Dies zeigt der am Montag veröffentlichte Swiss-VR-Monitor, eine halbjährlich von der Verwaltungsratsvereinigung swissVR in Kooperation mit dem Prüfungs- und Beratungsunternehmen Deloitte Schweiz und der Hochschule Luzern durchgeführte Umfrage. Für die Studie wurden 400 Verwaltungsräte zur Cyberresilienz befragt.
Im Gegensatz zu Grossunternehmen scheinen KMU deutlich weniger betroffen: Nur 18 Prozent der Firmen mit unter 50 Angestellten gaben einen schwerwiegenden Angriff an.
Als Grund für den Zusammenhang zwischen der Unternehmensgrösse und der Häufigkeit der Angriffe erklärte Deloitte, dass Grossunternehmen global stärker exponiert seien und Cyberkriminellen grössere Angriffsflächen bieten würden. «Eine weitere Erklärung für die vermeintlich geringere Betroffenheit bei kleineren Unternehmen ist das teilweise fehlende Reporting über solche Vorfälle gegenüber dem Verwaltungsrat», hiess es.
Hier bestehe Handlungsbedarf: Bei fast der Hälfte der Unternehmen fehle eine klare Cyberstrategie, hiess es. Und 30 Prozent der Unternehmen hätten keine Geschäftsführung ernannt, die Cyberthemen angemessen manage. Immerhin verfügen acht von zehn Aufsichtsgremien über eine Risikopolitik, die Cybergefahren angehe.
Cyberangriffe hätten oftmals gravierende Folgen für das operative Geschäft. Die mit Abstand häufigste Konsequenz sei ein Betriebsunterbruch. Dies ist bei 42 Prozent der von einem Cyberangriff betroffenen Unternehmen der Fall. Bei einem Viertel der angegriffenen Firmen kam es zu Datenlecks, bei 20 Prozent zu Fehlfunktionen von Produkten und fehlerhaften Dienstleistungen.
Neben Umsatzeinbussen durch Betriebsunterbrüche drohen hohe Folgekosten, etwa für die Wiederherstellung von Daten. Abflüsse von Vermögenswerten gab es nur bei 7 Prozent der attackierten Firmen. Aber die finanziellen Folgen seien nicht zu unterschätzen, schrieb Deloitte.