Rund 45 Prozent der Firmen mit über 250 Mitarbeitenden sind bereits mindestens einmal Opfer einer Attacke geworden. Dies zeigt der Swiss-VR-Monitor, eine halbjährlich von der Verwaltungsratsvereinigung Swiss VR in Kooperation mit dem Prüfungs- und Beratungsunternehmen Deloitte Schweiz und der Hochschule Luzern durchgeführte Umfrage. Für die Studie wurden 400 Verwaltungsräte zur Cyberresilienz befragt.
Im Gegensatz zu Grossunternehmen scheinen KMU deutlich weniger betroffen: Nur 18 Prozent der Firmen mit unter 50 Angestellten gaben einen schwerwiegenden Angriff an.
Oft fehlt eine Cyberstrategie
Als Grund für den Zusammenhang zwischen der Unternehmensgrösse und der Häufigkeit der Angriffe erklärte Deloitte, dass Grossunternehmen global stärker exponiert seien und Cyberkriminellen grössere Angriffsflächen bieten würden. «Eine weitere Erklärung für die vermeintlich geringere Betroffenheit bei kleineren Unternehmen ist das teilweise fehlende Reporting über solche Vorfälle gegenüber dem Verwaltungsrat», hiess es.
Hier bestehe Handlungsbedarf: Bei fast der Hälfte der Unternehmen fehle eine klare Cyberstrategie, hiess es. Und 30 Prozent der Unternehmen hätten keine Geschäftsführung ernannt, die Cyberthemen angemessen manage. Immerhin verfügen acht von zehn Aufsichtsgremien über eine Risikopolitik, die Cybergefahren angehe.
Versicherer reagieren
Die in den vergangenen Jahren sprunghaft angestiegenen Cyber-Schäden haben Versicherer dazu veranlasst, Sofortmassnahmen zu ergreifen, um ihr Risiko zu begrenzen. Einige haben nicht nur die Preise erhöht, sondern auch die Policen so angepasst, dass die Kunden mehr Verluste einbehalten müssen.
Wie schon andere Versicherungschefs vor ihm fordert Mario Greco, CEO von Zurich Insurance, eine staatliche Beteiligung an der Deckung besonders grosser Cyberschäden. Andernfalls könnten Cyberangriffe unversicherbar werden, warnte er in einem Gespräch mit der britischen Zeitung Financial Times (online) - HZ Insurance berichtete.
Greco sagte, es gebe eine Grenze, bis zu der der private Sektor alle durch Cyberangriffe verursachten Verluste übernehmen könne. Er forderte die Regierungen daher auf, «privat-öffentliche Systeme zu schaffen, um systemische Cyber-Risiken zu handhaben, die nicht quantifiziert werden können, ähnlich denen, die in einigen Ländern für Erdbeben oder Terroranschläge existieren». (awp/sda/hzi/mig)
