GLOBAL DIGITAL TRUST INSIGHTS 2023 - DIE SCHWEIZER ERGEBNISSE EINER WELTWEITEN PWC-BEFRAGUNG ZUM THEMA CYBERSICHERHEIT - BEI PWC SCHWEIZ
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Global Digital Trust Insights 2023 Die Schweizer Ergebnisse einer weltweiten PwC-Befragung zum Thema Cybersicherheit
Agenda 1. Einführung 03 2. Ausblick: Bedrohungslage 2023 06 3. Berichterstattung und Offenlegung 10 4. Cyber in der C-Suite 14 5. Notwendigkeit der Kooperation auf C-Level-Ebene 29 6. Zur Studie 36 2023 Global Digital Trust Insights September 2022 PwC 2
Kühne neue Welt Mehr als 70% der Befragten haben im vergangenen Jahr Verbesserungen bei der Cybersicherheit festgestellt – zurückzuführen auf Investitionen und verstärkter Zusammenarbeit auf Führungsebene. PwC 3
Führungskräfte stellen Verbesserungen der Cybersicherheit an verschiedenen Fronten fest Führungskräfte stellen Verbesserungen der Cybersicherheit an verschiedenen Fronten fest %-Anteil der Befragten, die davon berichten, dass ihr Cybersicherheitsteam in den letzten 12 Monaten folgende Tätigkeiten ausgeführt hat Schweiz 70% Global 66% Es hat die Sicherheit in Bezug auf Operational Technology (OT) verbessert 79% 73% Es hat unsere Fähigkeiten zum Schutz vor Ransomware verbessert 77% Es hat die Kollaboration von Operational 64% «SicherheitTechnology (OT)- / IT-Ingenieuren und Datenschutz» berücksichtigt verbessert 75% 66% Wert- und Effizienzsteigerung der Cyber-Ressourcen 75% Es hat die Kollaboration von Operational Technology (OT)- / IT-Ingenieuren 64% Kollaboration von Operational Technology (OT)- / IT verbessert 73% der 3’522 befragten Unternehmens-, Es hat auf einen Angriff wirksam reagiert und so wesentliche Unterbrechungen Es hat auf einen Angriff wirksam reagiert 63% unserer Arbeitsabläufe und/oder diesbezügliche Schäden verhindert 72% Sicherheits- und IT-Führungskräften Anticipated a Es newhat in Bezug cyber auf Digitalisierungsmassnahmen risk related ein neues to digital initiatives that allowed us to 54% haben im vergangenen Jahr manage it before it affected Cybersicherheitsrisiko our partners vorhergesehen or customers und dieses Risiko gesteuert 71% Verbesserungen bei der Cybersicherheit Es hat das Risikomanagement in Bezug auf die Lieferkette verbessert 51% 70% in ihren Unternehmen festgestellt, 26% Es hat funktionsübergreifende Massnahmen ergriffen, um neuen 64% Es hat funktionsübergreifende Massnahmen ergriffen gaben Verbesserungen in allen 10 Datenschutzvorschriften gerecht zu werden 70% Es hat Eine eine wesentliche wesentliche Cyber-Bedrohung Cyber-Bedrohung für für unser unser Unternehmen Unternehmen aufgedeckt aufgedeckt 54% Kategorien an und dafür gesorgt, dass diese unsere Arbeitsabläufe nicht beeinträchtigt 70% Frage: Bitte geben Sie an, ob das Cybersicherheitsteam Ihres Unternehmens in den letzten zwölf Monaten folgende Tätigkeiten ausgeführt hat. Grundlage: 3’522 Antworten | 70 Antworten aus der Schweiz 2023 Global Digital Trust Insights September 2022 PwC 4
Weniger als 40% geben an, neu aufkommende Cyberrisiken vollständig reduziert zu haben Weniger als 40% geben an, neu aufkommende Cyberrisiken vollständig reduziert zu haben %-Anteil der Befragten, die angeben, dass sie die folgenden Risiken vollständig oder mässig reduziert haben Schweiz 40% der Unternehmen aus der Global Technologie-, Kommunikations- und Ermöglichung von Remote- und hybriden Arbeitsplatzmodellen 87% 86% Medienbranche haben die Risiken in 71% Beschleunigte Cloud-Einführung Bezug zu einer beschleunigten Cloud- 84% 69% Einführung vollständig reduziert Erhöhte Datenvolumina 85% 73% Grosse Unternehmen (Umsatz höher Konvergenz von IT und Operational Tehnology (OT) 83% als 1 Mia. US-Dollar) geben signifikant Einführung neuer Produkte und/oder Dienstleistungen 74% 84% häufiger an, alle aufgeführten Risiken 49% Nutzung des Internet of Things vollständig reduziert zu haben 79% Digitalisierung der Liefermechanismen für Kund:innen (z. B. E- 74% Digitalisierung der Liefermechanismen für Kund:innen Nordamerikanische Unternehmen Commerce, Peer-to-Peer-Zahlungen) 83% 69% berichten signifikant häufiger von einer Digitalisierung der Lieferkette 84% vollständigen Risikominderung im Digitalisierung der Backoffice-Abläufe (ohne Supply Chain und 76% Kund:inneninteraktion), Kund:inneninteraktion), z.B. Finanztransformation z.B. Finantransformation 84% Vergleich zu den befragten west- und 50% Eintritt in neue Märkte osteuropäischen Unternehmen 79% Frage: Auf einer Skala von 1 bis 10, in welchem Umfang konnte Ihr Unternehmen die Cyberrisiken in Verbindung mit folgenden Aspekten in den letzten zwölf Monaten reduzieren? Grundlage: 3’522 Antworten | 70 Antworten aus der Schweiz Befragte, die eine vollständige oder mässige Reduktion angaben. 2023 Global Digital Trust Insights September 2022 PwC 5
Ausblick: Bedrohungslage 2023 Es gibt noch viel zu tun – in einem aktuell schwierigen wirtschaftlichen und geschäftlichen Umfeld PwC 6
Bedrohungsakteure, die Unternehmen im Jahr 2023 im Vergleich zu 2022 erheblich beeinflussen Unternehmen fürchten sich vor mehr Bedrohungen und Vorfällen im Jahr 2023 %-Anteil der Befragten, die angeben, dass die folgenden Akteure ihr Unternehmen 2023 im Vergleich zu 2022 negativ beeinflussen werden Schweiz 65% Global 73% Cyberkriminelle 65% 46% Hacktivist:innen/Hacker:innen 48% 40% InsiderBedrohung threat (current durchemployee, past employee, Insider (derzeitige contractor) Mitarbeiter:innen, ehemalige Mitarbeiter:innen, Auftragnehmer) 44% 29% der Studienteilnehmer erachten Wettbewerber 42% Cyberkriminelle für 2023 als die grösste Gefahr für ihr Unternehmen Nationalstaaten 29% 27% 3% Keine der genannten Optionen 4% Frage: Von welchen dieser Akteure gehen Sie davon aus, dass diese Ihr Unternehmen 2023 im Vergleich zu 2022 negativ beeinflussen werden? Grundlage: 3’522 Antworten | 70 Antworten aus der Schweiz 2023 Global Digital Trust Insights September 2022 PwC 7
Einfallstore, die sich Angreifende zunutze machen Angriffsvektoren %-Anteil der Befragten, die angeben, dass von den folgenden Schwachstellen im Jahr 2023 eine höhere Gefahr für Ihr Unternehmen ausgeht als 2022 Schweiz Grössere Unternehmen schätzen die Global Gefahr für Angriffe über die Software- Lieferkette (35%), cloudbasierte Mobile Geräte 33% 41% Dienste (43%) und Operational E-Mail 66% 40% Technology (29%) als signifikant höher 39% Cloudbasierte Dienste ein 38% Webanwendungen 44% 37% Personen oder User (Insider oder Social Engineering) 47% 37% Externe (Third Party) 39% 34% Endpoints (Desktops, Laptops) 26% 33% Software-Lieferkette (Software-Supply-Chain) oder Zugriff auf diese 31% 32% Remote-Access-Portale 29% 32% Internet of Things 17% 29% Operational Technology 13% 26% Frage: Über welchen Zugang erhalten Angreifer Zugriff auf Ihre Systeme? Wählen Sie diejenigen Schwachstellen aus, von denen aus Ihrer Sicht im Jahr 2023 eine höhere Gefahr für Ihr Unternehmen ausgeht als im 2022. Grundlage: 3’522 Antworten | 70 Antworten aus der Schweiz 2023 Global Digital Trust Insights September 2022 PwC 8
Signifikante (weitere) Zunahme an Cybervorfällen im Jahr 2023 wird erwartet Cybervorfälle %-Anteil der Befragten, die angeben, dass die folgenden Angriffsszenarien im Jahr 2023 zunehmen werden Schweiz CISOs / CIOs / IT-Führungskräfte haben Global Kompromittierung durch geschäftliche Distributed-Denial-of-Service signifikant häufiger die folgenden Kompromittierung durch geschäftliche E-Mails Mails/Account-Übernahmen E- 33% 39% Distributed-Denial-of-Service(DDOS) (DDOS)-Angriffe 27% 25% Angriffsformen erwähnt: 51% 29% Ransomware Ausnutzung von Fehlkonfigurationen 32% 23% ● Ransomware (45%) Angriffe Angriffe auf auf Cloud-Management- Cloud-Management- 33% Ausnutzung von Zero-Day- 26% Schnittstellen 31% Schwachstellen 23% ● Angriffe auf Cloud-Dienste (36%) Schnittstellen Schwachstellen 36% 19% ● Ausnutzung von Zero-Day- Hack-and-Leak-Vorgänge 30% Desinformation 22% Schwachstellen (31%) Verstösse durch Drittparteien 29% 29% Missbrauch der Systeme zum Zweck Cryptomining 21% 20% von Cryptomining ● Ausnutzung von Fehlkonfigurationen 36% Kompromittierung durch Hardware 14% Angriffe auf Cloud-Dienste (31%) 28% innerhalb der der innerhalb Supply Chain Supply Chain 19% ● Verstösse durch Drittparteien («Third Kompromittierung Kompromittierung durch innerhalb durch Software der der innerhalb Supply Software Chain Supply Chain 19% 26% Spionage durch andere Staaten 19% 17% party breach») (42%) Diebstahl von von Diebstahl geistigem Eigentum geistigem zum Eigentum 16% von vonNationalstaaten Nationalstaatenfinanzierte finanzierte 19% zum Zweck Zweck der der Kommerzialisierung Kommerzialisierung 26% Angriffe auf kritische Infrastruktur 11% Angriffe auf das Industrial Industrial Internet Internet of of 19% 3% Keine der genannten Optionen Things(IIoT) Things (IIoT)oder oderOperational OT 26% 3% Technology (OT) Frage: Bei welchen der folgenden Angriffe auf Ihr Unternehmen gehen Sie davon aus, dass diese 2023 im Vergleich zu 2022 wesentlich zunehmen werden? Grundlage: 3’522 Antworten | 70 Antworten aus der Schweiz 2023 Global Digital Trust Insights September 2022 PwC 9
Berichterstattung und Offenlegung Offenlegung kommt allen zugute, und Unternehmen können aus den Angriffen auf andere Organisationen lernen. Vier Fünftel der Unternehmen weltweit sind der Meinung, dass eine obligatorische Offenlegung von Cybervorfällen in vergleichbaren und einheitlichen Formaten notwendig ist, um das Vertrauen der Stakeholder zu gewinnen. PwC 10
Eine gute Berichterstattung und Transparenz sind der Schlüssel zu einem sicheren Unternehmen Priorität unterschiedlicher Stakeholder-Gruppen in Unternehmen bei Cybersicherheitsfragen (Ranked index) Schweiz Eine gute Berichterstattung und Global Transparenz sind der Schlüssel zu einer 1. Verwaltungsrat 1. CEO erfolgreichen Zusammenarbeit, die für die 2. CEO 2. Verwaltungsrat Cybersicherheit entscheidend ist. Die 3.3.Beteiligte Beteiligteanander der 3. Beteiligte an der Value chain participants CEO- und Verwaltungsratsposition Wertschöpfungskette Wertschöpfungskette) Wertschöpfungskette) 4. Regulators 4. Für for consumer Verbraucher:innenschutz Agencies 4. responsible Nationale- for national oder kantonale or Stellen, nehmen bei der Einführung und Verbes- protection zuständige Regulierungsbehörden federal cybersecurity federal cybersecurity verantwortlich responses responses für Cybersicherheit serung von Sicherheitsprogrammen eine Agencies 5. responsible Nationale- for national oder kantonale or Stellen, 5. Regulators Für finanzielle Berichterstattung of financial reporting federal cybersecurity verantwortlich responses für Cybersicherheit zuständige Regulierungsbehörden zentrale Rolle ein. 6. Branchenspezifische 6. Branchenspezifische Regulierungsbehörden Regulierungsbehörden 7. Verbraucher:innenverbände 7. Consumer and other private und 7. FürAgencies lokale Cybersicherheitsmass- responsible for local advocacy sonstige private groups Interessenverbände cybersecurity cybersecurity nahmen responses responses verantwortliche Stellen 8. Regulators Für finanzielle Berichterstattung Consumer and other private 8. Verbraucher:innenverbände und 8. of financial reporting zuständige Regulierungsbehörden advocacy sonstige private groups advocacy groups Interessenverbände 9. FürAgencies responsible for local lokale Cybersicherheitsmass- 9. Für Verbraucher:innenschutz Regulators for consumer protection cybersecurity nahmen responses verantwortliche Stellen zuständige Regulierungsbehörden 10. Strafvervolgungsbehörden 10. Strafvervolgungsbehörden Frage: Mit Blick auf die Berichterstattung an die folgenden Stakeholder stufen Sie bitte jeden Stakeholder nach der Priorität für Ihr Unternehmen in den kommenden zwölf Monaten ein. Grundlage: 3’522 Antworten | 70 Antworten aus der Schweiz 2023 Global Digital Trust Insights September 2022 PwC 11
Weniger als 50% sind der Meinung, dass sie Cyber-Strategien und -Vorfälle effektiv nach aussen kommunizieren können Fähigkeit der Unternehmen, Cyber-Strategien und -Vorfälle nach aussen hin offenzulegen Schweiz Weniger als 10% sind bzgl. allen fünf Global Aussagen zuversichtlich. MeinMyUnternehmen organisation kann die erforderlichen can provide the requiredInformationen zu einem information about wesent- a material or 81% significant lichen incident within oder erheblichen Vorfallthe requireddes innerhalb reporting periodBerichtszeitraums festgelegten after the incident. 81% nach dem Vorfall vorlegen Unternehmen, die eine Zunahme an Cybervorfällen beobachten, stimmen den My organisation Mein can effectively Unternehmen assess the kann die Relevanz materiality eines of a cyber Cybervorfalls incident für die for der Zwecke the 84% purposes of reporting. Berichterstattung effektiv bewerten 80% Aussagen signifikant häufiger völlig oder eher zu. Mein Unternehmen My organisation cankann die vom describe the Verwaltungsrat verlangten, relevant cyber expertise on relevanten Fach- our board for the 71% kenntnisse zum Thema Cybersicherheit in der Berichterstattung beschreiben purposes of reporting. 78% Mein Unternehmen My organisation verfügt has a policy über which stating eine Richtlinie, informationdiecan festlegt, welche or cannot be 71% Informationen zudisclosed Cybervorfällen offengelegt regarding werden dürfen bzw. nicht cyber incidents. 76% offengelegt werden dürfen Mein Unternehmen kann Informationen My organisation can provideüber das Third-Party-Risk-Management information about third-party cyber risk 66% management. (TPRM) vorlegen 75% Frage: Bezugnehmend auf die Offenlegung von Cyber-Strategien oder -Vorfällen: Inwieweit stimmen Sie folgenden Aussagen zu bzw. nicht zu? Grundlage: 3’522 Antworten | 70 Antworten aus der Schweiz Befragte, die den Aussagen «völlig» oder «eher zustimmen» 2023 Global Digital Trust Insights September 2022 PwC 12
Status quo – Offenlegungspraktiken von Cybervorfällen Offenlegungspraktiken von Cybervorfällen Schweiz Vier Fünftel der Unternehmen weltweit Global sind der Meinung, dass eine Eine Meldepflicht von Cybervorfällen Mandatory disclosures in vergleichbarer of cyber incidents und einheitlicher which require comparableForm, and 66% consistent formats are necessary ist notwendig, um das to gain stakeholder Vertrauen confidence der Stakeholder and trust zu gewinnen 79% obligatorische Offenlegung von Cybervorfällen in vergleichbaren und Increased reporting to verbesserte Eine investors willBerichterstattung be a net benefit to anthe organisationwird Investor:innen and von the 67% entire ecosystem unmittelbarem Nutzen für das Unternehmen und das gesamte Ökosystem sein 76% einheitlichen Formaten notwendig ist, um We expect the government Wir erwarten, dass die to develop cyber Regierung techniques Empfehlungen fürfor theprivaten den private sector, Sektor das Vertrauen der Stakeholder zu based on the basierend knowledge auf base built Erkenntnissen from mandatory disclosures aus meldepflichtigen Cybervorfällenof cyber ableitet 57% incidents 75% gewinnen. WhenWenn we share information about wir Informationen cyber incidents zu Cybervorfällen in in our organisation unserem Unternehmenwith law mit 64% enforcement authorities, our teilen, Strafverfolgungsbehörden organisation receives erhält unser direct and tangible Unternehmen direkte und assistance in responding to the threats 71% materielle Unterstützung für die Reaktion auf diese Bedrohungen CurrentSchutz Der derzeitige liabilityvor andHaftung penalty und protection Strafenfor fürthose who share diejenigen, information is die Informationen 56% adequate weitergeben, ist angemessen 70% Ein umfassenderer Greater public öffentlicher information-sharing Informationsaustausch and transparency in Bezug on cyber matters auf is a risk 51% Cybervorfälle and cankönnen lead to zum Verlust loss of von Wettbewerbsvorteilen competitive advantage führen 70% Neue Anforderungen in Bezug auf die Meldepflicht von Cybervorfällen halten 43% New requirements forInformationen uns davon ab, mandatory disclosures of cyber incidents to zu mit Strafverfolgungsbehörden investors teilen. 64% Frage: Die folgenden Aussagen beziehen sich auf die Offenlegungspraktiken von Cybervorfällen: Inwieweit stimmen Sie folgenden Aussagen zur Position Ihres Unternehmens zu bzw. nicht zu? Grundlage: 3’522 Antworten | 70 Antworten aus der Schweiz Befragte, die den Aussagen «völlig» oder «eher zustimmen» 2023 Global Digital Trust Insights September 2022 PwC 13
Cyber in der C-Suite Das C-Suite-Playbook zur Cybersecurity und Privacy, gestützt durch die neuesten Ergebnissen unserer «Global Digital Trust Insights» zeigt, wie Führungskräfte zusammenarbeiten müssen, um eine cyberfähige Zukunft zu schaffen. PwC 14
Wo können Sie als CEO oder Verwaltungsratsmitglied am meisten für die Cybersicherheit tun? Die Digitalisierung macht Sicherheit zu einer Angelegenheit für alle, und dieser Kulturwandel beginnt beim CEO und Verwaltungsrat. Eine Steigerung der 51% Resilienz trotz angespanntem Cyber-Arbeitsmarkt kann nur gelingen, wenn die oberste Führungsebene mit dem CISO als Team zusammenarbeitet. Call to action: • Sprechen Sie über Ihr Cyber-Engagement. • Nutzen Sie Ihren Einfluss, um weitreichende Veränderungen anzuregen. • Beseitigen Sie organisatorische Hindernisse, welche die die Koordination mit der CEOs und Verwaltungsräte fordern der C-Suite bisher erschwerten. einen Plan für das Cyber-Risikomanage- ment bei grösseren geschäftlichen oder betrieblichen Veränderungen. 2023 Global Digital Trust Insights September 2022 PwC 16
Ist Ihr Cloud-Sicherheitsplan so anpassungsfähig wie es Ihr Unternehmen in der Cloud ist? CIOs und ihre DevOps-Teams geben oft das Tempo der Cloud-Einführung vor, aber Sie müssen enger mit Ihrem CISO und den Compliance-Teams 19% zusammenarbeiten, um der C-Suite und dem Verwaltungsrat die Angst vor Cloud- basierten Cybervorfällen zu nehmen. Fast zwei Drittel der Führungskräfte geben an, ihre Cloud-Risiken nicht vollständig reduziert zu haben. Call to action: • Zur Sicherung Ihrer Backend-, Frontend-, IoT- und OT-Technologien sollten Sie der CIOs, CISOs und CTOs sind sich frühzeitig und immer mit dem CISO zusammenarbeiten. sicher, dass ihr Unternehmen Massnahmen zum Schutz vor vier häufigen Ursachen für Cloud-Angriffen ergriffen hat. 2023 Global Digital Trust Insights September 2022 PwC 18
Investieren wir genug, und in den richtigen Bereichen? Erzielen wir mit unseren Investitionen das richtige Mass an Risikominderung im Cyberspace? Viele CISOs und CFOs haben die Art und Weise geändert, wie sie in Cybersicherheit investieren. Sie fällen datenbasierte Finanzierungsentscheid- 39% ungen unter Berücksichtigung der Geschäftsziele und der wichtigsten Risiken. Wegen der zunehmenden Verbreitung von Technologielösungen müssen Sie gemeinsam mit dem CISO einen holistischen Plan ausarbeiten, um Ihr Unternehmen auf allen Ebenen zu schützen und gleichzeitig die gesamte Unternehmenssoftware zu vereinfachen. Call to action: der CFOs sagen, dass mehr Cybertech- • Bei der Modernisierung und Vereinfachung Ihrer IT sollten Sie sich fragen, wie Lösungen zur Verbesserung der Cybersicherheit beitragen werden. Sie pro investiertem Franken die effektivste Reduktion Ihrer Cyberrisiken erzielen. 2023 Global Digital Trust Insights September 2022 PwC 20
Was können wir tun, um unsere Lieferkette und unsere Betriebsabläufe widerstandsfähiger und weniger anfällig für Cyberangriffe zu machen? Die Lieferkette ist ein Kernpunkt für Cyber- und andere Bedrohungen, Wettbewerbsdruck, makroökonomische Herausforderungen und ESG-Anliegen. 56% Starten Sie Ihre Sicherheitsinitiativen, indem Sie Ihre Mitarbeitenden schulen, in Technologie investieren und die Drittparteirisiken besser abdecken. Die wachsende Anziehungskraft der «Operational Technology» (OT) auf Bedrohungsakteure bedeutet, dass Sie diese Technologie besonders gut gegen Angriffe schützen sollten. Call to action: der CROs und COOs sind äusserst oder • Planen Sie gemeinsam mit dem CISO und dem CIO, wie Sie Ihre OT- und Ihre sehr besorgt, ob ihr Unternehmen Angriffen auf die Lieferkette standhalten IT-Systeme sichern können. kann. 2023 Global Digital Trust Insights September 2022 PwC 22
Wie wirkt sich das Cyber-Risikoprofil auf die Risikotoleranz unserer Organisation aus? Wie engagiert sind die Leitenden der einzelnen Geschäftsbereiche im Umgang mit Cyberrisiken? CISOs und CROs arbeiten zusammen, um Cyberrisiken in das allgemeine Risikomanagement (ERM) des Unternehmens einzubeziehen. Aber es gibt immer 46% noch Lücken. Die fortschreitende Digitalisierung kann zu mehr Risiken führen, als Ihr Unternehmen verkraften kann. Um sich gegen immer raffiniertere Cyberangriffe zu wappnen, sollten Sie solide Pläne und Kontrollen für die betriebliche und technologische Widerstandsfähigkeit erstellen, testen und einführen. Call to action: der CROs und COOs geben an, • Überprüfen Sie Ihre Risikobereitschaft. dass sie in ihrem ganzen • Entwickeln Sie ein Resilienzprogramm, das die Kernkompetenzen Unternehmen Kontrollen haben, die Krisenmanagement, Betriebskontinuität, Wiederherstellung und Incident schwerwiegende Cyberstörungen Response umfasst, sodass Sie unternehmensweit kohärent reagieren können. verhindern sollen. 2023 Global Digital Trust Insights September 2022 PwC 24
Wie können wir Kundendaten sicher verwalten und nutzen? Datenverantwortliche (CDOs) müssen sich vielen Herausforderungen stellen, da Daten – im Guten wie im Schlechten – in den Mittelpunkt gerückt sind. Die Hälfte 31% der Führungskräfte hat nicht genug Vertrauen in die Datenverwaltung und - sicherheit ihres Unternehmens, um datenbasierte Entscheidungen zu treffen. Die gute Nachricht: CDOs erhalten immer mehr Verantwortung und Befugnisse für die Datensicherheit und den Datenschutz. Eine Partnerschaft mit Ihrem CISO kann Ihnen helfen, Daten und persönliche Informationen besser zu schützen. Call to action: der CDOs, CPOs und CMOs haben eine • Arbeiten Sie mit Ihrem CISO zusammen, um die Erwartungen der sehr gute Beziehung zum CISO und berücksichtigen Datenschutz und verschiedenen Stakeholder zu erfüllen und alle wichtigen Aspekte der Sicherheit im Marketing. Datensicherheit und des Datenschutzes abzudecken, einschliesslich Governance, Datenzugang und Genauigkeit der Daten. 2023 Global Digital Trust Insights September 2022 PwC 26
Wie können wir schneller Cyberfachkräfte rekrutieren und unsere Talente an uns binden? CISOs und CHROs brechen mit alten Mustern und erweitern die Suchparameter für neue Talente über Zertifizierungen und technische Abschlüsse hinaus. Indem 54% sie anerkennen, dass Eigenschaften wie Problemlösungsfähigkeit mindestens genauso wichtig sind, vergrössern sie den Pool ihrer Kandidatinnen und Kandidaten. In der Zwischenzeit sollten Sie Ihre Mitarbeitenden schulen und «Managed Cyber Defence»-Services in Anspruch nehmen, um die Cybersicherheit Ihres Unternehmens zu gewährleisten. der CISOs und CIOs sagen, Call to action: Personalfluktuation sei ein Problem. Etwa 40% beobachten die Situation genau; • Stellen Sie sich die Frage, welche Fähigkeiten Sie in Ihrem Cyberprogramm 15% stellen fest, dass Fachkräftemangel brauchen, passen Sie Ihre Rekrutierungsmethoden entsprechend an und bieten den Fortschritt bei den Cyberzielen Sie Ihren Cybertalenten Anreize und Entwicklungsmöglichkeiten, die sie zum bremst. Bleiben motivieren. 2023 Global Digital Trust Insights September 2022 PwC 28
Notwendigkeit der Kooperation auf C- Level-Ebene Ein Cyberangriff mit katastrophalen Folgen (z.B. Ransomware, Angriffe von Nationalstaaten auf kritische Infrastruktur) ist das wichtigste Szenario in organisatorischen Resilienzplänen im Jahr 2023. Eine solche Attacke würde die Kooperation sicherlich hart auf die Probe stellen. PwC 29
38% rechnen im Jahr 2023 mit schwereren Angriffen über cloudbasierte Dienste Der Vorfall: Folgen: Was schief lief: Angreifende nutzen eine Ressourcen-intensiver und Programmierfehler, unzureichende Fehlkonfiguration in einer in der kostspieliger Benachrichtigungs- Tests von Code Libraries, Cloud gehosteten App des prozess der Dateneigentümer. Die unzureichend verschlüsselte Daten. Unternehmens aus und stehlen Opfer könnten eine Sammelklage Nutzerdaten, um sie auf dem gegen Ihr Unternehmen einreichen. Schwarzmarkt zu verkaufen. Der Ruf des Unternehmens leidet. 2023 Global Digital Trust Insights September 2022 PwC 30
Wie grösserer Schutz möglich wird • CIO: Beharren Sie auf «Security-as-Code»-Methodologien bei der Anwendungsentwicklung und führen Sie gründliche Tests vor der Einführung durch. Beseitigen Sie Fehlkonfigurationen, die sowohl von Nutzer:innen als automatischem Deployment ausgehen können. • CISO: Legen Sie Richtlinien und Verfahren fest, die die Anwendungssicherheit erhöhen, Vulnerability Tests und ein regelmässiges Patch Management beinhalten und setzen sie diese konsequent durch. • CTO: Stellen Sie sicher, dass Sie von Cloud-Providern und Drittanbietern Dashboards und Tools zur Verfügung gestellt kriegen, mit denen sie Fehlkonfigurationen in deren Umgebungen leichter erkennen können. • CDO: Stellen Sie sicher, dass Ihre Anwendungen die Datenschutzanforderungen erfüllen und dass Kundendaten partitioniert werden. Nutzen Sie Lösungen, die sicherstellen, dass Daten im Ruhezustand («Data at Rest»), bei der Übertragung («Data in Transit») und während der Nutzung verschlüsselt sind. PwC 31
29% der grossen Unternehmen rechnen mit einem Anstieg an Angriffen auf OT-Netzwerke Der Vorfall: Folgen: Was schief lief: Endgeräte einer Fabrik werden über Die Produktion kommt zum Erliegen, Hacker:innen griffen auf ein webbasiertes virtuelles da die Systeme heruntergefahren ungeschützte Virtual Network Servernetzwerk angegriffen. werden müssen, um eine weitere Computing-Server zu, ohne sich Ausbreitung zu verhindern; die authentifizieren zu müssen und Auswirkungen der Produktions- konnten so in Systeme eindringen, verzögerungen ziehen sich durch die die industrielle Fertigungsprozesse gesamte Lieferkette. steuern. 2023 Global Digital Trust Insights September 2022 PwC 32
Wie grösserer Schutz möglich wird • CIO: Erfassen Sie zusammen mit dem CTO kritische Abhängigkeiten und Konvergenzen zwischen IT- und OT- Systemen. • CISO: Verlangen Sie Zugriff via VNC oder über ein VPN. Schulen Sie IT- und OT-Mitarbeiter:innen und weiteres Sicherheitspersonal damit Indikatoren für eine mögliche Gefährdung frühzeitig erkannt werden. • CTO: Erstellen Sie gemeinsam mit dem CISO und CIO einen Plan, um das Patch-Management und Monitoring von Endpoints zu verbessern. • CRO: Bewerten Sie die VNC-Risiken. Entwickeln und üben Sie Incident Response-Pläne, die IT- und OT-Prozesse beinhalten. • COO: Berücksichtigen Sie die Cybersicherheit im Beschaffungsprozess für industrielle Steuerungssysteme, bei der Auftragsvergabe an Cloud-Anbieter und bei der Festlegung von Servicevereinbarungen mit externen Dienstleistern. PwC 33
45% der Sicherheits- und IT-Führungskräfte erwarten einen weiteren Anstieg von Ransomware-Angriffen Der Vorfall: Folgen: Was schief lief: Ein medizinischer Angestellter öffnet Massive Unterbrechungen und Die Antivirus-Software war veraltet und ein Dokument in einer Phishing-E- nahezu vollständige Abschaltung der hat die im Anhang eingebettete Mail und installiert dabei Malware. Netzwerke. Malware nicht erkannt. Das Fehlen einer Multi-Faktor-Authentifizierung ermöglichte es den Angreifer:innen sich Zugang zum Unternehmensnetzwerk zu verschaffen, in dem sie acht Wochen lang unbemerkt blieben. Schliesslich kompromittierten sie ein Domain- Admin-Konto und verbreiteten weiter Malware, die einen Grossteil der zentralen IT-Infrastruktur lahmlegte und Backups kompromittierte. 2023 Global Digital Trust Insights September 2022 PwC 34
Wie grösserer Schutz möglich wird • CEO: Unterstützung von Schulungen zum Sicherheitsbewusstsein in der gesamten Organisation. • CIO: Überprüfen Sie die Zusammenhänge zwischen IT-Systemen und dem Gesundheitsumfeld. • CTO: Bewerten Sie die Anfälligkeit von medizinischen Geräten in einem Szenario. • COO: Helfen Sie dem CIO und CISO bei der Bewertung der Auswirkungen auf die Patient:innensicherheit. • CISO: Überbrücken Sie Sicherheitslücken zwischen der IT und dem Betrieb im Gesundheitswesen. • CDO: Arbeiten Sie mit dem COO, CISO und CPO zusammen, um eine Bewertung des Schadens durch Diebstahl / Beschädigung von Kundendaten zu erstellen. • CRO: Führen Sie Resilienztests mit Krisen- und BC/DR-Teams durch. • CFO: Überprüfen Sie Ihre Ausgaben für die Cybersicherheit, einschliesslich einer Cyber-Versicherung, mit dem CISO und CIO unter Berücksichtigung der entdeckten Schwachstellen. Legen Sie Richtlinien zur Zahlung von Lösegeld fest. • Verwaltungsrat: Fordern Sie Einblicke in die Übungen des Managements zur Vorbereitung auf einen Ransomware-Angriff. Legen Sie fest, wann der VR über einen Cybervorfall informiert werden soll. PwC 35
Zur Studie Die Global Digital Trust Insights 2023 sind eine Umfrage unter 3’522 Führungskräften aus den Bereichen Wirtschaft, Technologie und Sicherheit (CEOs, Unternehmensleiter, CFOs, CISOs, CIOs und C-Suite-Verantwortliche), die im Juli und August 2022 durchgeführt wurde. Weibliche Führungskräfte machen 31% der Stichprobe aus. 52 Prozent der Befragten sind Führungskräfte in grossen Unternehmen (Umsatz von 1 Milliarde Dollar und mehr); 16% sind in Unternehmen mit einem Umsatz von 10 Milliarden Dollar oder mehr tätig. Die Befragten sind in einer Reihe von Branchen tätig: industrielle Fertigung (24%), Technologie, Medien, Telekommunikation (21%), Finanzdienstleistungen (20%), Einzelhandel und Verbrauchermärkte (18%), Energie, Versorgungsunternehmen und Ressourcen (9%), Gesundheit (5%) sowie Regierung und öffentliche Dienste (3%). Die Befragten sind in verschiedenen Regionen ansässig: Westeuropa (31%), Nordamerika (28%), Asien-Pazifik (18%), Lateinamerika (12%), Osteuropa (5%), Afrika (4%) und Naher Osten (3%). Der Global Digital Trust Insights Survey ist formell als Global State of Information Security Survey (GSISS) bekannt. PwC Research, das globale Kompetenzzentrum von PwC für Marktforschung und Einblicke, führte diese Umfrage durch. PwC 36
Kontaktieren Sie uns Urs Küderli Johannes Dohren Yan Borboën Partner Partner Partner Leiter Cybersecurity und Head of Cyber Resilience and Digital Assurance & Privacy, Defence, Cybersecurity und Privacy, PwC Schweiz PwC Schweiz PwC Schweiz Tel: +41 58 792 42 21 Tel: +41 58 792 22 20 Tel: +41 58 792 84 59 urs.kuederli@pwc.ch johannes.dohren@pwc.ch yan.borboen@pwc.ch 2023 Global Digital Trust Insights September 2022 PwC 37
Danke www.pwc.ch/dti2023 pwc.com © 2022 PwC. All rights reserved. Not for further distribution without the permission of PwC. “PwC” refers to the network of member firms of PricewaterhouseCoopers International Limited (PwCIL), or, as the context requires, individual member firms of the PwC network. Each member firm is a separate legal entity and does not act as agent of PwCIL or any other member firm. PwCIL does not provide any services to clients. PwCIL is not responsible or liable for the acts or omissions of any of its member firms nor can it control the exercise of their professional judgment or bind them in any way. No member firm is responsible or liable for the acts or omissions of any other member firm nor can it control the exercise of another member firm’s professional judgment or bind another member firm or PwCIL in any way.
Sie können auch lesen