MIT SICHERHEIT VORAUS.

CYBER RISK SURVEY REPORT 2016 CYBER RISK AUS SCHWEIZER SICHT

3

1 VORWORT 5

2 ÜBER DEN REPORT 6

3 ERKENNTNISSE UND KOMMENTARE 8

3.1 BEWUSSTSEIN FÜR CYBER-RISIKEN STEIGT 8

3.2 IDENTIFIKATION UND FINANZIERUNG VON CYBERRISIKO-BEDINGTEN SCHÄDEN 11

3.3 ABSCHLÜSSE VON CYBER-VERSICHERUNGEN NEHMEN ZU 14

3.4 RISIKOBEWERTUNG VON ZULIEFERERN 17

4 SCHLUSSFOLGERUNGEN 18

CYBER RISK SURVEY REPORT 2016 CYBER RISK AUS SCHWEIZER SICHT

5

1 VORWORT

DIGITALISIERUNG UND NEUE RISIKEN Cyber-Risiken zählen zu den grössten Risiken des 21. Jahrhunderts. Die rasant fortschreitende Digitalisie-rung bietet Unternehmen grosse Rationalisierungs-, Expansions- und Wachstumschancen und sorgt für eine sich rasch wandelnde Cyber-Risiko-Landschaft. Was heute als Gefahr wahrgenommen wird, kann morgen bereits nicht mehr relevant sein.

Neben neuen Chancen führt die Digitalisierung auch zu einer erhöhten Abhängigkeit der Unternehmen von tadellos funktionierenden IT-Systemen und stets verfügbaren unversehrten Daten und somit zu neuen Risiken für Unternehmen. Die zunehmenden Cyber-Schadenfälle der letzten Jahre haben deutlich gemacht, dass Cyber-Risiken ernst zu nehmende Unternehmensrisiken sind und aus dem heutigen Geschäftsalltag nicht mehr wegzudenken sind.

UMFRAGE VON MARSHUnser Netzwerkpartner Marsh führt jedes Jahr eine gesamteuropäische branchenübergreifende Umfrage durch, welche den Umgang von Unternehmen mit Cyber-Risiken sowie deren Gefahrenpotenzial im Geschäftsalltag untersucht. Wir haben uns daran be-teiligt und alle international tätigen Kunden zur Teilnahme am «Continental European Cyber Risk Survey Report: 2016 Report» eingeladen.

ERNÜCHTERNDE ERGEBNISSEGemäss den Schweizer Umfrageergebnissen trägt das Management in lediglich 14 % der Unternehmen die Verantwortung für die betriebseigenen Cyber- Risiken, während sich in 68 % der Fälle immer noch die IT-Abteilung dieser Risiken annimmt. Dies, ob-wohl Cyber-Risiken in erster Linie Unternehmens- risiken sind und nicht mehr in den alleinigen Verant-wortungsbereich der IT-Abteilung gehören, sondern

in den Fokus des betrieblichen Risk Management und somit auf die Führungsebene der Unternehmen. Das führt unter anderem dazu, dass Cyber-Risiken vor allem auf der technischen Ebene angegangen werden.

60 % der Schweizer Umfrageteilnehmer haben aus- serdem ihre betriebseigenen Cyber-Schadenssze- narien bislang weder analysiert noch berechnet, während 53 % für den Worst-Case nicht gewappnet sind bzw. keinen Reaktionsplan ausgearbeitet haben.

SCHWEIZDie digitale Welt kennt keine Grenzen. So halten auch Cyber-Kriminelle vor der Schweizer Landes-grenze nicht ein. Die seit einigen Jahren zunehmen-den Cyber-Schadenszenarien bereiten den Akteuren der Schweizer Wirtschaft zunehmend Sorgen. Wenn-gleich das Bewusstsein für Cyber-Risiken zum Vor-jahr um das Doppelte gestiegen ist, verdeutlichen die Umfrageresultate, dass die Schweizer Unternehmen im Umgang mit Cyber-Risiken erst am Anfang stehen.

Auf den folgenden Seiten haben wir für Sie die Er-gebnisse der Umfrage von Marsh für die Schweiz ausgewertet und die wichtigsten Erkenntnisse kom-mentiert.

Wir freuen uns, wenn Ihnen die nachfolgenden Aus-führungen zu einem Überblick über den Stand der Cyber-Risiken in der Schweiz verhelfen und Sie durch den einen oder anderen Denkanstoss weiter-führende Erkenntnisse für Ihren Cyber-Risk-Mana- gement-Prozess gewinnen können.

Dr. Helmut Studer Melanie Koller Mitglied der Legal Counsel Geschäftsleitung Cyber Risk

2 ÜBER DEN REPORT

6

32 % 23 %

22 %1 BIS 99 MITARBEITENDE

ÜBER 1000 MITARBEITENDE

23 %250 BIS 1000 MITARBEITENDE

100 BIS 249 MITARBEITENDE

UNTERNEHMENSGRÖSSE

Dieser Report basiert auf der Umfrage von Marsh «Continental European Cyber Risk Survey: 2016 Report». Wir haben aus den von Marsh ausgewerteten Ergebnissen die wichtigsten Erkenntnisse aus Schweizer Sicht kommentiert und zusammengefasst.

An der Cyber-Risiko-Umfrage haben europaweit über 2900 Unternehmen teilgenommen – davon 293 unserer Kunden aus der Schweiz.

Beinahe ein Drittel der Schweizer Unternehmen, die an der Umfrage teilnahmen, beschäftigen über 1000 Mit- arbeitende, während 23 % zwischen 250 und 1000 Mitarbeitende zählen. Die für den Werkplatz Schweiz prägenden KMU mit maximal 249 Mitarbeitenden sind in der Umfrage mit repräsentativen 45 % vertreten.

Die Branchenzugehörigkeit der Schweizer Umfrage-teilnehmer ist vielfältig. Mit beinahe einem Drittel ist die Industriebranche (Pharma, Chemie, Anlagen- und Maschinenbau, Automobil, Lebensmittel, Infra-struktur und Bauwesen, Transport, Luftfahrt) am stärksten vertreten.

7

30 %

25 %

20 %

15 %

10 %

5 %

0 %

Industriebranchen 32%Andere 28%Gesundheitswesen 10%

Finanzindustrie 8%Handel 7%Öffentliche Hand 7%

Energie, Strom und Versorgung 5%Kommunikation, Medien, Technologie 3%

BRANCHENZUGEHÖRIGKEIT

8

90 %

80 %

70 %

60 %

50 %

40 %

30 %

20 %

10 %

0 %

Volles Bewusstsein2016: 36 %2015: 18 %

Beschränktes Bewusstsein2016: 60 %2015: 82 %

Kein Bewusstsein2016: 4 %2015: 0 %

2015 2015 20152016 2016 2016

3.1 BEWUSSTSEIN FÜR CYBER-RISIKEN STEIGT

Im Vergleich zu 2015 ist ein Fortschritt in Bezug auf das Bewusstsein zu erkennen. Die Verant-wortung für den Umgang mit Cyber-Risiken ist auf jeder Stufe des Unternehmens zu über-nehmen.

Obwohl das Bewusstsein für Cyber-Risiken in der Schweiz im Vergleich zum Vorjahr um das Doppelte gestiegen ist (2016: 36 %; 2015: 18 %) und Cyber- Risiken teilweise bereits im Risikoregister einzelner Unternehmen aufgeführt sind, zeigen die Umfrage- ergebnisse deutlich auf, dass wir im Umgang mit Cyber-Risiken erst am Anfang stehen.

Gemäss Grafik 1 geben zwei Drittel der Schweizer Unternehmen an, über ihre Exposition gegenüber Cyber-Risiken ein beschränktes bis gar kein Wissen zu haben. Ein solch mangelhaftes Bewusstsein für Cyber-Risiken kann für ein Unternehmen verhee- rend sein. Oftmals ist der erfolgte sichtbare Schaden in finanzieller Hinsicht das kleinere Problem. Belas-tend wirken sich vielmehr die auf den ersten Blick nicht unmittelbar vorhersehbaren Folgekosten aus, wie zum Beispiel Kosten für die Wiederherstellung des normalen Geschäftsbetriebs, Kosten im Zusam-menhang mit der Ersatzbeschaffung von Soft- oder Hardware, Kosten für Benachrichtigung bei Daten-schutzverstössen, Aufwendungen für allfällige gericht- liche Verfahren und dergleichen.

3 ERKENNTNISSE UND KOMMENTARE

GRAFIK 1

Wie gross ist das Bewusstsein in Ihrem Unternehmen hinsichtlich der Gefährdungdurch Cyber-Risiken?

9

GRAFIK 2

Welchen Stellenwert haben Cyber-Risikenin Ihrem Unternehmen?

Cyber-Risiken gehören zu den Top 5 im Risikoregister: 26 %Cyber-Risiken sind im Risikoregister, aber nicht unter den Top 5 aufgeführt: 58 % Cyber-Risiken haben keinen Stellenwert: 15 % Wir haben kein Risikoregister: 1 %

Aus den Umfrageergebnissen geht hervor, dass die Schweizer Unternehmen den Cyber-Risiken einen geringeren Stellenwert beimessen als Unternehmen im übrigen Europa. Nur für 26 % der Schweizer Un-ternehmen (Europa 32 %) gehören die Cyber-Risi-ken zu den Top 5 Unternehmensrisiken, während 58 % (Europa 41 %) die Cyber-Risiken nicht den Top 5 Risiken zuordnen und 16 % (Europa 27 %) der Teil-nehmer gar angeben, den Cyber-Risiken überhaupt keinen Stellenwert einzuräumen (Grafik 2). Diese Ergebnisse erstaunen nicht. Wurden doch die meis-ten Schweizer Unternehmen – zumindest bislang – von bilanzkritischen Aufwendungen infolge Cyber- Risiken verschont.

Die virtuelle Welt ist in jeder Hinsicht grenzenlos, die Cyber-Kriminellen unberechenbar und die finan- ziellen Auswirkungen schwer quantifizierbar. Es ist lediglich eine Frage der Zeit, bis der Schweizer Fi-nanzplatz vermehrt in den Fokus von Cyber-Krimi-nellen gerät. Im Wissen um diese Tatsache sowie im Rahmen einer optimalen Corporate Governance sind Unternehmen deshalb gut beraten, sich der Cyber- Risiken ernsthaft anzunehmen.

58%NICHT UNTERTOP 5

10

In der Schweiz tragen in erster Linie immer noch die IT-Abteilungen (2016: 70 %; 2015: 86 %) die Verant-wortung für das Cyber-Risiko-Management, während die Unternehmensführung in lediglich 13 % (2015: 5 %) der Fälle die leitende Instanz bildet (Grafik 3).

Der heutige Geschäftsalltag setzt stets verfügbare unversehrte Daten sowie störungsfreie rund um die Uhr funktionierende IT-Systeme voraus. Die IT- Abteilung ist dafür qualifiziert, eine optimale Cyber- Sicherheit zu gewährleisten. Sie ist allerdings weder

in der Lage, geschäfts- und umsatzkritische Prozesse umfassend zu definieren noch die finanziellen Aus-wirkungen infolge eines Cyber-Vorfalls im gesamten Unternehmen einzuschätzen. Des Weiteren ist die IT-Abteilung nicht in der Position, die finanziellen Auswirkungen zu berechnen, zu bewerten und die entsprechenden Bewältigungsstrategie durchzuset-zen. Im Schadenfall hat letztlich immer die Unter-nehmensführung den Aktionären, Investoren, Mit-arbeitenden, Datenschutzbehörden etc. Rede und Antwort zu stehen.

GRAFIK 3

Welcher der folgenden Bereiche ist für das Management von Cyber-Risiken in Ihrem Unternehmen verantwortlich?

70 %

60 %

50 %

40 %

30 %

20 %

10 %

0 %

3

IT-Abteilung 70 %Management 13 %

Risikomanager 10 % Rechtsabteilung 1 %

Externe Berater 2 %Finanzabteilung 3 %

Andere 1 %

11

Ein Mangel an Übersicht hindert Unternehmen daran, eine adäquate Bewertung ihrer Cyber- Risiken vorzunehmen.

Immerhin geben 66 % der Schweizer Unternehmen an, ihre potenziellen Cyber-Schadenszenarien identi- fiziert zu haben (Grafik 4). Allerdings fehlt es an den notwendigen weiteren Schritten. Seit 2015 ist in Ge-samteuropa gemäss Umfrageergebnissen weder die Fähigkeit der Unternehmen gestiegen, potenzielle cyberbedingte Auswirkungen zu quantifizieren, noch treffen sie adäquate Vorbereitungen für den Ernstfall wie z. B. ein Notfallmassnahmenplan.

Cyber-Risiken treffen ein Unternehmen immer un-terschiedlich heftig und deren Ursachen müssen nicht immer krimineller Natur sein. Die Cyber-Kri-minalität ist jedoch weit verbreitet und aufgrund ihres grossen Unsicherheitsfaktors zu Recht gefürch-tet: Weder der Angreifer noch seine Motivation ist dem Opfer bekannt. Was ist also zu tun? Eine 100 %ige Cyber-/IT-Sicherheit kann es nicht geben. Zu schnell werden neue Viren entwickelt und zu gross ist die Motivation von Cyber-Saboteuren, auch ohne finan-zielle Motive neue Sicherheitslücken zu finden. Ein Hacker ist uns naturgemäss immer einen Schritt vo-raus. Er entscheidet über die Art und Weise eines Angriffs und dessen Zeitpunkt. Ein Unternehmen muss also stets mit einem Hacker-Angriff rechnen, seine wichtigsten Daten und Prozesse kennen, diese mit Priorität schützen und mit einem durchdachten Finanzierungsplan für den Ernstfall gerüstet sein.

3.2 IDENTIFIKATION UND FINANZIERUNG VON CYBERRISIKO-BEDINGTEN SCHÄDEN

NUR IN 13 % DER UNTERNEH-

MEN LIEGT DIE VERANTWOR-

TUNG FÜR CYBER-RISIKEN

BEIM MANAGEMENT. 47 %

DER UNTERNEHMEN VERFÜ-

GEN ÜBER KEINE RISIKO-

FINANZIERUNGSSTRATEGIE.

80 %

60 %

40 %

20 %

0 %

Ja2015: 68 % 2016: 66 %

Nein2015: 32 % 2016: 34 %

Haben Sie in Ihrem Unternehmen cyberbedingte Schadensszenarien identifiziert?

GRAFIK 4

2015 20152016 2016

12

GRAFIK 5

Hat Ihr Unternehmen einen Plan für die Finanzierung von cyberbedingten Schäden?

Eigentragung 40%Risikotransfer 13%Nein 47%

3

In der Schweiz tragen 40 % der Unternehmen die durch Cyber-Risiken verursachten Schäden selber, während lediglich 13 % einen Risikotransfer mittels Versicherung vorsehen. Auffallend ist, dass beinahe die Hälfte der Umfrageteilnehmer bislang keine Strategie zur Finanzierung von Cyber-Schadenfällen definiert hat (Grafik 5).

Angesichts der Komplexität der Cyber-Risiko-Land-schaft und der zunehmenden Digitalisierung vieler Branchen, wird der Überblick über die Daten und Pro- zesse im eigenen Unternehmen zunehmend schwie-

GRAFIK 6

Wie hoch schätzen Sie die finanziellenAuswirkungen eines Cyber-Risiko-Szenarios?

EUR 1 Million oder weniger 16 %EUR 1 Million bis 5 Millionen 13 % EUR 5 Millionen bis 10 Millionen 3 % EUR 10 Millionen und mehr 9 % Keine Schadenschätzung 59 %

riger. Es ist deshalb empfehlenswert, die für das Un-ternehmen wertvollsten Daten sowie die strategisch wichtigsten und umsatzträchtigsten Prozesse zu defi-nieren, zu quantifizieren und mit Priorität zu schützen.

Lediglich 41 % der Umfrageteilnehmer haben ihre finanziellen Auswirkungen infolge eines Cyber-An-griffs quantifiziert. Dies ist besorgniserregend, da die Schweiz aufgrund ihrer hochentwickelten Infra-struktur und exklusiven Finanzdienstleistungsbran-che immer mehr in den Fokus von Cyber-Kriminel-len rücken wird (Grafik 6).

40%EIGENTRAGUNG

59%KEINE SCHÄTZUNG

13

50 %

40 %

30 %

20 %

10 %

0 %

Ja2016: 47 %

Nein2016: 44 %

weiss nicht2016: 9 %

GRAFIK 7

Hat Ihr Unternehmen einen Notfall-Reaktions-plan für Cyber-Angriffe?

Cyber-Risiken stellen den Werkplatz Schweiz vor grosse Herausforderungen. Das Internet of Things sowie die Industrie 4.0. bringen wertvolle Vorteile mit sich, bergen aber ebenso viele neue Risiken. Jede neue digitale Schnittstelle stellt ein neues Risiko dar. Der Notfall muss vorbereitet sein. Adäquate Notfall-Reaktionspläne (Desaster Recovery Plan, Business Continuity Plan etc.) gilt es zu schaffen, um im Falle eines Cyber-Schadenereignisses den eigenen Betrieb existenziell nicht zu gefährden. In der Praxis stellen wir immer wieder fest, dass es vielen Unternehmen am Know-how fehlt, adäquate IT-technische Prä-ventionsmassnamen zu treffen sowie praxistaugliche Notfallkonzepte zu entwickeln.

Unsere Wahrnehmung deckt sich mit dem uns vor-liegenden Resultat, wonach mehr als die Hälfte der Schweizer Umfrageteilnehmer über keinen Notfall-Reaktionsplan für Cyber-Angriffe verfügt (Grafik 7).

53 % DER UNTERNEHMEN

VERFÜGEN ÜBER KEINEN

NOTFALL-REAKTIONSPLAN

FÜR CYBER-ANGRIFFE.

14

3

3.3 ABSCHLÜSSE VON CYBER-VERSICHERUNGEN NEHMEN ZU

Immer mehr Unternehmen schliessen eine Cyber-Versicherung ab. Die Versicherung des Betriebsunterbruchs steht dabei im Fokus.

Der Abschluss von Cyber-Versicherungen nimmt schweizweit zu – im Vergleich zum übrigen Europa oder den USA allerdings etwas verhaltener. Von un-seren Kunden haben 32 % eine Cyber-Versicherung abgeschlossen, sind aktuell im Vertragsprozess oder planen entsprechende Angebote in den nächsten 12 Monaten zu prüfen. Die restlichen zwei Drittel sind vermutlich Unternehmen, die sich mit den branchen-spezifischen Cyber-Risiken noch nicht genug aus-einandersetzen konnten (Grafik 8).

Während im US-amerikanischen Raum die Data- Breach-Deckungen vorwiegen, liegt der Fokus in Europa bei Cyber-Versicherungsdeckungen für Be-triebs- und Netzwerkunterbrüche infolge Hacker- Attacken, physischer Angriffe, menschlichen oder technischen Versagens.

Für US-amerikanische Unternehmen gehört die Cy-ber-Versicherung bereits zur Standardversicherung. Der Grund dafür sind regulatorische Anforderungen in Form gesetzlich verankerter Meldepflichten (Security breach notification laws) nach erfolgter Verletzung der Datensicherheit oder des Datenschutzes z. B. infolge eines Hacker-Angriffs. Sie verpflichten Un-ternehmen im Grundsatz dazu, die entsprechende Aufsichtsbehörde sowie die betroffene natürliche Person innerhalb einer vorgegebenen Frist unter an-derem über die Art des Vorfalls, die Qualität der ver-lorenen Daten und die möglichen Konsequenzen für den Betroffenen sowie über entsprechende Mass- nahmen zur Behebung des Vorfalles und künftiger Präventionsmassnahmen zu informieren. Damit ver- bundene Kosten können Schweizer Unternehmen mit Tochtergesellschaften in den USA mittels einer Cyber-Versicherung versichern lassen.

GRAFIK 8

Wie ist Ihr Unternehmen derzeit beim Cyber-Versicherungsschutz aufgestellt?

Hat eine Cyber-Versicherung abgeschossen 5 % Ist dabei, eine Cyber-Versicherung abzuschliessen 3 %

Plant, in den nächsten 12 Monaten Offerten für Cyber-Versicherungen einzuholen 24 %Hat nicht die Absicht, eine Cyber-Versicherung abzuschliessen 68 %

68%KEINE ABSICHT

15

Für Schweizer Unternehmen werden vergleichbare Meldepflichten in nächster Zukunft auch zum Ge-schäftsalltag gehören. In der EU-Datenschutzgrund-verordnung (definitive Wirkung per 25. Mai 2018) sowie in der laufenden 2. Revision des Schweizer Da-tenschutzgesetzes sind vergleichbare Meldepflichten ausdrücklich vorgesehen. Der damit für einen Betrieb verbundene administrative Aufwand sowie einherge-hende Datenschutzbussen (gemäss EU-Datenschutz-verordnung bis 4 % des weltweiten Jahresumsatzes oder EUR 20 Mio; gemäss 2. Revision des Schweizer Datenschutzgesetzes neu bis CHF 500’000.-) lassen sich nach derzeitigem Stand auf dem Schweizer Markt mittels einer Cyber-Versicherung versichern. Da in den nächsten Jahren insbesondere mit einer Zunahme von Hacker-Attacken zu rechnen ist, werden die Kosten im Zusammenhang mit diesen Melde-pflichten wachsen. Neben dem derzeitigen Fokus auf Betriebs- und Netzwerkunterbruch-Deckungen wer-den Data-Breach-Deckungen früher oder später auch in der Schweiz zunehmen.

Übereinstimmend zum Vorjahr fürchten sich die meisten Schweizer Unternehmen vor einem Betriebs- unterbruch. Der Verlust von Kundendaten stellt die zweitgrösste Bedrohung dar, gefolgt von Reputations-

schäden sowie Daten- oder Softwareschäden. Dahin-ter folgen direkte finanzielle Verluste infolge Cyber- Kriminalität und Schäden am geistigen Eigentum (Grafik 9).

Auffallend ist, dass die Erpressung, z. B. mittels Ran-somware, DDoS-Attacken oder mittels Drohung bei Nichtbezahlung eines Lösegelds geheime Daten zu veröffentlichen, nur von wenigen Umfrageteilneh-mern als grosse Gefahr eingestuft wird. Gestützt auf europäische Medienberichte sowie Bezug nehmend auf den zweiten Halbjahresbericht 2016 der Melde- und Analysestelle Informationssicherung (MELANI)erstaunt diese Wahrnehmung. Es ist zu vermuten, dass sich die Umfrageteilnehmer hinsichtlich der Er-pressungs-Bedrohung zu sehr in Sicherheit wiegen oder bislang noch glimpflich davongekommen sind.

Aufgrund des derzeitigen Gesetzesstandes erstaunt es auch nicht, dass die Haftung gegenüber Dritten als keine grosse Gefahr erkannt wird. Unseres Erachtens könnte sich diese Wahrnehmung nach der zweijäh- rigen Übergangsfrist der EU-Datenschutzgrundver-ordnung sowie mit der 2. Revision des Schweizer Datenschutzgesetzes ändern.

16

35 %

30 %

25 %

20 %

15 %

10 %

5 %

0 %

Betriebsunterbrechung 32 %Verlust von Kundendaten 16 %Reputationsschaden 14 %Daten-/ Software-Schaden 12 %Direkter finanzieller Verlust durch Cyber-Kriminalität / Betrug 9 %Verlust von geistigem Eigentum 9 %

Haftung gegenüber Dritten aufgrund von IT-Systemverletzungen 3 %Erpressung 2 % Zu wenig Informationen zur Beantwortung der Frage vorhanden 2 %Sach- und Personenschaden 1 %

GRAFIK 9

Welches Szenario eines Cyber-Angriffs stellt die grösste Gefährdung für Ihr Unternehmen dar?

3

17

3.4 RISIKOBEWERTUNG VON ZULIEFERERN

Die Zulieferer werden weiterhin seltenkontrolliert. Interessenvertreter verlangen einen besseren Sicherheitsstandard.

Entlang der Wertschöpfungskette tragen unzählige externe Zulieferer zum wirtschaftlichen Erfolg eines Unternehmens bei. Je vielfältiger die Leistungen, desto komplexer die Wertschöpfungskette. Schweizer Unternehmen profitieren vom internationalen Pro-duktenetzwerk und sind je nach Branche stark von der internationalen Arbeitsteilung bzw. von Material- lieferungen (z. B. von Rohstoffen, Ersatzteilen etc.) oder Dienstleistungen (z. B. von IT-Providern, Strom- lieferanten etc.) abhängig. Jeder Zulieferer bringt seine eigenen Cyber-Risiken in die Wertschöpfungs- kette und stellt ein Bindeglied zu anderen Wert- schöpfungsketten dar. Je kleiner die Wertschöpfungs- tiefe, desto fatalere Auswirkungen drohen. Mit jedem externen Zulieferer verdoppelt sich die Cyber-Ri- siko-Gefährdung.

In der Schweiz bewertet nur ein Fünftel der Unter- nehmen ihre Zulieferer hinsichtlich Cyber-Risiko- Gefährdung. Mit Verweis auf Grafik 3, wonach die Verantwortlichkeit für Cyber-Risiken bei den meis-ten Unternehmen immer noch bei der IT-Abteilung liegt, erstaunen die Resultate nicht.

Im Weiteren geben 60 % der Unternehmen an, Drit-ten gegenüber keinen Nachweis hinsichtlich eigener IT-Infrastrukturen liefern zu müssen. Dieses Resul-tat verdeutlicht einmal mehr das fehlende Bewusst-sein hinsichtlich Cyber-Risiken, einerseits im ei-genen Betrieb und andererseits auf dem Schweizer Wirtschaftsplatz generell.

80 % DER UNTERNEHMEN

BEWERTEN DIE ZULIEFERER

BEZÜGLICH IHRER

CYBER-RISIKEN NICHT.

18

4 SCHLUSSFOLGERUNGEN

ERKENNTNISSEBedrohungen aus dem Internet sind für Schweizer Unternehmen längst alltäglich geworden. Rück-blickend auf das Jahr 2016 stellen wir fest, dass die meisten unserer Kunden von finanziell einschnei-denden Cyber-Risiko-Vorfällen verschont blieben.

Wenngleich das Bewusstsein für Cyber-Risiken zum Vorjahr gestiegen ist, fehlt es vielen Unternehmen an Know-how, sich diesen sich rasant entwickelnden Risiken zu stellen. Auch wird die Cyber-Risikoland-schaft durch Rechtsetzung und regulatorische Auf- lagen komplexer. Neben der extraterritorial wirkenden EU-Datenschutzgrundverordnung, die auch Schweizer Unternehmen tangieren wird, stellt uns das in Re- vision stehende Schweizer Datenschutzgesetz vor weitere neue Herausforderungen.

BERATUNGSBEDARFDer Umgang mit dem Restrisiko ist anspruchsvoll. Einen Beratungsbedarf sehen wir deshalb insbeson-dere bei der Verantwortlichkeit für Cyber-Risiken im Unternehmen, bei der Lokalisierung, Analyse und Quantifizierung von branchen- und betriebsspezifi-schen Cyber-Worst-Case-Szenarien sowie bei den anstehenden Gesetzesänderungen in Europa und der Schweiz v. a. hinsichtlich des Datenschutzgesetzes.

BEWUSSTER ENTSCHEIDCyber-Worst-Case-Szenarien dürfen weder bilanz-schädigend sein, noch das Unternehmen in den Konkurs treiben – sie müssen finanzierbar bleiben. Deshalb sollte ein Unternehmen seine Risiken ken-nen. Versicherungen sollten auch in der Schweiz ver-mehrt in die Risikotransfer- und Finanzierungsstra-tegie miteinbezogen werden. Wie auch immer sich die Unternehmensführung entscheidet, massgebend ist der bewusste Management Entscheid.

Damit verringert sich das Risiko von Verantwortlich- keitsansprüchen, falls das Unternehmen von einem Cyber-Worst-Case-Szenario betroffen wird.

AUSBLICKIm 2017 ist in der Schweiz mit einer Zunahme von Cyber-Schadenvorfällen zu rechnen. Mit dem Wissen, dass es niemals eine 100%ige Cyber-Sicherheit ge-ben kann, wird uns die Diskussion über den Umgang mit dem Cyber-Restrisiko beschäftigen. Dabei er-achten wir die Quantifizierung der Worst-Case-Sze-narien und die damit einhergehende Definition der wichtigsten Daten und Prozesse im Betrieb als grösste Herausforderung. Gerade weil sich die Cyber-Ri- siko-Landschaft von Tag zu Tag ändert, entsprechen die heutigen Bedrohungen nicht denjenigen von mor- gen. Der regelmässig zu wiederholende Cyber-Risk- Management-Prozess sowie der stete Austausch mit unseren Kunden wird dadurch unverzichtbar.

Während der Nachweis der zertifizierten IT-Security mittlerweile keine Seltenheit mehr ist, wird es zu-dem nur noch eine Frage der Zeit sein, bis die Un-ternehmen zusätzlich ihre Cyber Risk Compliance ausweisen müssen.

Sie haben Fragen? Vereinbaren Sie ein persönliches Beratungsgespräch:

Dr. Helmut StuderMitglied der Geschäftsleitunghelmut.studer@kessler.ch T +41 44 387 87 17

Melanie KollerLegal Counsel Cyber Riskmelanie.koller@kessler.ch T +41 44 387 88 39

ÜBER KESSLERKessler ist das führende Schweizer Unternehmen für Risiko-, Versicherungs- und Vorsorgeberatung. Dank Fachwissen und Erfahrung der Mitarbeitenden, In-novationskraft sowie durch unsere Marktstellung schaffen wir nachhaltigen Mehrwert für unsere Kun-den aus Dienstleistung, Handel und Industrie sowie

der öffentlichen Hand. Der gute Ruf und der wirt-schaftliche Erfolg sichern unsere langfristige Zukunft als unabhängiges Familienunternehmen. Gegründet 1915, beschäftigt Kessler heute 250 Mitarbeitende am Sitz in Zürich und an den weiteren Standorten Aarau, Basel, Bern, Genf, Lausanne, Luzern, Neuenburg, St. Gallen und Vaduz. Als Schweizer Partner von Marsh sind wir Teil eines Netzwerkes mit Spezialisten aus allen Gebieten des Risk Management und mit grosser Erfahrung in der Betreuung globaler Versicherungs-programme. Marsh ist in mehr als 100 Ländern der weltweit führende Versicherungsbroker und Risikobe- rater und gehört zu Marsh & McLennan Companies, deren Aktie an den Börsen von New York, Chicago und London gehandelt wird (Börsenkürzel: MMC).

Weitere Informationen finden Sie unterwww.kessler.ch, www.marsh.com, www.mmc.com.

KESSLER & CO AGForchstrasse 95PostfachCH-8032 ZürichT +41 44 387 87 11www.kessler.ch