Schweizer Unternehmen integrieren Cyber-Risiken zu wenig stark ins Risikomanagement. Das zeigt eine gemeinsame Studie der Hochschule Luzern, der Mobiliar und von Economiesuisse. Die Leitungsgremien sind sich der Gefahren bewusst, dennoch werden Cyber-Risiken noch zu oft als reines IT-Problem behandelt.
Eine gemeinsame Studie der Hochschule Luzern, der Mobilar und Economiesuisse zeigt, dass Schweizer Unternehmen Cyber-Risiken zu wenig stark ins Risikomanagement integrieren.
(Bild: oz - stock.adobe.com)
Die Hochschule Luzern hat zusammen mit der Mobiliar und Economiesuisse eine Studie über die Integration von Cyber-Risiken in Schweizer Unternehmen durchgeführt und die Ergebnisse veröffentlicht. Aufsichtsorgane sind demnach zunehmend gefordert, ihre rechtlichen Kontroll- und Aufsichtspflichten auch im Umgang mit Cyber-Risiken wahrzunehmen. Nebst dieser rechtlichen Verpflichtung gibt es auch aus betriebswirtschaftlicher Sicht gute Gründe, in das Cyber Risk Management zu investieren. Schliesslich können Cyberangriffe einen erheblichen Schaden in Organisationen verursachen, die im schlimmsten Fall hohe Bussen, einen starken Reputationsverlust, den Entzug der Betriebsbewilligung oder den Konkurs bedeuten können.
Bei vielen Unternehmen scheint ein zentrales Fundament zum Managen von Cyber-Risiken grundsätzlich zu fehlen: Keine der befragten Organisationen hat explizit definiert, in welchem Ausmass Cyber-Risiken bewusst eingegangen werden sollen, um die Geschäftsziele zu erreichen. «Aus der Sicht des Risikomanagements ist das vergleichbar mit einem Schiff, das keinen Kapitän hat», sagt Stefan Hunziker, Studienautor und Leiter des Kompetenzzentrums Risk & Compliance Management an der Hochschule Luzern. Offenbar bereitet das Entwickeln von sogenannten Risikoappetit-Aussagen in der Praxis grosse Mühe.
Die HSLU-Studie zeigt: Im Umgang mit Cyber-Risiken herrscht eine Lücke zwischen der technischen IT-Infrastruktur-Ebene und der organisatorischen Ebene. «Cyber-Risiken werden noch zu stark als reines IT-Thema verstanden. Entsprechend werden sie dezentral und operativ gesteuert und zu wenig in das unternehmensweite Risk Management integriert», erläutert Hunziker. Hier ist eine Diskrepanz zwischen der Relevanz des Risikos (Awareness) und der «Risk Governance» feststellbar. «Dieser Umstand verhindert einen konsistenten Vergleich – und damit auch eine sinnvolle Priorisierung – von Cyber-Risiken und anderen Risikokategorien auf oberster Führungsebene», sagt der Experte. Als ersten Schritt in die richtige Richtung empfiehlt er, die Zusammenarbeit zwischen Chief Information Security Officer (CISO) und Risk Manager zu fördern. «Denn hier wird primär die Brücke zwischen der technischen Cybersicherheit und dem betriebswirtschaftlichen Risk Management geschlagen», so Hunziker.
Ergänzendes zum Thema
Im Fokus
Cyber Risk Management in grösseren Schweizer Unternehmen
Forscher der Hochschule Luzern haben mit der Unterstützung der Mobiliar und von Economiesuisse 33 Interviews mit Risk-Management-Verantwortlichen und Chief Information Security Officers (CISO) in 18 grösseren Schweizer Unternehmen aus unterschiedlichen Branchen geführt. Ziel der Untersuchung war es, ein tiefgreifendes Verständnis über den Umgang mit Cyber-Risiken allgemein und speziell im Kontext mit Cloud Computing zu erhalten.
Oft werden die einfachsten und gleichermassen wirkungsvollsten Massnahmen im Umgang mit Cyber-Risiken noch immer vernachlässigt. Stefan Hunziker: «Gegebenenfalls ist die Definition von Cyber-Risiken deshalb auch etwas irreführend, da viele Risikoursachen nicht im Cyber-Raum zu finden sind, sondern in menschlichem Fehlverhalten.» Hilfreich sei die Analogie zur Medizin: Dort wisse man schon lange, dass korrektes menschliches Verhalten die Übertragung von Krankheiten verhindert. Regelmässige Desinfektion, diszipliniertes Händewaschen und Abstand einhalten ist etabliertes Verhalten – spätestens seit Ausbruch der Corona-Pandemie. Die vorliegende Studie bestätigt, dass der «Faktor Mensch» beziehungsweise menschliche Verhaltensweisen im Bereich der Cybersicherheit im Vergleich mit technischen Massnahmen noch zu wenig adressiert werden. «Der Faktor ‹Mensch› macht im kontinuierlichen Verbesserungsprozess der Cybersicherheit zwar nur ein Element aus, jedoch ein sehr wichtiges», so Hunziker. Menschliches Verhalten im Umgang mit der Cybersicherheit sollte so trainiert werden, dass es so selbstverständlich und «normal» wird, wie in die Armbeuge zu niesen.
Cloud-Migration: nur mit Strategie
Viele Cyber-Risiken haben ihre Ursache in der Cloud-Nutzung. Umso wichtiger ist es, dass Organisationen den Gang in die Cloud gut planen und mit entsprechenden Massnahmen begleiten. «Das Erstellen einer klaren Strategie steht ganz am Anfang einer gut geplanten Migration in die Cloud», sagt Armand Portmann, Studienautor und Themenfeldverantwortlicher Information & Cyber Security | Privacy am Departement Informatik der Hochschule Luzern. Erfreulicherweise verfügt ein Grossteil der befragten Organisationen über ein solches Dokument, das die Rahmenbedingungen zur Einführung und Nutzung von Cloud Services beschreibt. Das lasse den Schluss zu, dass das Thema Cloud Computing inzwischen auch in den Führungsgremien Aufmerksamkeit geniesst. «Es ist ein Bewusstsein vorhanden, dass die Nutzung von Cloud-Diensten mit Risiken verbunden ist», so Armand Portmann.
Bei der Benennung der Risiken, die sich bei der Nutzung von Cloud Services ergeben, sind die befragten Organisationen nicht um Antworten verlegen. «Unter die top drei fallen der Verlust der Vertraulichkeit, respektive die Verletzung des Datenschutzes, die Abhängigkeit vom Cloud-Diensteanbieter und Fragen der Haftung», erklärt Fernand Dubler, Studienautor und wissenschaftlicher Mitarbeiter an der Hochschule Luzern. Das Thema sei komplex. Deshalb sei es nicht verwunderlich, dass die Massnahmen, die für die Linderung dieser Risiken notwendig sind, nicht einfach auf der Hand liegen. Dubler ergänzt: «Diese Massnahmen sind äusserst vielfältig und müssen individuell aus der konkreten Outsourcing-Situation entwickelt werden. Das stellt die betroffenen Organisationen oft vor sehr grosse Herausforderungen.» -ari- SMM
Stand vom 30.10.2020
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel Communications Group AG, Seestrasse 95, CH-8800 Thalwil, einschließlich aller mit ihr verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von redaktionellen Newslettern nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de/de/smm abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung, Abschnitt Redaktionelle Newsletter.
:quality(80)/p7i.vogel.de/wcms/84/2f/842f1052a907662706fecc2a629df53c/0129384270v2.jpeg "KOF-Geschäftslageindikator (Bild: KOF Institut)")
:quality(80)/p7i.vogel.de/wcms/11/8a/118a4c0398e0087092beebff86f1694a/0129380301v8.jpeg "(Bild: EY)")
:quality(80)/p7i.vogel.de/wcms/e2/c6/e2c684a4c9e4a3885f372d8b697bd791/0129378453v4.jpeg "(Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/61/f7/61f7698b3eae8f9f77aab02fab342192/0129205384v2.jpeg "Der «Robot Six» übernimmt die präzise Handhabung und sorgt für einen reibungslosen, automatisierten Produktionsablauf. (Bild: Erowa AG)")
:quality(80)/p7i.vogel.de/wcms/4f/c9/4fc9e2dd3328030a1a72e3a23921c57f/0129205072v2.jpeg "Kürzere Durchlaufzeiten: Halbzeuge gelangen aus den Lagern direkt zu zwei automatisierten Sägen zum Ablängen. (Bild: Kasto)")
:quality(80)/p7i.vogel.de/wcms/1e/3e/1e3e9f7d6a146c0219714bb36da612d9/0129204450v2.jpeg "Für ihre Lasermarkiersysteme der Marke «Foba» hat Alltec inzwischen mit Hilfe der KI-gestützten Software «Empolis Service Express» von Proalpha Wartung und Service deutlich effizienter verwirklicht. (Bild: Alltec)")
:quality(80)/p7i.vogel.de/wcms/52/65/52654bdac3af2d31cb9dde0816d3955f/0128985550v2.jpeg "Plattformen wie das Partfox-Netzwerk verbinden Einkäufer in Echtzeit mit passenden CNC-Fertigern. (Bild: Orderfox)")
:quality(80)/p7i.vogel.de/wcms/27/a8/27a8bd8e3ab69cefd59f93195fe1ad37/0128118300v2.jpeg "(Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/71/e2/71e274075219c69793231a7837d35d7d/0127824071v2.jpeg "Die Interviewpartner Christian Wick (li.) und Martin Grossrieder (re.), Gründer und Inhaber von MeinNetz GmbH. (Bild: MeinNetz GmbH)")
:quality(80)/p7i.vogel.de/wcms/0a/33/0a33f017dbcf00723a25cc6c62d69b0b/0127654291v2.jpeg "Zukunftsgerichtete Digitalisierung: KI unterstützt Bediener und Programmierer an Werkzeugmaschinen mit Bildern und situativ benötigten Informationen. (Bild: Datron)")
:quality(80)/p7i.vogel.de/wcms/28/5e/285ef199026aa70c6b71c95face07c8a/0129246551v3.jpeg "David Reger mit Humanoid 4NE1: Wer von beiden ist wirklich die Galionsfigur von Neura Robotics? (Bild: Neura Robotics)")
:quality(80)/p7i.vogel.de/wcms/38/d5/38d52e3997d08bbb9c72dbe86d145b36/0129205055v2.jpeg "Bei Animal Robots und Humanoiden müssen sich Antriebseinheiten bei niedrigen Drehmomenten rückdrehen lassen, damit die Roboter sicher für sich selbst und die Umgebung arbeiten. (Bild:Balance Drive)")
:quality(80)/p7i.vogel.de/wcms/a9/3c/a93c1411bffc13f37058e7a166f1b14a/0129207986v2.jpeg "Der neue Assistenzroboter steht künftig im Vordergrund der Forschungen in Garmisch. Im Hintergrund: Der Garmi der ersten Generation. (Bild: Max Merget)")
:quality(80)/p7i.vogel.de/wcms/b2/a1/b2a1a250be39bcb9aeaca9d3479d66fb/0129205608v2.jpeg "Anhand vorhandener Merkmale generiert, übersetzt und aktualisiert die Software von Simus fehlerfrei und einheitlich kurze und lange Texte zu Produkten, Werkstoffen und Handelsformularen kompatibel zu ERP-Systemen. (Bild: Simus)")
:quality(80)/p7i.vogel.de/wcms/79/48/7948926b0810dede5a1b3756cbbc3d4c/0129205378v2.jpeg "Hochregallager für eine wesentlich effizientere Logistik. (Bild: iStock/gorodenkoff)")
:quality(80)/p7i.vogel.de/wcms/f0/f3/f0f367ec9baeec5915e4f133a48842ae/0129205629v2.jpeg "Der Rundum-Service von Mewa macht die Handhabung von Ölauffangmatten denkbar einfach. (Bild: Mewa)")
:quality(80)/p7i.vogel.de/wcms/4d/e1/4de1d2b4badd20632ccf5974112748de/0128988780v2.jpeg "Christoph Plüss, Chief Technology Officer (CTO), United Machining Solutions (Bild: United Machining Solutions)")
:quality(80)/p7i.vogel.de/wcms/38/4c/384cc38d20c04fe2a1b7bb35fbec536b/0128975127v2.jpeg "(Bild: KI-generiert)")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/121700/121793/65.jpg "SYMA Marke positiv mit Claim_55mm_CMYK (2).jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/63/ad/63ad8e1d3f67e/testo-logo-claim-2017-l.png "testo-logo-claim-2017-l (https://www.testotis.ch/)"){kind=logo}
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/35100/35176/65.jpg "LOGO.jpg ()")
:quality(80)/images.vogel.de/vogelonline/bdb/1920600/1920646/original.jpg "Cyber-Sicherheit beginnt bei jedem einzelnen Nutzer. (gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/92/8f/928f277ffb9001b728f709fc1dc6541f/0122467370v2.jpeg "Unitechnik bietet wegweisende Ansätze für Predictive Maintenance in der Logistik. (Bild: Unitechnik Systems GmbH)")
:quality(80)/p7i.vogel.de/wcms/97/9f/979f13c12b46c8d4db762882f990f37a/0125725181v2.jpeg "Heute lieber unblutig! In der Schlacht von Sempach am 9. Juli 1386 haben die Schweizer Haufen den Österreichern gezeigt, dass es genug ist mit Knechtschaft und Abhängigkeit. Nun schicken sich die Schweizer an, sich aus gewissen anderen Abhängigkeiten zu winden, die von den USA kommen. (Bild: Ruetli-Amigos)")