GLOBAL DIGITAL TRUST INSIGHTS 2023 - DIE SCHWEIZER ERGEBNISSE EINER WELTWEITEN PWC-BEFRAGUNG ZUM THEMA CYBERSICHERHEIT - BEI PWC SCHWEIZ
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Global Digital Trust Insights 2023 Die Schweizer Ergebnisse einer weltweiten PwC-Befragung zum Thema Cybersicherheit
Agenda 1. Einführung 03 2. Ausblick: Bedrohungslage 2023 06 3. Berichterstattung und Offenlegung 10 4. Cyber in der C-Suite 14 5. Notwendigkeit der Kooperation auf C-Level-Ebene 29 6. Zur Studie 36 2023 Global Digital Trust Insights September 2022 PwC 2
Kühne neue Welt Mehr als 70% der Befragten haben im vergangenen Jahr Verbesserungen bei der Cybersicherheit festgestellt – zurückzuführen auf Investitionen und verstärkter Zusammenarbeit auf Führungsebene. PwC 3
Führungskräfte stellen Verbesserungen der Cybersicherheit an
verschiedenen Fronten fest
Führungskräfte stellen Verbesserungen der Cybersicherheit an verschiedenen Fronten fest
%-Anteil der Befragten, die davon berichten, dass ihr Cybersicherheitsteam in den letzten 12 Monaten folgende Tätigkeiten ausgeführt hat
Schweiz
70%
Global
66%
Es hat die Sicherheit in Bezug auf Operational Technology (OT) verbessert
79%
73%
Es hat unsere Fähigkeiten zum Schutz vor Ransomware verbessert
77%
Es hat die Kollaboration von Operational 64%
«SicherheitTechnology (OT)- / IT-Ingenieuren
und Datenschutz» berücksichtigt
verbessert 75%
66%
Wert- und Effizienzsteigerung der Cyber-Ressourcen
75%
Es hat die Kollaboration von Operational Technology (OT)- / IT-Ingenieuren 64%
Kollaboration von Operational Technology (OT)- / IT
verbessert 73%
der 3’522 befragten Unternehmens-, Es hat auf einen Angriff wirksam reagiert und so wesentliche Unterbrechungen
Es hat auf einen Angriff wirksam reagiert
63%
unserer Arbeitsabläufe und/oder diesbezügliche Schäden verhindert 72%
Sicherheits- und IT-Führungskräften Anticipated a Es
newhat in Bezug
cyber auf Digitalisierungsmassnahmen
risk related ein neues
to digital initiatives that allowed us to 54%
haben im vergangenen Jahr manage it before it affected
Cybersicherheitsrisiko our partners
vorhergesehen or customers
und dieses Risiko gesteuert 71%
Verbesserungen bei der Cybersicherheit Es hat das Risikomanagement in Bezug auf die Lieferkette verbessert
51%
70%
in ihren Unternehmen festgestellt, 26% Es hat funktionsübergreifende Massnahmen ergriffen, um neuen 64%
Es hat funktionsübergreifende Massnahmen ergriffen
gaben Verbesserungen in allen 10 Datenschutzvorschriften gerecht zu werden 70%
Es hat Eine
eine wesentliche
wesentliche Cyber-Bedrohung
Cyber-Bedrohung für
für unser
unser Unternehmen
Unternehmen aufgedeckt
aufgedeckt 54%
Kategorien an und dafür gesorgt, dass diese unsere Arbeitsabläufe nicht beeinträchtigt 70%
Frage: Bitte geben Sie an, ob das Cybersicherheitsteam Ihres Unternehmens in den letzten zwölf Monaten folgende Tätigkeiten ausgeführt hat.
Grundlage: 3’522 Antworten | 70 Antworten aus der Schweiz
2023 Global Digital Trust Insights September 2022
PwC 4
Weniger als 40% geben an, neu aufkommende Cyberrisiken
vollständig reduziert zu haben
Weniger als 40% geben an, neu aufkommende Cyberrisiken vollständig reduziert zu haben
%-Anteil der Befragten, die angeben, dass sie die folgenden Risiken vollständig oder mässig reduziert haben
Schweiz
40% der Unternehmen aus der Global
Technologie-, Kommunikations- und Ermöglichung von Remote- und hybriden Arbeitsplatzmodellen
87%
86%
Medienbranche haben die Risiken in 71%
Beschleunigte Cloud-Einführung
Bezug zu einer beschleunigten Cloud- 84%
69%
Einführung vollständig reduziert Erhöhte Datenvolumina
85%
73%
Grosse Unternehmen (Umsatz höher Konvergenz von IT und Operational Tehnology (OT)
83%
als 1 Mia. US-Dollar) geben signifikant Einführung neuer Produkte und/oder Dienstleistungen
74%
84%
häufiger an, alle aufgeführten Risiken 49%
Nutzung des Internet of Things
vollständig reduziert zu haben 79%
Digitalisierung der Liefermechanismen für Kund:innen (z. B. E- 74%
Digitalisierung der Liefermechanismen für Kund:innen
Nordamerikanische Unternehmen Commerce, Peer-to-Peer-Zahlungen) 83%
69%
berichten signifikant häufiger von einer Digitalisierung der Lieferkette
84%
vollständigen Risikominderung im Digitalisierung der Backoffice-Abläufe (ohne Supply Chain und 76%
Kund:inneninteraktion),
Kund:inneninteraktion), z.B. Finanztransformation
z.B. Finantransformation 84%
Vergleich zu den befragten west- und
50%
Eintritt in neue Märkte
osteuropäischen Unternehmen 79%
Frage: Auf einer Skala von 1 bis 10, in welchem Umfang konnte Ihr Unternehmen die Cyberrisiken in Verbindung mit folgenden Aspekten in den letzten
zwölf Monaten reduzieren?
Grundlage: 3’522 Antworten | 70 Antworten aus der Schweiz
Befragte, die eine vollständige oder mässige Reduktion angaben.
2023 Global Digital Trust Insights September 2022
PwC 5
Ausblick: Bedrohungslage 2023 Es gibt noch viel zu tun – in einem aktuell schwierigen wirtschaftlichen und geschäftlichen Umfeld PwC 6
Bedrohungsakteure, die Unternehmen im Jahr 2023 im
Vergleich zu 2022 erheblich beeinflussen
Unternehmen fürchten sich vor mehr Bedrohungen und Vorfällen im Jahr 2023
%-Anteil der Befragten, die angeben, dass die folgenden Akteure ihr Unternehmen 2023 im Vergleich zu 2022 negativ beeinflussen werden
Schweiz
65%
Global
73%
Cyberkriminelle
65%
46%
Hacktivist:innen/Hacker:innen
48%
40%
InsiderBedrohung
threat (current
durchemployee, past employee,
Insider (derzeitige contractor)
Mitarbeiter:innen,
ehemalige Mitarbeiter:innen, Auftragnehmer) 44%
29%
der Studienteilnehmer erachten Wettbewerber
42%
Cyberkriminelle für 2023 als die grösste
Gefahr für ihr Unternehmen Nationalstaaten
29%
27%
3%
Keine der genannten Optionen
4%
Frage: Von welchen dieser Akteure gehen Sie davon aus, dass diese Ihr Unternehmen 2023 im Vergleich zu 2022 negativ beeinflussen werden?
Grundlage: 3’522 Antworten | 70 Antworten aus der Schweiz
2023 Global Digital Trust Insights September 2022
PwC 7
Einfallstore, die sich Angreifende zunutze machen
Angriffsvektoren
%-Anteil der Befragten, die angeben, dass von den folgenden Schwachstellen im Jahr 2023 eine höhere Gefahr für Ihr Unternehmen ausgeht als 2022
Schweiz
Grössere Unternehmen schätzen die Global
Gefahr für Angriffe über die Software-
Lieferkette (35%), cloudbasierte Mobile Geräte 33%
41%
Dienste (43%) und Operational E-Mail 66%
40%
Technology (29%) als signifikant höher 39%
Cloudbasierte Dienste
ein 38%
Webanwendungen 44%
37%
Personen oder User (Insider oder Social Engineering) 47%
37%
Externe (Third Party) 39%
34%
Endpoints (Desktops, Laptops) 26%
33%
Software-Lieferkette (Software-Supply-Chain) oder Zugriff auf diese 31%
32%
Remote-Access-Portale 29%
32%
Internet of Things 17%
29%
Operational Technology 13%
26%
Frage: Über welchen Zugang erhalten Angreifer Zugriff auf Ihre Systeme? Wählen Sie diejenigen Schwachstellen aus, von denen aus Ihrer Sicht im Jahr 2023 eine
höhere Gefahr für Ihr Unternehmen ausgeht als im 2022.
Grundlage: 3’522 Antworten | 70 Antworten aus der Schweiz
2023 Global Digital Trust Insights September 2022
PwC 8
Signifikante (weitere) Zunahme an Cybervorfällen im Jahr
2023 wird erwartet
Cybervorfälle
%-Anteil der Befragten, die angeben, dass die folgenden Angriffsszenarien im Jahr 2023 zunehmen werden
Schweiz
CISOs / CIOs / IT-Führungskräfte haben Global
Kompromittierung durch geschäftliche Distributed-Denial-of-Service
signifikant häufiger die folgenden Kompromittierung durch geschäftliche
E-Mails
Mails/Account-Übernahmen
E-
33%
39% Distributed-Denial-of-Service(DDOS)
(DDOS)-Angriffe
27%
25%
Angriffsformen erwähnt: 51% 29%
Ransomware Ausnutzung von Fehlkonfigurationen
32% 23%
● Ransomware (45%) Angriffe
Angriffe auf
auf Cloud-Management-
Cloud-Management- 33% Ausnutzung von Zero-Day- 26%
Schnittstellen 31% Schwachstellen 23%
● Angriffe auf Cloud-Dienste (36%) Schnittstellen Schwachstellen
36% 19%
● Ausnutzung von Zero-Day- Hack-and-Leak-Vorgänge
30%
Desinformation
22%
Schwachstellen (31%) Verstösse durch Drittparteien 29%
29%
Missbrauch der Systeme zum Zweck
Cryptomining 21%
20%
von Cryptomining
● Ausnutzung von Fehlkonfigurationen 36% Kompromittierung durch Hardware 14%
Angriffe auf Cloud-Dienste
(31%) 28% innerhalb der der
innerhalb Supply Chain
Supply Chain 19%
● Verstösse durch Drittparteien («Third Kompromittierung
Kompromittierung durch
innerhalb
durch Software
der der
innerhalb Supply
Software
Chain
Supply Chain
19%
26%
Spionage durch andere Staaten 19%
17%
party breach») (42%) Diebstahl von von
Diebstahl geistigem Eigentum
geistigem zum
Eigentum 16% von
vonNationalstaaten
Nationalstaatenfinanzierte
finanzierte 19%
zum Zweck
Zweck der
der Kommerzialisierung
Kommerzialisierung 26% Angriffe auf kritische Infrastruktur 11%
Angriffe auf das Industrial
Industrial Internet
Internet of
of 19% 3%
Keine der genannten Optionen
Things(IIoT)
Things (IIoT)oder
oderOperational
OT 26% 3%
Technology (OT)
Frage: Bei welchen der folgenden Angriffe auf Ihr Unternehmen gehen Sie davon aus, dass diese 2023 im Vergleich zu 2022 wesentlich zunehmen werden?
Grundlage: 3’522 Antworten | 70 Antworten aus der Schweiz
2023 Global Digital Trust Insights September 2022
PwC 9
Berichterstattung und Offenlegung Offenlegung kommt allen zugute, und Unternehmen können aus den Angriffen auf andere Organisationen lernen. Vier Fünftel der Unternehmen weltweit sind der Meinung, dass eine obligatorische Offenlegung von Cybervorfällen in vergleichbaren und einheitlichen Formaten notwendig ist, um das Vertrauen der Stakeholder zu gewinnen. PwC 10
Eine gute Berichterstattung und Transparenz sind der
Schlüssel zu einem sicheren Unternehmen
Priorität unterschiedlicher Stakeholder-Gruppen in Unternehmen bei Cybersicherheitsfragen
(Ranked index)
Schweiz
Eine gute Berichterstattung und Global
Transparenz sind der Schlüssel zu einer 1. Verwaltungsrat 1. CEO
erfolgreichen Zusammenarbeit, die für die 2. CEO 2. Verwaltungsrat
Cybersicherheit entscheidend ist. Die 3.3.Beteiligte
Beteiligteanander
der 3. Beteiligte an der
Value chain participants
CEO- und Verwaltungsratsposition Wertschöpfungskette
Wertschöpfungskette) Wertschöpfungskette)
4. Regulators
4. Für for consumer
Verbraucher:innenschutz Agencies
4. responsible
Nationale- for national
oder kantonale or
Stellen,
nehmen bei der Einführung und Verbes- protection
zuständige Regulierungsbehörden federal cybersecurity
federal cybersecurity
verantwortlich responses
responses
für Cybersicherheit
serung von Sicherheitsprogrammen eine Agencies
5. responsible
Nationale- for national
oder kantonale or
Stellen, 5. Regulators
Für finanzielle Berichterstattung
of financial reporting
federal cybersecurity
verantwortlich responses
für Cybersicherheit zuständige Regulierungsbehörden
zentrale Rolle ein. 6. Branchenspezifische 6. Branchenspezifische
Regulierungsbehörden Regulierungsbehörden
7. Verbraucher:innenverbände
7. Consumer and other private
und 7. FürAgencies
lokale Cybersicherheitsmass-
responsible for local
advocacy
sonstige private groups
Interessenverbände cybersecurity
cybersecurity
nahmen responses
responses
verantwortliche Stellen
8. Regulators
Für finanzielle Berichterstattung Consumer and other private
8. Verbraucher:innenverbände und
8. of financial reporting
zuständige Regulierungsbehörden advocacy
sonstige private groups
advocacy groups
Interessenverbände
9. FürAgencies responsible for local
lokale Cybersicherheitsmass- 9. Für Verbraucher:innenschutz
Regulators for consumer protection
cybersecurity
nahmen responses
verantwortliche Stellen zuständige Regulierungsbehörden
10. Strafvervolgungsbehörden 10. Strafvervolgungsbehörden
Frage: Mit Blick auf die Berichterstattung an die folgenden Stakeholder stufen Sie bitte jeden Stakeholder nach der Priorität für Ihr Unternehmen in den
kommenden zwölf Monaten ein.
Grundlage: 3’522 Antworten | 70 Antworten aus der Schweiz
2023 Global Digital Trust Insights September 2022
PwC 11Weniger als 50% sind der Meinung, dass sie Cyber-Strategien
und -Vorfälle effektiv nach aussen kommunizieren können
Fähigkeit der Unternehmen, Cyber-Strategien und -Vorfälle nach aussen hin offenzulegen
Schweiz
Weniger als 10% sind bzgl. allen fünf Global
Aussagen zuversichtlich. MeinMyUnternehmen
organisation kann die erforderlichen
can provide the requiredInformationen zu einem
information about wesent-
a material or 81%
significant
lichen incident within
oder erheblichen Vorfallthe requireddes
innerhalb reporting periodBerichtszeitraums
festgelegten after the incident. 81%
nach dem Vorfall vorlegen
Unternehmen, die eine Zunahme an
Cybervorfällen beobachten, stimmen den My organisation
Mein can effectively
Unternehmen assess the
kann die Relevanz materiality
eines of a cyber
Cybervorfalls incident
für die for der
Zwecke the 84%
purposes of reporting.
Berichterstattung effektiv bewerten 80%
Aussagen signifikant häufiger völlig oder
eher zu.
Mein Unternehmen
My organisation cankann die vom
describe the Verwaltungsrat verlangten,
relevant cyber expertise on relevanten Fach-
our board for the 71%
kenntnisse zum Thema Cybersicherheit in der Berichterstattung beschreiben
purposes of reporting. 78%
Mein Unternehmen
My organisation verfügt
has a policy über which
stating eine Richtlinie,
informationdiecan
festlegt, welche
or cannot be 71%
Informationen zudisclosed
Cybervorfällen offengelegt
regarding werden dürfen bzw. nicht
cyber incidents. 76%
offengelegt werden dürfen
Mein Unternehmen kann Informationen
My organisation can provideüber das Third-Party-Risk-Management
information about third-party cyber risk 66%
management. (TPRM) vorlegen 75%
Frage: Bezugnehmend auf die Offenlegung von Cyber-Strategien oder -Vorfällen: Inwieweit stimmen Sie folgenden Aussagen zu bzw. nicht zu?
Grundlage: 3’522 Antworten | 70 Antworten aus der Schweiz
Befragte, die den Aussagen «völlig» oder «eher zustimmen»
2023 Global Digital Trust Insights September 2022
PwC 12Status quo – Offenlegungspraktiken von Cybervorfällen
Offenlegungspraktiken von Cybervorfällen
Schweiz
Vier Fünftel der Unternehmen weltweit Global
sind der Meinung, dass eine Eine Meldepflicht von Cybervorfällen
Mandatory disclosures in vergleichbarer
of cyber incidents und einheitlicher
which require comparableForm,
and 66%
consistent formats are necessary
ist notwendig, um das to gain stakeholder
Vertrauen confidence
der Stakeholder and trust
zu gewinnen 79%
obligatorische Offenlegung von
Cybervorfällen in vergleichbaren und Increased reporting to verbesserte
Eine investors willBerichterstattung
be a net benefit to
anthe organisationwird
Investor:innen and von
the 67%
entire ecosystem
unmittelbarem Nutzen für das Unternehmen und das gesamte Ökosystem sein 76%
einheitlichen Formaten notwendig ist, um
We expect the government
Wir erwarten, dass die to develop cyber
Regierung techniques
Empfehlungen fürfor theprivaten
den private sector,
Sektor
das Vertrauen der Stakeholder zu based on the
basierend knowledge
auf base built
Erkenntnissen from mandatory disclosures
aus meldepflichtigen Cybervorfällenof cyber
ableitet
57%
incidents 75%
gewinnen.
WhenWenn
we share information about
wir Informationen cyber incidents
zu Cybervorfällen in in our organisation
unserem Unternehmenwith law
mit 64%
enforcement authorities, our teilen,
Strafverfolgungsbehörden organisation receives
erhält unser direct and tangible
Unternehmen direkte und
assistance in responding to the threats 71%
materielle Unterstützung für die Reaktion auf diese Bedrohungen
CurrentSchutz
Der derzeitige liabilityvor
andHaftung
penalty und
protection
Strafenfor
fürthose who share
diejenigen, information is
die Informationen 56%
adequate weitergeben, ist angemessen 70%
Ein umfassenderer
Greater public öffentlicher
information-sharing Informationsaustausch
and transparency in Bezug
on cyber matters auf
is a risk 51%
Cybervorfälle
and cankönnen
lead to zum Verlust
loss of von Wettbewerbsvorteilen
competitive advantage führen 70%
Neue Anforderungen in Bezug auf die Meldepflicht von Cybervorfällen halten 43%
New requirements forInformationen
uns davon ab, mandatory disclosures of cyber incidents to zu
mit Strafverfolgungsbehörden investors
teilen.
64%
Frage: Die folgenden Aussagen beziehen sich auf die Offenlegungspraktiken von Cybervorfällen: Inwieweit stimmen Sie folgenden Aussagen zur Position Ihres
Unternehmens zu bzw. nicht zu?
Grundlage: 3’522 Antworten | 70 Antworten aus der Schweiz
Befragte, die den Aussagen «völlig» oder «eher zustimmen»
2023 Global Digital Trust Insights September 2022
PwC 13Cyber in der C-Suite Das C-Suite-Playbook zur Cybersecurity und Privacy, gestützt durch die neuesten Ergebnissen unserer «Global Digital Trust Insights» zeigt, wie Führungskräfte zusammenarbeiten müssen, um eine cyberfähige Zukunft zu schaffen. PwC 14
Wo können Sie als CEO oder Verwaltungsratsmitglied am
meisten für die Cybersicherheit tun?
Die Digitalisierung macht Sicherheit zu einer Angelegenheit für alle, und dieser
Kulturwandel beginnt beim CEO und Verwaltungsrat. Eine Steigerung der
51%
Resilienz trotz angespanntem Cyber-Arbeitsmarkt kann nur gelingen, wenn die
oberste Führungsebene mit dem CISO als Team zusammenarbeitet.
Call to action:
• Sprechen Sie über Ihr Cyber-Engagement.
• Nutzen Sie Ihren Einfluss, um weitreichende Veränderungen anzuregen.
• Beseitigen Sie organisatorische Hindernisse, welche die die Koordination mit
der CEOs und Verwaltungsräte fordern
der C-Suite bisher erschwerten.
einen Plan für das Cyber-Risikomanage-
ment bei grösseren geschäftlichen oder
betrieblichen Veränderungen.
2023 Global Digital Trust Insights September 2022
PwC 16Ist Ihr Cloud-Sicherheitsplan so anpassungsfähig wie es Ihr
Unternehmen in der Cloud ist?
CIOs und ihre DevOps-Teams geben oft das Tempo der Cloud-Einführung vor,
aber Sie müssen enger mit Ihrem CISO und den Compliance-Teams
19%
zusammenarbeiten, um der C-Suite und dem Verwaltungsrat die Angst vor Cloud-
basierten Cybervorfällen zu nehmen.
Fast zwei Drittel der Führungskräfte geben an, ihre Cloud-Risiken nicht
vollständig reduziert zu haben.
Call to action:
• Zur Sicherung Ihrer Backend-, Frontend-, IoT- und OT-Technologien sollten Sie
der CIOs, CISOs und CTOs sind sich frühzeitig und immer mit dem CISO zusammenarbeiten.
sicher, dass ihr Unternehmen
Massnahmen zum Schutz vor vier
häufigen Ursachen für Cloud-Angriffen
ergriffen hat.
2023 Global Digital Trust Insights September 2022
PwC 18Investieren wir genug, und in den richtigen Bereichen?
Erzielen wir mit unseren Investitionen das richtige Mass an
Risikominderung im Cyberspace?
Viele CISOs und CFOs haben die Art und Weise geändert, wie sie in
Cybersicherheit investieren. Sie fällen datenbasierte Finanzierungsentscheid-
39%
ungen unter Berücksichtigung der Geschäftsziele und der wichtigsten Risiken.
Wegen der zunehmenden Verbreitung von Technologielösungen müssen Sie
gemeinsam mit dem CISO einen holistischen Plan ausarbeiten, um Ihr
Unternehmen auf allen Ebenen zu schützen und gleichzeitig die gesamte
Unternehmenssoftware zu vereinfachen.
Call to action:
der CFOs sagen, dass mehr Cybertech-
• Bei der Modernisierung und Vereinfachung Ihrer IT sollten Sie sich fragen, wie
Lösungen zur Verbesserung der
Cybersicherheit beitragen werden. Sie pro investiertem Franken die effektivste Reduktion Ihrer Cyberrisiken
erzielen.
2023 Global Digital Trust Insights September 2022
PwC 20Was können wir tun, um unsere Lieferkette und unsere
Betriebsabläufe widerstandsfähiger und weniger anfällig für
Cyberangriffe zu machen?
Die Lieferkette ist ein Kernpunkt für Cyber- und andere Bedrohungen,
Wettbewerbsdruck, makroökonomische Herausforderungen und ESG-Anliegen.
56%
Starten Sie Ihre Sicherheitsinitiativen, indem Sie Ihre Mitarbeitenden schulen, in
Technologie investieren und die Drittparteirisiken besser abdecken.
Die wachsende Anziehungskraft der «Operational Technology» (OT) auf
Bedrohungsakteure bedeutet, dass Sie diese Technologie besonders gut gegen
Angriffe schützen sollten.
Call to action:
der CROs und COOs sind äusserst oder
• Planen Sie gemeinsam mit dem CISO und dem CIO, wie Sie Ihre OT- und Ihre
sehr besorgt, ob ihr Unternehmen
Angriffen auf die Lieferkette standhalten IT-Systeme sichern können.
kann.
2023 Global Digital Trust Insights September 2022
PwC 22Wie wirkt sich das Cyber-Risikoprofil auf die Risikotoleranz
unserer Organisation aus? Wie engagiert sind die Leitenden
der einzelnen Geschäftsbereiche im Umgang mit Cyberrisiken?
CISOs und CROs arbeiten zusammen, um Cyberrisiken in das allgemeine
Risikomanagement (ERM) des Unternehmens einzubeziehen. Aber es gibt immer
46%
noch Lücken.
Die fortschreitende Digitalisierung kann zu mehr Risiken führen, als Ihr
Unternehmen verkraften kann. Um sich gegen immer raffiniertere Cyberangriffe zu
wappnen, sollten Sie solide Pläne und Kontrollen für die betriebliche und
technologische Widerstandsfähigkeit erstellen, testen und einführen.
Call to action:
der CROs und COOs geben an, • Überprüfen Sie Ihre Risikobereitschaft.
dass sie in ihrem ganzen • Entwickeln Sie ein Resilienzprogramm, das die Kernkompetenzen
Unternehmen Kontrollen haben, die Krisenmanagement, Betriebskontinuität, Wiederherstellung und Incident
schwerwiegende Cyberstörungen Response umfasst, sodass Sie unternehmensweit kohärent reagieren können.
verhindern sollen.
2023 Global Digital Trust Insights September 2022
PwC 24Wie können wir Kundendaten sicher verwalten und nutzen?
Datenverantwortliche (CDOs) müssen sich vielen Herausforderungen stellen, da
Daten – im Guten wie im Schlechten – in den Mittelpunkt gerückt sind. Die Hälfte
31%
der Führungskräfte hat nicht genug Vertrauen in die Datenverwaltung und -
sicherheit ihres Unternehmens, um datenbasierte Entscheidungen zu treffen.
Die gute Nachricht: CDOs erhalten immer mehr Verantwortung und Befugnisse für
die Datensicherheit und den Datenschutz. Eine Partnerschaft mit Ihrem CISO
kann Ihnen helfen, Daten und persönliche Informationen besser zu schützen.
Call to action:
der CDOs, CPOs und CMOs haben eine
• Arbeiten Sie mit Ihrem CISO zusammen, um die Erwartungen der
sehr gute Beziehung zum CISO und
berücksichtigen Datenschutz und verschiedenen Stakeholder zu erfüllen und alle wichtigen Aspekte der
Sicherheit im Marketing. Datensicherheit und des Datenschutzes abzudecken, einschliesslich
Governance, Datenzugang und Genauigkeit der Daten.
2023 Global Digital Trust Insights September 2022
PwC 26Wie können wir schneller Cyberfachkräfte rekrutieren und
unsere Talente an uns binden?
CISOs und CHROs brechen mit alten Mustern und erweitern die Suchparameter
für neue Talente über Zertifizierungen und technische Abschlüsse hinaus. Indem
54%
sie anerkennen, dass Eigenschaften wie Problemlösungsfähigkeit mindestens
genauso wichtig sind, vergrössern sie den Pool ihrer Kandidatinnen und
Kandidaten.
In der Zwischenzeit sollten Sie Ihre Mitarbeitenden schulen und «Managed Cyber
Defence»-Services in Anspruch nehmen, um die Cybersicherheit Ihres
Unternehmens zu gewährleisten.
der CISOs und CIOs sagen, Call to action:
Personalfluktuation sei ein Problem. Etwa
40% beobachten die Situation genau; • Stellen Sie sich die Frage, welche Fähigkeiten Sie in Ihrem Cyberprogramm
15% stellen fest, dass Fachkräftemangel brauchen, passen Sie Ihre Rekrutierungsmethoden entsprechend an und bieten
den Fortschritt bei den Cyberzielen Sie Ihren Cybertalenten Anreize und Entwicklungsmöglichkeiten, die sie zum
bremst. Bleiben motivieren.
2023 Global Digital Trust Insights September 2022
PwC 28Notwendigkeit der Kooperation auf C- Level-Ebene Ein Cyberangriff mit katastrophalen Folgen (z.B. Ransomware, Angriffe von Nationalstaaten auf kritische Infrastruktur) ist das wichtigste Szenario in organisatorischen Resilienzplänen im Jahr 2023. Eine solche Attacke würde die Kooperation sicherlich hart auf die Probe stellen. PwC 29
38% rechnen im Jahr 2023 mit schwereren Angriffen über cloudbasierte Dienste Der Vorfall: Folgen: Was schief lief: Angreifende nutzen eine Ressourcen-intensiver und Programmierfehler, unzureichende Fehlkonfiguration in einer in der kostspieliger Benachrichtigungs- Tests von Code Libraries, Cloud gehosteten App des prozess der Dateneigentümer. Die unzureichend verschlüsselte Daten. Unternehmens aus und stehlen Opfer könnten eine Sammelklage Nutzerdaten, um sie auf dem gegen Ihr Unternehmen einreichen. Schwarzmarkt zu verkaufen. Der Ruf des Unternehmens leidet. 2023 Global Digital Trust Insights September 2022 PwC 30
Wie grösserer Schutz möglich wird • CIO: Beharren Sie auf «Security-as-Code»-Methodologien bei der Anwendungsentwicklung und führen Sie gründliche Tests vor der Einführung durch. Beseitigen Sie Fehlkonfigurationen, die sowohl von Nutzer:innen als automatischem Deployment ausgehen können. • CISO: Legen Sie Richtlinien und Verfahren fest, die die Anwendungssicherheit erhöhen, Vulnerability Tests und ein regelmässiges Patch Management beinhalten und setzen sie diese konsequent durch. • CTO: Stellen Sie sicher, dass Sie von Cloud-Providern und Drittanbietern Dashboards und Tools zur Verfügung gestellt kriegen, mit denen sie Fehlkonfigurationen in deren Umgebungen leichter erkennen können. • CDO: Stellen Sie sicher, dass Ihre Anwendungen die Datenschutzanforderungen erfüllen und dass Kundendaten partitioniert werden. Nutzen Sie Lösungen, die sicherstellen, dass Daten im Ruhezustand («Data at Rest»), bei der Übertragung («Data in Transit») und während der Nutzung verschlüsselt sind. PwC 31
29% der grossen Unternehmen rechnen mit einem Anstieg an
Angriffen auf OT-Netzwerke
Der Vorfall: Folgen: Was schief lief:
Endgeräte einer Fabrik werden über Die Produktion kommt zum Erliegen, Hacker:innen griffen auf
ein webbasiertes virtuelles da die Systeme heruntergefahren ungeschützte Virtual Network
Servernetzwerk angegriffen. werden müssen, um eine weitere Computing-Server zu, ohne sich
Ausbreitung zu verhindern; die authentifizieren zu müssen und
Auswirkungen der Produktions- konnten so in Systeme eindringen,
verzögerungen ziehen sich durch die die industrielle Fertigungsprozesse
gesamte Lieferkette. steuern.
2023 Global Digital Trust Insights September 2022
PwC 32Wie grösserer Schutz möglich wird • CIO: Erfassen Sie zusammen mit dem CTO kritische Abhängigkeiten und Konvergenzen zwischen IT- und OT- Systemen. • CISO: Verlangen Sie Zugriff via VNC oder über ein VPN. Schulen Sie IT- und OT-Mitarbeiter:innen und weiteres Sicherheitspersonal damit Indikatoren für eine mögliche Gefährdung frühzeitig erkannt werden. • CTO: Erstellen Sie gemeinsam mit dem CISO und CIO einen Plan, um das Patch-Management und Monitoring von Endpoints zu verbessern. • CRO: Bewerten Sie die VNC-Risiken. Entwickeln und üben Sie Incident Response-Pläne, die IT- und OT-Prozesse beinhalten. • COO: Berücksichtigen Sie die Cybersicherheit im Beschaffungsprozess für industrielle Steuerungssysteme, bei der Auftragsvergabe an Cloud-Anbieter und bei der Festlegung von Servicevereinbarungen mit externen Dienstleistern. PwC 33
45% der Sicherheits- und IT-Führungskräfte erwarten einen
weiteren Anstieg von Ransomware-Angriffen
Der Vorfall: Folgen: Was schief lief:
Ein medizinischer Angestellter öffnet Massive Unterbrechungen und Die Antivirus-Software war veraltet und
ein Dokument in einer Phishing-E- nahezu vollständige Abschaltung der hat die im Anhang eingebettete
Mail und installiert dabei Malware. Netzwerke. Malware nicht erkannt. Das Fehlen
einer Multi-Faktor-Authentifizierung
ermöglichte es den Angreifer:innen sich
Zugang zum Unternehmensnetzwerk
zu verschaffen, in dem sie acht Wochen
lang unbemerkt blieben. Schliesslich
kompromittierten sie ein Domain-
Admin-Konto und verbreiteten weiter
Malware, die einen Grossteil der
zentralen IT-Infrastruktur lahmlegte und
Backups kompromittierte.
2023 Global Digital Trust Insights September 2022
PwC 34Wie grösserer Schutz möglich wird • CEO: Unterstützung von Schulungen zum Sicherheitsbewusstsein in der gesamten Organisation. • CIO: Überprüfen Sie die Zusammenhänge zwischen IT-Systemen und dem Gesundheitsumfeld. • CTO: Bewerten Sie die Anfälligkeit von medizinischen Geräten in einem Szenario. • COO: Helfen Sie dem CIO und CISO bei der Bewertung der Auswirkungen auf die Patient:innensicherheit. • CISO: Überbrücken Sie Sicherheitslücken zwischen der IT und dem Betrieb im Gesundheitswesen. • CDO: Arbeiten Sie mit dem COO, CISO und CPO zusammen, um eine Bewertung des Schadens durch Diebstahl / Beschädigung von Kundendaten zu erstellen. • CRO: Führen Sie Resilienztests mit Krisen- und BC/DR-Teams durch. • CFO: Überprüfen Sie Ihre Ausgaben für die Cybersicherheit, einschliesslich einer Cyber-Versicherung, mit dem CISO und CIO unter Berücksichtigung der entdeckten Schwachstellen. Legen Sie Richtlinien zur Zahlung von Lösegeld fest. • Verwaltungsrat: Fordern Sie Einblicke in die Übungen des Managements zur Vorbereitung auf einen Ransomware-Angriff. Legen Sie fest, wann der VR über einen Cybervorfall informiert werden soll. PwC 35
Zur Studie Die Global Digital Trust Insights 2023 sind eine Umfrage unter 3’522 Führungskräften aus den Bereichen Wirtschaft, Technologie und Sicherheit (CEOs, Unternehmensleiter, CFOs, CISOs, CIOs und C-Suite-Verantwortliche), die im Juli und August 2022 durchgeführt wurde. Weibliche Führungskräfte machen 31% der Stichprobe aus. 52 Prozent der Befragten sind Führungskräfte in grossen Unternehmen (Umsatz von 1 Milliarde Dollar und mehr); 16% sind in Unternehmen mit einem Umsatz von 10 Milliarden Dollar oder mehr tätig. Die Befragten sind in einer Reihe von Branchen tätig: industrielle Fertigung (24%), Technologie, Medien, Telekommunikation (21%), Finanzdienstleistungen (20%), Einzelhandel und Verbrauchermärkte (18%), Energie, Versorgungsunternehmen und Ressourcen (9%), Gesundheit (5%) sowie Regierung und öffentliche Dienste (3%). Die Befragten sind in verschiedenen Regionen ansässig: Westeuropa (31%), Nordamerika (28%), Asien-Pazifik (18%), Lateinamerika (12%), Osteuropa (5%), Afrika (4%) und Naher Osten (3%). Der Global Digital Trust Insights Survey ist formell als Global State of Information Security Survey (GSISS) bekannt. PwC Research, das globale Kompetenzzentrum von PwC für Marktforschung und Einblicke, führte diese Umfrage durch. PwC 36
Kontaktieren Sie uns Urs Küderli Johannes Dohren Yan Borboën Partner Partner Partner Leiter Cybersecurity und Head of Cyber Resilience and Digital Assurance & Privacy, Defence, Cybersecurity und Privacy, PwC Schweiz PwC Schweiz PwC Schweiz Tel: +41 58 792 42 21 Tel: +41 58 792 22 20 Tel: +41 58 792 84 59 urs.kuederli@pwc.ch johannes.dohren@pwc.ch yan.borboen@pwc.ch 2023 Global Digital Trust Insights September 2022 PwC 37
Danke www.pwc.ch/dti2023 pwc.com © 2022 PwC. All rights reserved. Not for further distribution without the permission of PwC. “PwC” refers to the network of member firms of PricewaterhouseCoopers International Limited (PwCIL), or, as the context requires, individual member firms of the PwC network. Each member firm is a separate legal entity and does not act as agent of PwCIL or any other member firm. PwCIL does not provide any services to clients. PwCIL is not responsible or liable for the acts or omissions of any of its member firms nor can it control the exercise of their professional judgment or bind them in any way. No member firm is responsible or liable for the acts or omissions of any other member firm nor can it control the exercise of another member firm’s professional judgment or bind another member firm or PwCIL in any way.
Sie können auch lesen
