GLOBAL DIGITAL TRUST INSIGHTS 2023 - DIE SCHWEIZER ERGEBNISSE EINER WELTWEITEN PWC-BEFRAGUNG ZUM THEMA CYBERSICHERHEIT - BEI PWC SCHWEIZ

 
WEITER LESEN
GLOBAL DIGITAL TRUST INSIGHTS 2023 - DIE SCHWEIZER ERGEBNISSE EINER WELTWEITEN PWC-BEFRAGUNG ZUM THEMA CYBERSICHERHEIT - BEI PWC SCHWEIZ
Global Digital
Trust Insights
2023
Die Schweizer Ergebnisse einer
weltweiten PwC-Befragung zum
Thema Cybersicherheit
GLOBAL DIGITAL TRUST INSIGHTS 2023 - DIE SCHWEIZER ERGEBNISSE EINER WELTWEITEN PWC-BEFRAGUNG ZUM THEMA CYBERSICHERHEIT - BEI PWC SCHWEIZ
Agenda

1.               Einführung                                        03
2.               Ausblick: Bedrohungslage 2023                     06
3.               Berichterstattung und Offenlegung                 10
4.               Cyber in der C-Suite                              14
5.               Notwendigkeit der Kooperation auf C-Level-Ebene   29
6.               Zur Studie                                        36

2023 Global Digital Trust Insights                                  September 2022
PwC                                                                              2
GLOBAL DIGITAL TRUST INSIGHTS 2023 - DIE SCHWEIZER ERGEBNISSE EINER WELTWEITEN PWC-BEFRAGUNG ZUM THEMA CYBERSICHERHEIT - BEI PWC SCHWEIZ
Kühne neue Welt
Mehr als 70% der Befragten haben im vergangenen Jahr
Verbesserungen bei der Cybersicherheit festgestellt –
zurückzuführen auf Investitionen und verstärkter
Zusammenarbeit auf Führungsebene.

PwC                                                     3
GLOBAL DIGITAL TRUST INSIGHTS 2023 - DIE SCHWEIZER ERGEBNISSE EINER WELTWEITEN PWC-BEFRAGUNG ZUM THEMA CYBERSICHERHEIT - BEI PWC SCHWEIZ
Führungskräfte stellen Verbesserungen der Cybersicherheit an
verschiedenen Fronten fest

                                         Führungskräfte stellen Verbesserungen der Cybersicherheit an verschiedenen Fronten fest
                                         %-Anteil der Befragten, die davon berichten, dass ihr Cybersicherheitsteam in den letzten 12 Monaten folgende Tätigkeiten ausgeführt hat

                                            Schweiz

70%
                                            Global
                                                                                                                                                                                        66%
                                              Es hat die Sicherheit in Bezug auf Operational Technology (OT) verbessert
                                                                                                                                                                                                       79%
                                                                                                                                                                                                 73%
                                                       Es hat unsere Fähigkeiten zum Schutz vor Ransomware verbessert
                                                                                                                                                                                                    77%

                                              Es hat die Kollaboration von Operational                                                                                                 64%
                                                                            «SicherheitTechnology (OT)- / IT-Ingenieuren
                                                                                        und Datenschutz»   berücksichtigt
                                                                                                               verbessert                                                                           75%
                                                                                                                                                                                        66%
                                                                      Wert- und Effizienzsteigerung der Cyber-Ressourcen
                                                                                                                                                                                                    75%
                                              Es hat die Kollaboration von Operational Technology (OT)- / IT-Ingenieuren                                                               64%
                                                                     Kollaboration von Operational Technology (OT)- / IT
                                                                                                               verbessert                                                                        73%
der 3’522 befragten Unternehmens-,         Es hat auf einen Angriff wirksam reagiert und so wesentliche Unterbrechungen
                                                                                Es hat auf einen Angriff wirksam reagiert
                                                                                                                                                                                       63%
                                                     unserer Arbeitsabläufe und/oder diesbezügliche Schäden verhindert                                                                          72%
Sicherheits- und IT-Führungskräften              Anticipated a Es
                                                               newhat in Bezug
                                                                   cyber        auf Digitalisierungsmassnahmen
                                                                          risk related                                 ein neues
                                                                                       to digital initiatives that allowed  us to                                          54%
haben im vergangenen Jahr                                  manage it before it affected
                                                        Cybersicherheitsrisiko          our partners
                                                                                vorhergesehen            or customers
                                                                                                  und dieses    Risiko gesteuert                                                               71%

Verbesserungen bei der Cybersicherheit               Es hat das Risikomanagement in Bezug auf die Lieferkette verbessert
                                                                                                                                                                         51%
                                                                                                                                                                                              70%
in ihren Unternehmen festgestellt, 26%                    Es hat funktionsübergreifende Massnahmen    ergriffen, um neuen                                                              64%
                                                                     Es hat funktionsübergreifende Massnahmen     ergriffen
gaben Verbesserungen in allen 10                                               Datenschutzvorschriften gerecht zu werden                                                                      70%

                                            Es hat Eine
                                                   eine wesentliche
                                                        wesentliche Cyber-Bedrohung
                                                                    Cyber-Bedrohung für
                                                                                     für unser
                                                                                         unser Unternehmen
                                                                                               Unternehmen aufgedeckt
                                                                                                             aufgedeckt                                                    54%
Kategorien an                                    und dafür gesorgt, dass diese unsere Arbeitsabläufe nicht beeinträchtigt                                                                     70%

                                         Frage: Bitte geben Sie an, ob das Cybersicherheitsteam Ihres Unternehmens in den letzten zwölf Monaten folgende Tätigkeiten ausgeführt hat.
                                         Grundlage: 3’522 Antworten | 70 Antworten aus der Schweiz

2023 Global Digital Trust Insights                                                                                                                                                           September 2022
PwC                                                                                                                                                                                                       4
GLOBAL DIGITAL TRUST INSIGHTS 2023 - DIE SCHWEIZER ERGEBNISSE EINER WELTWEITEN PWC-BEFRAGUNG ZUM THEMA CYBERSICHERHEIT - BEI PWC SCHWEIZ
Weniger als 40% geben an, neu aufkommende Cyberrisiken
vollständig reduziert zu haben

                                           Weniger als 40% geben an, neu aufkommende Cyberrisiken vollständig reduziert zu haben
                                           %-Anteil der Befragten, die angeben, dass sie die folgenden Risiken vollständig oder mässig reduziert haben

                                              Schweiz
40% der Unternehmen aus der                   Global
Technologie-, Kommunikations- und                           Ermöglichung von Remote- und hybriden Arbeitsplatzmodellen
                                                                                                                                                                                                   87%
                                                                                                                                                                                                  86%
Medienbranche haben die Risiken in                                                                                                                                                   71%
                                                                                          Beschleunigte Cloud-Einführung
Bezug zu einer beschleunigten Cloud-                                                                                                                                                            84%
                                                                                                                                                                                   69%
Einführung vollständig reduziert                                                                   Erhöhte Datenvolumina
                                                                                                                                                                                                  85%
                                                                                                                                                                                      73%
Grosse Unternehmen (Umsatz höher                                      Konvergenz von IT und Operational Tehnology (OT)
                                                                                                                                                                                                83%
als 1 Mia. US-Dollar) geben signifikant                              Einführung neuer Produkte und/oder Dienstleistungen
                                                                                                                                                                                       74%
                                                                                                                                                                                                84%
häufiger an, alle aufgeführten Risiken                                                                                                                             49%
                                                                                            Nutzung des Internet of Things
vollständig reduziert zu haben                                                                                                                                                              79%
                                                            Digitalisierung der Liefermechanismen   für Kund:innen (z. B. E-                                                           74%
                                                                      Digitalisierung der Liefermechanismen für Kund:innen
Nordamerikanische Unternehmen                                                          Commerce, Peer-to-Peer-Zahlungen)                                                                        83%
                                                                                                                                                                                   69%
berichten signifikant häufiger von einer                                                      Digitalisierung der Lieferkette
                                                                                                                                                                                                84%
vollständigen Risikominderung im                            Digitalisierung der Backoffice-Abläufe (ohne Supply Chain und                                                                76%
                                                                          Kund:inneninteraktion),
                                                                    Kund:inneninteraktion),       z.B. Finanztransformation
                                                                                            z.B. Finantransformation                                                                            84%
Vergleich zu den befragten west- und
                                                                                                                                                                    50%
                                                                                                     Eintritt in neue Märkte
osteuropäischen Unternehmen                                                                                                                                                                 79%
                                           Frage: Auf einer Skala von 1 bis 10, in welchem Umfang konnte Ihr Unternehmen die Cyberrisiken in Verbindung mit folgenden Aspekten in den letzten
                                           zwölf Monaten reduzieren?
                                           Grundlage: 3’522 Antworten | 70 Antworten aus der Schweiz
                                           Befragte, die eine vollständige oder mässige Reduktion angaben.
2023 Global Digital Trust Insights                                                                                                                                                         September 2022
PwC                                                                                                                                                                                                     5
GLOBAL DIGITAL TRUST INSIGHTS 2023 - DIE SCHWEIZER ERGEBNISSE EINER WELTWEITEN PWC-BEFRAGUNG ZUM THEMA CYBERSICHERHEIT - BEI PWC SCHWEIZ
Ausblick:
Bedrohungslage 2023
Es gibt noch viel zu tun – in einem aktuell schwierigen
wirtschaftlichen und geschäftlichen Umfeld

PwC                                                       6
GLOBAL DIGITAL TRUST INSIGHTS 2023 - DIE SCHWEIZER ERGEBNISSE EINER WELTWEITEN PWC-BEFRAGUNG ZUM THEMA CYBERSICHERHEIT - BEI PWC SCHWEIZ
Bedrohungsakteure, die Unternehmen im Jahr 2023 im
Vergleich zu 2022 erheblich beeinflussen

                                           Unternehmen fürchten sich vor mehr Bedrohungen und Vorfällen im Jahr 2023
                                           %-Anteil der Befragten, die angeben, dass die folgenden Akteure ihr Unternehmen 2023 im Vergleich zu 2022 negativ beeinflussen werden

                                              Schweiz

65%
                                              Global
                                                                                                                                                                                                  73%
                                                                                                            Cyberkriminelle
                                                                                                                                                                                           65%

                                                                                                                                                                        46%
                                                                                             Hacktivist:innen/Hacker:innen
                                                                                                                                                                          48%

                                                                                                                                                                  40%
                                                              InsiderBedrohung
                                                                      threat (current
                                                                                 durchemployee,  past employee,
                                                                                       Insider (derzeitige       contractor)
                                                                                                           Mitarbeiter:innen,
                                                                              ehemalige Mitarbeiter:innen, Auftragnehmer)                                             44%

                                                                                                                                                       29%
der Studienteilnehmer erachten                                                                                Wettbewerber
                                                                                                                                                                    42%
Cyberkriminelle für 2023 als die grösste
Gefahr für ihr Unternehmen                                                                                  Nationalstaaten
                                                                                                                                                       29%
                                                                                                                                                     27%

                                                                                                                                3%
                                                                                            Keine der genannten Optionen
                                                                                                                                4%

                                           Frage: Von welchen dieser Akteure gehen Sie davon aus, dass diese Ihr Unternehmen 2023 im Vergleich zu 2022 negativ beeinflussen werden?
                                           Grundlage: 3’522 Antworten | 70 Antworten aus der Schweiz

2023 Global Digital Trust Insights                                                                                                                                                    September 2022
PwC                                                                                                                                                                                                7
GLOBAL DIGITAL TRUST INSIGHTS 2023 - DIE SCHWEIZER ERGEBNISSE EINER WELTWEITEN PWC-BEFRAGUNG ZUM THEMA CYBERSICHERHEIT - BEI PWC SCHWEIZ
Einfallstore, die sich Angreifende zunutze machen

                                         Angriffsvektoren
                                         %-Anteil der Befragten, die angeben, dass von den folgenden Schwachstellen im Jahr 2023 eine höhere Gefahr für Ihr Unternehmen ausgeht als 2022

                                            Schweiz
Grössere Unternehmen schätzen die           Global
Gefahr für Angriffe über die Software-
Lieferkette (35%), cloudbasierte                                                                          Mobile Geräte                                  33%
                                                                                                                                                                41%
Dienste (43%) und Operational                                                                                     E-Mail                                                                66%
                                                                                                                                                                40%
Technology (29%) als signifikant höher                                                                                                                         39%
                                                                                                  Cloudbasierte Dienste
ein                                                                                                                                                           38%
                                                                                                      Webanwendungen                                               44%
                                                                                                                                                             37%
                                                                   Personen oder User (Insider oder Social Engineering)                                              47%
                                                                                                                                                             37%
                                                                                                    Externe (Third Party)                                      39%
                                                                                                                                                           34%
                                                                                          Endpoints (Desktops, Laptops)                           26%
                                                                                                                                                         33%
                                                      Software-Lieferkette (Software-Supply-Chain) oder Zugriff auf diese                              31%
                                                                                                                                                        32%
                                                                                                 Remote-Access-Portale                               29%
                                                                                                                                                        32%
                                                                                                       Internet of Things                 17%
                                                                                                                                                     29%
                                                                                                 Operational Technology               13%
                                                                                                                                                  26%
                                         Frage: Über welchen Zugang erhalten Angreifer Zugriff auf Ihre Systeme? Wählen Sie diejenigen Schwachstellen aus, von denen aus Ihrer Sicht im Jahr 2023 eine
                                         höhere Gefahr für Ihr Unternehmen ausgeht als im 2022.
                                         Grundlage: 3’522 Antworten | 70 Antworten aus der Schweiz

2023 Global Digital Trust Insights                                                                                                                                                     September 2022
PwC                                                                                                                                                                                                 8
GLOBAL DIGITAL TRUST INSIGHTS 2023 - DIE SCHWEIZER ERGEBNISSE EINER WELTWEITEN PWC-BEFRAGUNG ZUM THEMA CYBERSICHERHEIT - BEI PWC SCHWEIZ
Signifikante (weitere) Zunahme an Cybervorfällen im Jahr
2023 wird erwartet

                                          Cybervorfälle
                                          %-Anteil der Befragten, die angeben, dass die folgenden Angriffsszenarien im Jahr 2023 zunehmen werden

                                             Schweiz
CISOs / CIOs / IT-Führungskräfte haben       Global
                                              Kompromittierung  durch geschäftliche                                                   Distributed-Denial-of-Service
signifikant häufiger die folgenden          Kompromittierung durch geschäftliche
                                                             E-Mails
                                                        Mails/Account-Übernahmen
                                                                                 E-
                                                                                                             33%
                                                                                                                39%          Distributed-Denial-of-Service(DDOS)
                                                                                                                                                  (DDOS)-Angriffe
                                                                                                                                                                                              27%
                                                                                                                                                                                            25%
Angriffsformen erwähnt:                                                                                               51%                                                                       29%
                                                                         Ransomware                                          Ausnutzung von Fehlkonfigurationen
                                                                                                         32%                                                                             23%

● Ransomware (45%)                                 Angriffe
                                                   Angriffe auf
                                                            auf Cloud-Management-
                                                                Cloud-Management-                         33%                          Ausnutzung von Zero-Day-                            26%
                                                             Schnittstellen                              31%                               Schwachstellen                                23%
● Angriffe auf Cloud-Dienste (36%)                                     Schnittstellen                                                            Schwachstellen

                                                                                                           36%                                                                        19%
● Ausnutzung von Zero-Day-                                 Hack-and-Leak-Vorgänge
                                                                                                        30%
                                                                                                                                                   Desinformation
                                                                                                                                                                                        22%

  Schwachstellen (31%)                                 Verstösse durch Drittparteien                    29%
                                                                                                        29%
                                                                                                                             Missbrauch der Systeme zum Zweck
                                                                                                                                                   Cryptomining                        21%
                                                                                                                                                                                      20%
                                                                                                                                               von Cryptomining
● Ausnutzung von Fehlkonfigurationen                                                                          36%              Kompromittierung durch Hardware                  14%
                                                          Angriffe auf Cloud-Dienste
  (31%)                                                                                                28%                        innerhalb der der
                                                                                                                                     innerhalb  Supply Chain
                                                                                                                                                    Supply Chain                      19%

● Verstösse durch Drittparteien («Third            Kompromittierung
                                                   Kompromittierung durch
                                                     innerhalb
                                                                     durch Software
                                                               der der
                                                        innerhalb  Supply
                                                                           Software
                                                                          Chain
                                                                       Supply Chain
                                                                                                 19%
                                                                                                       26%
                                                                                                                                 Spionage durch andere Staaten                       19%
                                                                                                                                                                                   17%
  party breach») (42%)                        Diebstahl von von
                                                  Diebstahl geistigem  Eigentum
                                                                geistigem       zum
                                                                          Eigentum             16%                               von
                                                                                                                                  vonNationalstaaten
                                                                                                                                       Nationalstaatenfinanzierte
                                                                                                                                                         finanzierte                  19%
                                                 zum Zweck
                                                      Zweck der
                                                             der Kommerzialisierung
                                                                 Kommerzialisierung                    26%                      Angriffe auf kritische Infrastruktur         11%

                                                Angriffe auf das Industrial
                                                                  Industrial Internet
                                                                             Internet of
                                                                                      of         19%                                                                   3%
                                                                                                                                   Keine der genannten Optionen
                                                        Things(IIoT)
                                                       Things  (IIoT)oder
                                                                      oderOperational
                                                                            OT                         26%                                                             3%
                                                                    Technology (OT)
                                          Frage: Bei welchen der folgenden Angriffe auf Ihr Unternehmen gehen Sie davon aus, dass diese 2023 im Vergleich zu 2022 wesentlich zunehmen werden?
                                          Grundlage: 3’522 Antworten | 70 Antworten aus der Schweiz

2023 Global Digital Trust Insights                                                                                                                                                    September 2022
PwC                                                                                                                                                                                                9
GLOBAL DIGITAL TRUST INSIGHTS 2023 - DIE SCHWEIZER ERGEBNISSE EINER WELTWEITEN PWC-BEFRAGUNG ZUM THEMA CYBERSICHERHEIT - BEI PWC SCHWEIZ
Berichterstattung und
Offenlegung
Offenlegung kommt allen zugute, und Unternehmen
können aus den Angriffen auf andere Organisationen
lernen. Vier Fünftel der Unternehmen weltweit sind der
Meinung, dass eine obligatorische Offenlegung von
Cybervorfällen in vergleichbaren und einheitlichen
Formaten notwendig ist, um das Vertrauen der
Stakeholder zu gewinnen.

PwC                                                      10
Eine gute Berichterstattung und Transparenz sind der
Schlüssel zu einem sicheren Unternehmen

                                             Priorität unterschiedlicher Stakeholder-Gruppen in Unternehmen bei Cybersicherheitsfragen
                                             (Ranked index)

                                               Schweiz
Eine gute Berichterstattung und                Global
Transparenz sind der Schlüssel zu einer                                        1. Verwaltungsrat                                                                     1. CEO

erfolgreichen Zusammenarbeit, die für die                                                 2. CEO                                                          2. Verwaltungsrat
Cybersicherheit entscheidend ist. Die                                     3.3.Beteiligte
                                                                               Beteiligteanander
                                                                                              der                                                       3. Beteiligte an der
                                                                                                                                                   Value chain participants
CEO- und Verwaltungsratsposition                                         Wertschöpfungskette
                                                                        Wertschöpfungskette)                                                         Wertschöpfungskette)
                                                                   4. Regulators
                                                               4. Für             for consumer
                                                                      Verbraucher:innenschutz                                         Agencies
                                                                                                                                      4.         responsible
                                                                                                                                          Nationale-          for national
                                                                                                                                                     oder kantonale        or
                                                                                                                                                                      Stellen,
nehmen bei der Einführung und Verbes-                                       protection
                                                             zuständige Regulierungsbehörden                                             federal cybersecurity
                                                                                                                                           federal cybersecurity
                                                                                                                                          verantwortlich        responses
                                                                                                                                                                  responses
                                                                                                                                                         für Cybersicherheit
serung von Sicherheitsprogrammen eine                      Agencies
                                                           5.         responsible
                                                              Nationale-           for national
                                                                         oder kantonale         or
                                                                                           Stellen,                                     5. Regulators
                                                                                                                                           Für finanzielle Berichterstattung
                                                                                                                                                       of financial reporting
                                                              federal cybersecurity
                                                               verantwortlich        responses
                                                                              für Cybersicherheit                                       zuständige Regulierungsbehörden
zentrale Rolle ein.                                                      6. Branchenspezifische                                                     6. Branchenspezifische
                                                                         Regulierungsbehörden                                                       Regulierungsbehörden
                                                            7. Verbraucher:innenverbände
                                                                7. Consumer and other private
                                                                                           und                                        7. FürAgencies
                                                                                                                                            lokale Cybersicherheitsmass-
                                                                                                                                                     responsible for local
                                                                        advocacy
                                                           sonstige private       groups
                                                                            Interessenverbände                                                   cybersecurity
                                                                                                                                              cybersecurity
                                                                                                                                          nahmen                responses
                                                                                                                                                            responses
                                                                                                                                                   verantwortliche Stellen
                                                              8. Regulators
                                                                 Für finanzielle Berichterstattung                                           Consumer and other private
                                                                                                                                      8. Verbraucher:innenverbände   und
                                                             8.             of financial reporting
                                                              zuständige Regulierungsbehörden                                                      advocacy
                                                                                                                                     sonstige private        groups
                                                                                                                                                         advocacy groups
                                                                                                                                                      Interessenverbände
                                                            9. FürAgencies   responsible for local
                                                                   lokale Cybersicherheitsmass-                                           9. Für Verbraucher:innenschutz
                                                                                                                                       Regulators for consumer protection
                                                                     cybersecurity
                                                                 nahmen             responses
                                                                          verantwortliche  Stellen                                     zuständige Regulierungsbehörden
                                                                 10. Strafvervolgungsbehörden                                               10. Strafvervolgungsbehörden

                                            Frage: Mit Blick auf die Berichterstattung an die folgenden Stakeholder stufen Sie bitte jeden Stakeholder nach der Priorität für Ihr Unternehmen in den
                                            kommenden zwölf Monaten ein.
                                            Grundlage: 3’522 Antworten | 70 Antworten aus der Schweiz

2023 Global Digital Trust Insights                                                                                                                                                               September 2022
PwC                                                                                                                                                                                                          11
Weniger als 50% sind der Meinung, dass sie Cyber-Strategien
und -Vorfälle effektiv nach aussen kommunizieren können

                                            Fähigkeit der Unternehmen, Cyber-Strategien und -Vorfälle nach aussen hin offenzulegen

                                               Schweiz
Weniger als 10% sind bzgl. allen fünf          Global
Aussagen zuversichtlich.                          MeinMyUnternehmen
                                                         organisation kann    die erforderlichen
                                                                        can provide   the requiredInformationen  zu einem
                                                                                                    information about       wesent-
                                                                                                                       a material or                                                           81%
                                                      significant
                                                 lichen           incident within
                                                        oder erheblichen   Vorfallthe  requireddes
                                                                                   innerhalb    reporting  periodBerichtszeitraums
                                                                                                   festgelegten  after the incident.                                                           81%
                                                                                                         nach dem Vorfall vorlegen
Unternehmen, die eine Zunahme an
Cybervorfällen beobachten, stimmen den        My organisation
                                               Mein           can effectively
                                                    Unternehmen               assess the
                                                                  kann die Relevanz      materiality
                                                                                       eines         of a cyber
                                                                                             Cybervorfalls      incident
                                                                                                            für die      for der
                                                                                                                    Zwecke   the                                                                   84%
                                                                          purposes of reporting.
                                                                                           Berichterstattung effektiv bewerten                                                                80%
Aussagen signifikant häufiger völlig oder
eher zu.
                                              Mein Unternehmen
                                              My organisation cankann die vom
                                                                  describe the Verwaltungsrat  verlangten,
                                                                               relevant cyber expertise on relevanten  Fach-
                                                                                                            our board for the                                                          71%
                                               kenntnisse zum Thema Cybersicherheit    in der Berichterstattung beschreiben
                                                                         purposes of reporting.                                                                                              78%

                                                          Mein Unternehmen
                                                      My organisation        verfügt
                                                                      has a policy   über which
                                                                                   stating  eine Richtlinie,
                                                                                                  informationdiecan
                                                                                                                 festlegt, welche
                                                                                                                    or cannot  be                                                      71%
                                                       Informationen zudisclosed
                                                                        Cybervorfällen   offengelegt
                                                                                 regarding            werden dürfen bzw. nicht
                                                                                             cyber incidents.                                                                             76%
                                                                                                     offengelegt werden dürfen

                                             Mein Unternehmen kann Informationen
                                                        My organisation can provideüber das Third-Party-Risk-Management
                                                                                    information about third-party cyber risk                                                      66%
                                                                                  management.             (TPRM) vorlegen                                                                75%

                                            Frage: Bezugnehmend auf die Offenlegung von Cyber-Strategien oder -Vorfällen: Inwieweit stimmen Sie folgenden Aussagen zu bzw. nicht zu?
                                            Grundlage: 3’522 Antworten | 70 Antworten aus der Schweiz
                                            Befragte, die den Aussagen «völlig» oder «eher zustimmen»

2023 Global Digital Trust Insights                                                                                                                                                      September 2022
PwC                                                                                                                                                                                                 12
Status quo – Offenlegungspraktiken von Cybervorfällen

                                           Offenlegungspraktiken von Cybervorfällen

                                              Schweiz
Vier Fünftel der Unternehmen weltweit         Global
sind der Meinung, dass eine                  Eine Meldepflicht  von Cybervorfällen
                                                  Mandatory disclosures             in vergleichbarer
                                                                          of cyber incidents          und einheitlicher
                                                                                              which require comparableForm,
                                                                                                                        and                                                        66%
                                                 consistent formats  are necessary
                                                             ist notwendig, um das to   gain stakeholder
                                                                                     Vertrauen           confidence
                                                                                                der Stakeholder      and trust
                                                                                                                zu gewinnen                                                                    79%
obligatorische Offenlegung von
Cybervorfällen in vergleichbaren und        Increased reporting to verbesserte
                                                             Eine  investors willBerichterstattung
                                                                                  be a net benefit to
                                                                                                   anthe organisationwird
                                                                                                      Investor:innen  and von
                                                                                                                          the                                                      67%
                                                                           entire ecosystem
                                            unmittelbarem Nutzen für das Unternehmen       und das gesamte Ökosystem sein                                                                     76%
einheitlichen Formaten notwendig ist, um
                                              We expect the government
                                                  Wir erwarten, dass die to develop cyber
                                                                          Regierung        techniques
                                                                                      Empfehlungen  fürfor theprivaten
                                                                                                         den   private sector,
                                                                                                                        Sektor
das Vertrauen der Stakeholder zu                based  on the
                                                 basierend    knowledge
                                                            auf           base built
                                                                Erkenntnissen        from mandatory disclosures
                                                                               aus meldepflichtigen  Cybervorfällenof cyber
                                                                                                                       ableitet
                                                                                                                                                                            57%
                                                                                incidents                                                                                                 75%
gewinnen.
                                              WhenWenn
                                                   we share  information about
                                                        wir Informationen         cyber incidents
                                                                            zu Cybervorfällen    in in our organisation
                                                                                                    unserem   Unternehmenwith law
                                                                                                                              mit                                                 64%
                                                 enforcement  authorities, our teilen,
                                                  Strafverfolgungsbehörden      organisation  receives
                                                                                       erhält unser      direct and tangible
                                                                                                      Unternehmen    direkte und
                                                                 assistance  in responding   to the threats                                                                             71%
                                                        materielle  Unterstützung    für die Reaktion   auf diese Bedrohungen

                                                   CurrentSchutz
                                            Der derzeitige liabilityvor
                                                                     andHaftung
                                                                         penalty und
                                                                                 protection
                                                                                     Strafenfor
                                                                                              fürthose  who share
                                                                                                   diejenigen,      information is
                                                                                                               die Informationen                                          56%
                                                                                     adequate weitergeben, ist angemessen                                                               70%

                                                       Ein umfassenderer
                                             Greater public                 öffentlicher
                                                            information-sharing          Informationsaustausch
                                                                                 and transparency              in Bezug
                                                                                                    on cyber matters      auf
                                                                                                                     is a risk                                        51%
                                                      Cybervorfälle
                                                              and cankönnen
                                                                      lead to zum   Verlust
                                                                              loss of       von Wettbewerbsvorteilen
                                                                                      competitive  advantage           führen                                                           70%

                                              Neue Anforderungen in Bezug auf die Meldepflicht von Cybervorfällen halten                                       43%
                                               New requirements forInformationen
                                                    uns davon ab,   mandatory disclosures  of cyber incidents to zu
                                                                                 mit Strafverfolgungsbehörden    investors
                                                                                                                    teilen.
                                                                                                                                                                                  64%

                                           Frage: Die folgenden Aussagen beziehen sich auf die Offenlegungspraktiken von Cybervorfällen: Inwieweit stimmen Sie folgenden Aussagen zur Position Ihres
                                           Unternehmens zu bzw. nicht zu?
                                           Grundlage: 3’522 Antworten | 70 Antworten aus der Schweiz
                                           Befragte, die den Aussagen «völlig» oder «eher zustimmen»
2023 Global Digital Trust Insights                                                                                                                                                        September 2022
PwC                                                                                                                                                                                                   13
Cyber in der C-Suite
Das C-Suite-Playbook zur Cybersecurity und Privacy,
gestützt durch die neuesten Ergebnissen unserer
«Global Digital Trust Insights» zeigt, wie
Führungskräfte zusammenarbeiten müssen, um eine
cyberfähige Zukunft zu schaffen.

PwC                                                   14
Wo können Sie als CEO oder Verwaltungsratsmitglied am
meisten für die Cybersicherheit tun?

                                         Die Digitalisierung macht Sicherheit zu einer Angelegenheit für alle, und dieser
                                         Kulturwandel beginnt beim CEO und Verwaltungsrat. Eine Steigerung der

51%
                                         Resilienz trotz angespanntem Cyber-Arbeitsmarkt kann nur gelingen, wenn die
                                         oberste Führungsebene mit dem CISO als Team zusammenarbeitet.
                                         Call to action:
                                         • Sprechen Sie über Ihr Cyber-Engagement.
                                         • Nutzen Sie Ihren Einfluss, um weitreichende Veränderungen anzuregen.
                                         • Beseitigen Sie organisatorische Hindernisse, welche die die Koordination mit
der CEOs und Verwaltungsräte fordern
                                           der C-Suite bisher erschwerten.
einen Plan für das Cyber-Risikomanage-
ment bei grösseren geschäftlichen oder
betrieblichen Veränderungen.

2023 Global Digital Trust Insights                                                                                  September 2022
PwC                                                                                                                             16
Ist Ihr Cloud-Sicherheitsplan so anpassungsfähig wie es Ihr
Unternehmen in der Cloud ist?

                                        CIOs und ihre DevOps-Teams geben oft das Tempo der Cloud-Einführung vor,
                                        aber Sie müssen enger mit Ihrem CISO und den Compliance-Teams

19%
                                        zusammenarbeiten, um der C-Suite und dem Verwaltungsrat die Angst vor Cloud-
                                        basierten Cybervorfällen zu nehmen.
                                        Fast zwei Drittel der Führungskräfte geben an, ihre Cloud-Risiken nicht
                                        vollständig reduziert zu haben.
                                        Call to action:
                                        • Zur Sicherung Ihrer Backend-, Frontend-, IoT- und OT-Technologien sollten Sie
der CIOs, CISOs und CTOs sind sich        frühzeitig und immer mit dem CISO zusammenarbeiten.
sicher, dass ihr Unternehmen
Massnahmen zum Schutz vor vier
häufigen Ursachen für Cloud-Angriffen
ergriffen hat.

2023 Global Digital Trust Insights                                                                                September 2022
PwC                                                                                                                           18
Investieren wir genug, und in den richtigen Bereichen?
Erzielen wir mit unseren Investitionen das richtige Mass an
Risikominderung im Cyberspace?
                                       Viele CISOs und CFOs haben die Art und Weise geändert, wie sie in
                                       Cybersicherheit investieren. Sie fällen datenbasierte Finanzierungsentscheid-

39%
                                       ungen unter Berücksichtigung der Geschäftsziele und der wichtigsten Risiken.
                                       Wegen der zunehmenden Verbreitung von Technologielösungen müssen Sie
                                       gemeinsam mit dem CISO einen holistischen Plan ausarbeiten, um Ihr
                                       Unternehmen auf allen Ebenen zu schützen und gleichzeitig die gesamte
                                       Unternehmenssoftware zu vereinfachen.
                                       Call to action:
der CFOs sagen, dass mehr Cybertech-
                                       • Bei der Modernisierung und Vereinfachung Ihrer IT sollten Sie sich fragen, wie
Lösungen zur Verbesserung der
Cybersicherheit beitragen werden.        Sie pro investiertem Franken die effektivste Reduktion Ihrer Cyberrisiken
                                         erzielen.

2023 Global Digital Trust Insights                                                                               September 2022
PwC                                                                                                                          20
Was können wir tun, um unsere Lieferkette und unsere
Betriebsabläufe widerstandsfähiger und weniger anfällig für
Cyberangriffe zu machen?
                                            Die Lieferkette ist ein Kernpunkt für Cyber- und andere Bedrohungen,
                                            Wettbewerbsdruck, makroökonomische Herausforderungen und ESG-Anliegen.

56%
                                            Starten Sie Ihre Sicherheitsinitiativen, indem Sie Ihre Mitarbeitenden schulen, in
                                            Technologie investieren und die Drittparteirisiken besser abdecken.
                                            Die wachsende Anziehungskraft der «Operational Technology» (OT) auf
                                            Bedrohungsakteure bedeutet, dass Sie diese Technologie besonders gut gegen
                                            Angriffe schützen sollten.
                                            Call to action:
der CROs und COOs sind äusserst oder
                                            • Planen Sie gemeinsam mit dem CISO und dem CIO, wie Sie Ihre OT- und Ihre
sehr besorgt, ob ihr Unternehmen
Angriffen auf die Lieferkette standhalten     IT-Systeme sichern können.
kann.

2023 Global Digital Trust Insights                                                                                      September 2022
PwC                                                                                                                                 22
Wie wirkt sich das Cyber-Risikoprofil auf die Risikotoleranz
unserer Organisation aus? Wie engagiert sind die Leitenden
der einzelnen Geschäftsbereiche im Umgang mit Cyberrisiken?
                                     CISOs und CROs arbeiten zusammen, um Cyberrisiken in das allgemeine
                                     Risikomanagement (ERM) des Unternehmens einzubeziehen. Aber es gibt immer

46%
                                     noch Lücken.
                                     Die fortschreitende Digitalisierung kann zu mehr Risiken führen, als Ihr
                                     Unternehmen verkraften kann. Um sich gegen immer raffiniertere Cyberangriffe zu
                                     wappnen, sollten Sie solide Pläne und Kontrollen für die betriebliche und
                                     technologische Widerstandsfähigkeit erstellen, testen und einführen.
                                     Call to action:
der CROs und COOs geben an,          • Überprüfen Sie Ihre Risikobereitschaft.
dass sie in ihrem ganzen             • Entwickeln Sie ein Resilienzprogramm, das die Kernkompetenzen
Unternehmen Kontrollen haben, die      Krisenmanagement, Betriebskontinuität, Wiederherstellung und Incident
schwerwiegende Cyberstörungen          Response umfasst, sodass Sie unternehmensweit kohärent reagieren können.
verhindern sollen.

2023 Global Digital Trust Insights                                                                          September 2022
PwC                                                                                                                     24
Wie können wir Kundendaten sicher verwalten und nutzen?

                                     Datenverantwortliche (CDOs) müssen sich vielen Herausforderungen stellen, da
                                     Daten – im Guten wie im Schlechten – in den Mittelpunkt gerückt sind. Die Hälfte

31%
                                     der Führungskräfte hat nicht genug Vertrauen in die Datenverwaltung und -
                                     sicherheit ihres Unternehmens, um datenbasierte Entscheidungen zu treffen.
                                     Die gute Nachricht: CDOs erhalten immer mehr Verantwortung und Befugnisse für
                                     die Datensicherheit und den Datenschutz. Eine Partnerschaft mit Ihrem CISO
                                     kann Ihnen helfen, Daten und persönliche Informationen besser zu schützen.
                                     Call to action:
der CDOs, CPOs und CMOs haben eine
                                     • Arbeiten Sie mit Ihrem CISO zusammen, um die Erwartungen der
sehr gute Beziehung zum CISO und
berücksichtigen Datenschutz und        verschiedenen Stakeholder zu erfüllen und alle wichtigen Aspekte der
Sicherheit im Marketing.               Datensicherheit und des Datenschutzes abzudecken, einschliesslich
                                       Governance, Datenzugang und Genauigkeit der Daten.

2023 Global Digital Trust Insights                                                                            September 2022
PwC                                                                                                                       26
Wie können wir schneller Cyberfachkräfte rekrutieren und
unsere Talente an uns binden?

                                            CISOs und CHROs brechen mit alten Mustern und erweitern die Suchparameter
                                            für neue Talente über Zertifizierungen und technische Abschlüsse hinaus. Indem

54%
                                            sie anerkennen, dass Eigenschaften wie Problemlösungsfähigkeit mindestens
                                            genauso wichtig sind, vergrössern sie den Pool ihrer Kandidatinnen und
                                            Kandidaten.
                                            In der Zwischenzeit sollten Sie Ihre Mitarbeitenden schulen und «Managed Cyber
                                            Defence»-Services in Anspruch nehmen, um die Cybersicherheit Ihres
                                            Unternehmens zu gewährleisten.
der CISOs und CIOs sagen,                   Call to action:
Personalfluktuation sei ein Problem. Etwa
40% beobachten die Situation genau;         • Stellen Sie sich die Frage, welche Fähigkeiten Sie in Ihrem Cyberprogramm
15% stellen fest, dass Fachkräftemangel       brauchen, passen Sie Ihre Rekrutierungsmethoden entsprechend an und bieten
den Fortschritt bei den Cyberzielen           Sie Ihren Cybertalenten Anreize und Entwicklungsmöglichkeiten, die sie zum
bremst.                                       Bleiben motivieren.

2023 Global Digital Trust Insights                                                                                  September 2022
PwC                                                                                                                             28
Notwendigkeit der
Kooperation auf C-
Level-Ebene

Ein Cyberangriff mit katastrophalen Folgen (z.B.
Ransomware, Angriffe von Nationalstaaten auf kritische
Infrastruktur) ist das wichtigste Szenario in
organisatorischen Resilienzplänen im Jahr 2023. Eine
solche Attacke würde die Kooperation sicherlich hart auf
die Probe stellen.

PwC                                                        29
38% rechnen im Jahr 2023 mit schwereren Angriffen über
cloudbasierte Dienste

Der Vorfall:                         Folgen:                             Was schief lief:

Angreifende nutzen eine              Ressourcen-intensiver und           Programmierfehler, unzureichende
Fehlkonfiguration in einer in der    kostspieliger Benachrichtigungs-    Tests von Code Libraries,
Cloud gehosteten App des             prozess der Dateneigentümer. Die    unzureichend verschlüsselte Daten.
Unternehmens aus und stehlen         Opfer könnten eine Sammelklage
Nutzerdaten, um sie auf dem          gegen Ihr Unternehmen einreichen.
Schwarzmarkt zu verkaufen.           Der Ruf des Unternehmens leidet.

2023 Global Digital Trust Insights                                                                   September 2022
PwC                                                                                                              30
Wie grösserer Schutz
möglich wird
• CIO: Beharren Sie auf «Security-as-Code»-Methodologien bei der
  Anwendungsentwicklung und führen Sie gründliche Tests vor der
  Einführung durch. Beseitigen Sie Fehlkonfigurationen, die sowohl
  von Nutzer:innen als automatischem Deployment ausgehen
  können.
• CISO: Legen Sie Richtlinien und Verfahren fest, die die
  Anwendungssicherheit erhöhen, Vulnerability Tests und ein
  regelmässiges Patch Management beinhalten und setzen sie diese
  konsequent durch.
• CTO: Stellen Sie sicher, dass Sie von Cloud-Providern und
  Drittanbietern Dashboards und Tools zur Verfügung gestellt
  kriegen, mit denen sie Fehlkonfigurationen in deren Umgebungen
  leichter erkennen können.
• CDO: Stellen Sie sicher, dass Ihre Anwendungen die
  Datenschutzanforderungen erfüllen und dass Kundendaten
  partitioniert werden. Nutzen Sie Lösungen, die sicherstellen, dass
  Daten im Ruhezustand («Data at Rest»), bei der Übertragung
  («Data in Transit») und während der Nutzung verschlüsselt sind.

PwC                                                                    31
29% der grossen Unternehmen rechnen mit einem Anstieg an
Angriffen auf OT-Netzwerke

 Der Vorfall:                         Folgen:                               Was schief lief:

 Endgeräte einer Fabrik werden über   Die Produktion kommt zum Erliegen,    Hacker:innen griffen auf
 ein webbasiertes virtuelles          da die Systeme heruntergefahren       ungeschützte Virtual Network
 Servernetzwerk angegriffen.          werden müssen, um eine weitere        Computing-Server zu, ohne sich
                                      Ausbreitung zu verhindern; die        authentifizieren zu müssen und
                                      Auswirkungen der Produktions-         konnten so in Systeme eindringen,
                                      verzögerungen ziehen sich durch die   die industrielle Fertigungsprozesse
                                      gesamte Lieferkette.                  steuern.

2023 Global Digital Trust Insights                                                                        September 2022
PwC                                                                                                                   32
Wie grösserer Schutz
möglich wird
• CIO: Erfassen Sie zusammen mit dem CTO kritische
  Abhängigkeiten und Konvergenzen zwischen IT- und OT-
  Systemen.
• CISO: Verlangen Sie Zugriff via VNC oder über ein VPN. Schulen
  Sie IT- und OT-Mitarbeiter:innen und weiteres Sicherheitspersonal
  damit Indikatoren für eine mögliche Gefährdung frühzeitig erkannt
  werden.
• CTO: Erstellen Sie gemeinsam mit dem CISO und CIO einen Plan,
  um das Patch-Management und Monitoring von Endpoints zu
  verbessern.
• CRO: Bewerten Sie die VNC-Risiken. Entwickeln und üben Sie
  Incident Response-Pläne, die IT- und OT-Prozesse beinhalten.
• COO: Berücksichtigen Sie die Cybersicherheit im
  Beschaffungsprozess für industrielle Steuerungssysteme, bei der
  Auftragsvergabe an Cloud-Anbieter und bei der Festlegung von
  Servicevereinbarungen mit externen Dienstleistern.

PwC                                                                   33
45% der Sicherheits- und IT-Führungskräfte erwarten einen
weiteren Anstieg von Ransomware-Angriffen

 Der Vorfall:                            Folgen:                               Was schief lief:

 Ein medizinischer Angestellter öffnet   Massive Unterbrechungen und           Die Antivirus-Software war veraltet und
 ein Dokument in einer Phishing-E-       nahezu vollständige Abschaltung der   hat die im Anhang eingebettete
 Mail und installiert dabei Malware.     Netzwerke.                            Malware nicht erkannt. Das Fehlen
                                                                               einer Multi-Faktor-Authentifizierung
                                                                               ermöglichte es den Angreifer:innen sich
                                                                               Zugang zum Unternehmensnetzwerk
                                                                               zu verschaffen, in dem sie acht Wochen
                                                                               lang unbemerkt blieben. Schliesslich
                                                                               kompromittierten sie ein Domain-
                                                                               Admin-Konto und verbreiteten weiter
                                                                               Malware, die einen Grossteil der
                                                                               zentralen IT-Infrastruktur lahmlegte und
                                                                               Backups kompromittierte.

2023 Global Digital Trust Insights                                                                             September 2022
PwC                                                                                                                        34
Wie grösserer Schutz
möglich wird
• CEO: Unterstützung von Schulungen zum Sicherheitsbewusstsein in der
  gesamten Organisation.
• CIO: Überprüfen Sie die Zusammenhänge zwischen IT-Systemen und dem
  Gesundheitsumfeld.
• CTO: Bewerten Sie die Anfälligkeit von medizinischen Geräten in einem Szenario.
• COO: Helfen Sie dem CIO und CISO bei der Bewertung der Auswirkungen auf die
  Patient:innensicherheit.
• CISO: Überbrücken Sie Sicherheitslücken zwischen der IT und dem Betrieb im
  Gesundheitswesen.
• CDO: Arbeiten Sie mit dem COO, CISO und CPO zusammen, um eine Bewertung
  des Schadens durch Diebstahl / Beschädigung von Kundendaten zu erstellen.
• CRO: Führen Sie Resilienztests mit Krisen- und BC/DR-Teams durch.
• CFO: Überprüfen Sie Ihre Ausgaben für die Cybersicherheit, einschliesslich einer
  Cyber-Versicherung, mit dem CISO und CIO unter Berücksichtigung der
  entdeckten Schwachstellen. Legen Sie Richtlinien zur Zahlung von Lösegeld fest.
• Verwaltungsrat: Fordern Sie Einblicke in die Übungen des Managements zur
  Vorbereitung auf einen Ransomware-Angriff. Legen Sie fest, wann der VR über
  einen Cybervorfall informiert werden soll.

PwC                                                                                  35
Zur Studie
Die Global Digital Trust Insights 2023 sind eine Umfrage unter 3’522 Führungskräften aus den
Bereichen Wirtschaft, Technologie und Sicherheit (CEOs, Unternehmensleiter, CFOs, CISOs,
CIOs und C-Suite-Verantwortliche), die im Juli und August 2022 durchgeführt wurde. Weibliche
Führungskräfte machen 31% der Stichprobe aus.

52 Prozent der Befragten sind Führungskräfte in grossen Unternehmen (Umsatz von 1 Milliarde
Dollar und mehr); 16% sind in Unternehmen mit einem Umsatz von 10 Milliarden Dollar oder
mehr tätig.

Die Befragten sind in einer Reihe von Branchen tätig: industrielle Fertigung (24%), Technologie,
Medien, Telekommunikation (21%), Finanzdienstleistungen (20%), Einzelhandel und
Verbrauchermärkte (18%), Energie, Versorgungsunternehmen und Ressourcen (9%),
Gesundheit (5%) sowie Regierung und öffentliche Dienste (3%).

Die Befragten sind in verschiedenen Regionen ansässig: Westeuropa (31%), Nordamerika
(28%), Asien-Pazifik (18%), Lateinamerika (12%), Osteuropa (5%), Afrika (4%) und Naher Osten
(3%).

Der Global Digital Trust Insights Survey ist formell als Global State of Information Security
Survey (GSISS) bekannt.

PwC Research, das globale Kompetenzzentrum von PwC für Marktforschung und Einblicke,
führte diese Umfrage durch.

PwC                                                                                                36
Kontaktieren Sie uns

Urs Küderli                          Johannes Dohren                Yan Borboën
Partner                              Partner                        Partner
Leiter Cybersecurity und             Head of Cyber Resilience and   Digital Assurance &
Privacy,                             Defence,                       Cybersecurity und Privacy,
PwC Schweiz                          PwC Schweiz                    PwC Schweiz
Tel: +41 58 792 42 21                Tel: +41 58 792 22 20          Tel: +41 58 792 84 59
urs.kuederli@pwc.ch                  johannes.dohren@pwc.ch         yan.borboen@pwc.ch

2023 Global Digital Trust Insights                                                               September 2022
PwC                                                                                                          37
Danke
www.pwc.ch/dti2023

pwc.com

© 2022 PwC. All rights reserved. Not for further distribution without the permission of PwC. “PwC” refers to the network of member firms of PricewaterhouseCoopers
International Limited (PwCIL), or, as the context requires, individual member firms of the PwC network. Each member firm is a separate legal entity and does not act as
agent of PwCIL or any other member firm. PwCIL does not provide any services to clients. PwCIL is not responsible or liable for the acts or omissions of any of its
member firms nor can it control the exercise of their professional judgment or bind them in any way. No member firm is responsible or liable for the acts or omissions of
any other member firm nor can it control the exercise of another member firm’s professional judgment or bind another member firm or PwCIL in any way.
Sie können auch lesen