ja der Grund darin, dass Schweizer Firmen schon viel für die Erhöhung der IT-Security tun. Denn in der Schweiz haben mehr als zwei Drittel der befragten Unternehmen ihre Cybersicherheit im vergangenen Jahr erhöht. Die Teilnehmenden stellen in der Selbsteinschätzung vor allem eine Effizienzsteigerung bei den Cyber-Ressourcen sowie bessere Fähigkeiten zum Schutz vor Ransomware-Attacken fest. Von einer Verbesserung des Risikomanagements in Bezug auf die Lieferkette konnten hingegen nur gut die Hälfte (51 Prozent) der befragten Schweizer Unternehmen berichten.

Ebenso orten sie Nachholbedarf, wenn es um die Eindämmung von Cyberrisiken im Zusammenhang mit dem Internet of Things (IoT) und der Erschliessung neuer Märkte geht: 79 Prozent der Befragten weltweit und nur 49 Prozent in der Schweiz erkennen diesbezüglich Fortschritte.

66 Prozent der teilnehmenden Unternehmen in der Schweiz geben an, dass ein vergleichbares und einheitliches Format für die verpflichtende Offenlegung von Cybervorfällen erforderlich ist, um das Vertrauen der Interessengruppen zu gewinnen. Mehr als zwei Drittel sind der Meinung, dass eine verstärkte Berichterstattung gegenüber Investorinnen und Investoren einen Nutzen für das Unternehmen und das gesamte Ökosystem darstellt. 

Fast 60 Prozent sind der Meinung, dass Regierungen die aus der Offenlegungspflicht von Cyberangriffen gewonnenen Erkenntnisse zur Entwicklung von Cyberabwehrtechniken für den privaten Sektor nutzen sollten. Alle Aussagen der befragten Schweizer Führungskräfte zu den Offenlegungspraktiken liegen teilweise deutlich unter dem globalen Schnitt (vgl. folgende Grafik), was zu einem gespaltenen Bild führt.

«Anders als im Ausland gibt es in der Schweiz keine klare Tendenz, dass die Unternehmen eine Gesetzesänderung bezüglich der Meldepflicht von Sicherheitsvorfällen wünschen», folgert Urs Küderli, Partner und Leiter Cybersecurity und Privacy bei PwC Schweiz. Dies, obwohl Schweizer Unternehmen im globalen als auch europäischen Vergleich, eine höhere Offenlegungspflicht nicht als Wettbewerbsnachteil betrachten und bereit sind, Informationen mit Strafverfolgungsbehörden zu teilen. «Aus unserer Umfrage geht deutlich hervor, dass ein höheres Mass an öffentlich-privater Zusammenarbeit erforderlich ist, um die immer komplexer werdenden Cyberbedrohungen zu bewältigen», so Küderli weiter. «Die Berichterstattung alleine ist aber nicht ausreichend – es bedingt ein Konzept, das den Informationsaustausch und die Erkenntnisse daraus regelt und somit zu einer echten Steigerung der Resilienz beiträgt», ist er überzeugt. 

Die Zahlen der PwC-Studie verdeutlichen darüber hinaus, dass Cybersicherheit bei vielen Unternehmen ganz oben auf der Agenda steht. Der Analyse zufolge ist ein katastrophaler Cyberangriff für die Resilienzplanung von Unternehmen sogar bedeutsamer als eine globale Rezession oder eine weitere Gesundheitskrise. Laut den global befragten Führungskräften gehen die Kosten von Cyberattacken weit über die unmittelbaren finanziellen Kosten hinaus. Zu den Schäden, die Unternehmen in den letzten drei Jahren durch eine Cyberverletzung oder einen Datenschutzvorfall erlitten haben, gehören der Verlust von Kundinnen und Kunden (27 Prozent), der Verlust von Kundendaten (25 Prozent) und eine Schädigung des Rufs oder der Marke (23 Prozent).