close
Share with your friends

«Der Schweizer Nachwuchs muss viel stärker gefördert werden»

Interview mit Matthias Bossardt

Matthias Bossardt erläutert im Interview, wie Unternehmen mit der wachsenden Bedrohung durch Cyberrisiken umgehen und welche Rolle dabei Nachwuchstalente spielen.

Verwandte Inhalte

Matthias Bossardt

Matthias Bossardt, Leiter Cybersicherheit bei KPMG

Wie gehen Unternehmen mit der wachsenden Bedrohung durch Cyberangriffe um?

Cyberangriffe und ihre Folgen sind ein Problem, mit dem Schweizer Unternehmen nun bereits seit geraumer Zeit konfrontiert sind. Eine von KPMG Schweiz durchgeführte Studie ergab, dass nahezu die Hälfte der Unternehmen, die Opfer eines Cyberangriffs wurden, dadurch finanziellen Verlusten und betrieblichen Störungen ausgesetzt waren. Die zunehmende Raffinesse und wachsende Zahl von Cyberbedrohungen und Cyberkriminellen, der rasante technologische Wandel, der anhaltende Trend hin zu automatisierten und cloudbasierten Leistungen sowie strengere Datenschutzvorschriften sind nur einige der Faktoren, die Unternehmen dazu zwingen, den Themen Cybersicherheit und Datenschutz mehr Aufmerksamkeit zu widmen.

Welche Cyberrisiken ergeben sich durch die Cloud?

Immer häufiger werden sensible Informationen ‒ wie geistiges Eigentum, Kundendaten und personenbezogene Angaben ‒ in der Cloud hinterlegt und bearbeitet. Vom Umstieg auf die Cloud erhoffen sich viele Unternehmen mehr Agilität und Innovationskraft, einen rascheren Markteintritt, eine bessere Kundenerfahrung und bisweilen auch höhere Sicherheit. Dabei darf jedoch nicht ausser Acht gelassen werden, dass sie sich Expositionsrisiken aussetzen und daher eine klar abgesteckte Cloud-Sicherheitsstrategie erarbeiten müssen. Diese sollte vorgeben, wie sich Cloud-Ressourcen im Unternehmen sicher um- und einsetzen lassen. Die Strategie sollte zudem berücksichtigen, dass der Umstieg auf die Cloud kein «typisches Outsourcing» ist, da die Kontrollprozesse zur Risikoeindämmung in einer hybriden Cloud-Umgebung andere Massnahmen erfordern dürften. Wer dies nicht beachtet, setzt die Vorteile, die er sich von der Cloud erhofft, aufs Spiel und stellt damit den Umstieg auf die Cloud an sich in Frage.

Ist davon auszugehen, dass Unternehmen die Risiken von Drittparteien weitgehend ignorieren?

Ja, davon ist auszugehen. Unsere im letzten Jahr zur Cybersicherheit durchgeführte Studie ergab, dass nahezu die Hälfte der befragten Unternehmen keine Kontrollen für ihre Lieferanten eingerichtet haben. 38 Prozent der Unternehmen verfügten nach eigenen Angaben nicht über vertraglich verbindliche Geschäftsbedingungen zu Cyberrisiken. Darüber hinaus bilden die meisten Notfallpläne Vorfälle wie Cyberangriffe auf Lieferanten oder Geschäftspartner gar nicht ab.

Ist künstliche Intelligenz als Bedrohung oder Chance für die Cybersicherheit anzusehen?

Es kann beides sein. Da Technologien der künstlichen Intelligenz die geschäftliche Transformation beschleunigen – werden doch Entscheidungen immer häufiger über maschinelle Lernalgorithmen getroffen –, kommt der verantwortungsvollen Nutzung dieser leistungsfähigen Tools ein hoher Stellenwert zu. Zudem sind geeignete Kontrollen einzurichten, damit die gewünschten Ergebnisse erzielt werden. Mit dem Programm «AI In Control» will KPMG Unternehmen dabei helfen, künstliche Intelligenz sinnvoll zu verwalten und weiterzuentwickeln. Das Konzept basiert auf einer Reihe von Verfahren, Tools und Bewertungen, mit denen der Mehrwert der Technologien der künstlichen Intelligenz so ausgeschöpft werden kann, dass sich vorrangige Ziele ‒ wie Algorithmen-Sicherheit, Erklärbarkeit, Fairness und Agilität ‒ umsetzen lassen.

Für viele Schweizer Unternehmen gehört das Risiko von Cyberattacken und Datendiebstahl inzwi-schen zum Tagesgeschäft. Sind sie personell gewappnet, um diese Probleme anzugehen?

Zugegebenermassen verzeichnen wir derzeit einen starken Mangel an qualifizierten Spezialisten für die Cybersicherheit. Der Schweizer Nachwuchs muss viel stärker gefördert werden. Wir brauchen Experten, die mit den vielfältigen Cyberrisiken vertraut sind und wissen, wie sich diese eindämmen lassen. Trifft Fachkräftemangel dann noch auf ein knappes Budget, wird schnell deutlich, wie wichtig die Automation heutzutage ist. Unternehmen sollten daher erwägen, einige der repetitiven Aufgaben im Zusammenhang mit der Datenerfassung und Analyse von Angreifer-Aktivitäten zu automatisieren. So lässt sich schnell erkennen, welcher Probleme sich Sicherheitsexperten vorrangig annehmen müssen. Unternehmen sollten zudem versuchen, neue Talente direkt nach ihrem Abschluss zu rekrutieren und massgeschneiderte Ausbildungsprogramme einzuführen, um die nächste Generation an Cyberexperten aufzubauen.

Wie lässt sich das umsetzen?

KPMG leistet in diesem Bereich einen wichtigen Beitrag, indem wir in die nächste Generation von Cyberexperten und damit langfristig auch in die Schweiz als Ausbildungs- und Wirtschaftsplatz investieren. So hat sich KPMG Schweiz mit der in Grossbritannien ansässigen Cybersicherheitsfirma Immersive Labs zusammengetan und die «Digital Cyber Academy» gegründet. Über diese innovative Partnerschaft kann KPMG nun allen Schweizer Hoch- und Fachhochschulen unentgeltlich eine cloudbasierte Plattform zur Ausbildung und Bewertung von Cyberexperten zur Verfügung stellen. Damit untermauern wir die Rolle der Schweiz als Ausbildungs- und Wirtschaftsstandort und schaffen die Grundlage für die nächste Expertengeneration, die sich souverän den immer komplexeren Cyberrisiken widmen kann. Dieser Mehrwert wird sich letztlich als Segen für Schweizer Unternehmen entpuppen.

Welche Rolle spielt die Cybersicherheit bei Fusionen und Akquisitionen?

Es ist seit langem Usus, im Vorfeld von Investitionen und M&A-Transaktionen eine umfangreiche finanzielle und geschäftliche Due-Diligence-Prüfung vorzunehmen. Die Mehrheit der Schweizer Unternehmen versäumt es jedoch, dabei auch den Bereich Cybersicherheit abzudecken – obwohl die Risiken allgemein bekannt sind. Wer vor der Investition in ein Geschäft auf eine Cyber-Due-Diligence verzichtet, riskiert neben finanziellen Verlusten auch Reputationsschäden. Letztere drohen insbesondere, wenn es infolge eines Cyberangriffs zur Verletzung des Kundendatenschutzes oder zu betrieblichen Unterbrechungen kommt. 

Wo stehen die Schweizer Unternehmen heute beim Thema Cybersicherheit?

Es zeigt sich, dass die meisten Unternehmen zwar die Relevanz der Cybersicherheit anerkennen, aber nach wie vor zu wenig konkrete Massnahmen ergreifen. Dieser krasse Widerspruch dominiert die Cyberstrategien zahlreicher Schweizer Organisationen. Viele Firmen sehen Cybersicherheit ausschliesslich durch die Linse von Bedrohungen oder Risiken. Dabei können sie, wenn sie es richtig angehen, die Widerstandsfähigkeit ihres Unternehmens erhöhen und bei den relevanten Stakeholdern zusätzliches Vertrauen schaffen. Dies stärkt die Reputation und damit auch die Wettbewerbsposition, was wiederum zusätzliches Geschäft generiert. 

So kontaktieren Sie uns

 

Wie können wir Sie unterstützen?

 

loading image Anfrage einreichen