Cybersecurity-Konferenz am 17. November 2025

Programm und Anmeldung

aufklappen   Einklappen  
Interview

«Die grösste Gefahr ist, dass viele die realen Cybergefahren nach wie vor unterschätzen»

03.10.2025

Partner

Tom Schmidt ist Partner beim Prüfungs- und Beratungsunternehmen EY Schweiz ist im Bereich Financial Services verantwortlich für Cybersecurity. Auf der Cybersecurity Konferenz von digital-liechtenstein.li am 17. November in Vaduz wird er in seinem Referat über die wachsenden Risiken in digitalen Lieferketten sprechen – und darüber, wie Unternehmen ihre Resilienz stärken können.

Tom, wenn du dir die aktuelle Bedrohungslage ansiehst – was ist deiner Meinung nach derzeit die grösste Cybergefahr für Unternehmen allgemein?
Die grösste Gefahr ist wohl diejenige, dass viele die realen und zunehmenden Cybergefahren im Hinblick auf ihr eigenes Unternehmen nach wie vor unterschätzen und sich auf das Szenario «erfolgreicher Angriff auf das eigene Unternehmen» zu wenig gut vorbereiten. Es gibt viele unterschiedliche Cybergefahren, je nach Unternehmen sind sie unterschiedlich ausgeprägt – die allgemeingültig «Grösste Gefahr» gibt es so gesehen nicht. Schwerwiegendere Cyber-Ereignisse sind aber häufig auf Ransomware-Attacken, Lieferketten-Attacken, E-Mail-Fraud und allgemeinen Datendiebstahl zurückzuführen.

Viele Firmen sichern ihre eigene IT gut ab – aber vergessen ihre externen Partner. Warum ist das so gefährlich, gerade im Kontext von Lieferketten?
Lieferketten-Attacken können sehr unterschiedlich und vielfältig sein. Beispielsweise Diebstahl der eigenen Daten bei der Drittpartei oder Beeinträchtigung der eigenen Unternehmensprozesse, welche an eine Drittpartei ausgelagert werden. Desweitern gibt es Beispiele von erfolgreichen Attacken auf Drittparteien, welche mit dem Kunden IT-technisch vernetzt waren und der Angriff sich dann auf den Kunden über diese Verbindung ausweitete. Ich kenne Fälle von Softwarelieferanten, deren Software kompromittiert wurde und diese verseuchte Software kam dann bei ihren Kunden zum Einsatz. Oder Unternehmen verwenden «open source»-Programmcode mit Schwachstellen, welcher für die eigene Software-Entwicklung verwendet wird und so Angriffe begünstigt werden. Die Auflistung an möglichen Attacken könnte noch länger fortgeführt werden. Es gilt somit viele unterschiedliche Aspekte zu berücksichtigen, wenn von Lieferketten-Cyberrisiken die Rede ist.

Was sind die typischen «blinden Flecken» bei der Bewertung von Lieferanten-Risiken? Wo unterschätzen Unternehmen die Gefahr am meisten?
Unternehmen sind häufig gegenüber ihren Drittparteien zu wenig klar in ihrer Erwartungshaltung und ihren Vorgaben im Bereich Cybersecurity und Datensicherheit. Ausserdem fehlt es häufig an der konkreten Überwachung, ob die Drittparteien entsprechende Vorgaben auch einhalten und ob bei den Drittparteien die vorhandenen Massnahmen wirksam sind. Ausserdem sollten die Unternehmen wissen, mit welchen allfälligen Drittparteien ihre eigene Drittpartei zusammenarbeitet (so genannte Viertparteien) und ob diese ebenfalls genügend Sicherheit bieten können.

Gibt es ein konkretes Beispiel aus deiner Praxis, bei dem ein Angriff über die Lieferkette besonders drastische Folgen hatte?
Da gibt es viele Beispiele. Manche der Vorfälle haben auch hohe Wellen geschlagen, da zahlreiche Kunden dieser Drittparteien von diesen Angriffen betroffen waren (mit länderübergreifenden oder sogar globalen Auswirkungen). In zwei der bekannteren Fälle wurde beispielsweise die Software der Software-Anbieter kompromittiert und die verseuchten Software-Updates wurden an die Kunden dieser Software-Anbieter ausgeliefert, mit der Folge, dass alle diese Kunden unmittelbar angreifbar waren und demzufolge auch angegriffen wurden. Ausserdem ist aus den meldungspflichtigen Cybervorfällen ersichtlich, dass bei einer Vielzahl dieser Vorfälle Drittparteien eine Rolle spielten.

Was können Unternehmen realistisch tun, um Cyberrisiken in der Lieferkette zu minimieren – auch wenn die Ressourcen begrenzt sind?
Sie sollten zumindest Kenntnis davon haben, welche Massnahmen die Drittparteien getroffen haben, um sich (und damit auch ihre Kunden) gegen Cyberrisiken zu schützen und ob diese Massnahmen auch wirksam sind. Diese Wirksamkeit kann durch unabhängige Prüfungen oder Assessments bei den Drittparteien geprüft und in entsprechenden Berichten gegenüber den Kunden der Drittparteien ausgewiesen werden, beispielsweise in Form von SOC 2- oder ISAE 3000-Berichten. Solche Aktivitäten können auch mit begrenzten Ressourcen erfolgen.

Viele Einkaufsabteilungen denken primär an Kosten und Lieferzeiten. Wie bringt man Cybersecurity-Anforderungen in diese Gleichung ein, ohne die Geschäftsabläufe zu blockieren?
Voraussetzung ist natürlich, dass Cybersecurity bereits im eigenen Unternehmen einen wichtigen Stellenwert hat und dem Unternehmen selbst klar ist, was mit welchen Massnahmen geschützt werden muss. Das Unternehmen kann diese Anforderungen dann auch auf die Lieferanten und Drittparteien übertragen. Die eigene Erfahrung mit dem Thema hilft, dass dadurch keine Geschäftsabläufe blockiert werden sollten. Unternehmen, welche sich selbst nicht um ihre Cybersicherheit kümmern, werden höchstwahrscheinlich auch keine oder keine sinnvollen Anforderungen an ihre Lieferanten haben und Cybersecurity wird dann eher als lästiges Übel oder als Verhinderung angesehen.

Und zuletzt: Was erwartet die Teilnehmer:innen deines Referats auf der Cybersecurity Konferenz Liechtenstein – warum sollte man das nicht verpassen?
Ich werde einige der in diesem Interview aufgebrachten Themen und Spannungsfelder im Rahmen meines Referats vertiefen und auch praktische Hinweise geben, mit welchen Massnahmen solche Risiken reduziert werden können. Cyberrisiken in der Lieferkette sind für alle Unternehmen relevant – unabhängig der Grösse und Branche – eine aktive Auseinandersetzung damit ist deshalb sehr empfehlenswert. Darüber hinaus freue ich mich natürlich sehr wieder in Liechtenstein zu sein und über die Erfahrungen und Kompetenzen von EY in diesen Bereichen und als Mitglied von digital-liechtenstein sprechen zu dürfen.

Cybersecurity-Konferenz 2025
Am 17. November 2025, veranstaltet digital-liechtenstein.li in Kooperation mit der Universität Liechtenstein die dritte Cybersecurity-Konferenz von digital-liechtenstein.li. Die Konferenz beleuchtet aktuelle Herausforderungen, Trends und Lösungsansätze im Bereich Cybersicherheit – ein Thema, das für den Wirtschaftsstandort Liechtenstein von zentraler Bedeutung ist. Renommierte Expertinnen und Experten teilen praxisnahe Einblicke, diskutieren Strategien zur Risikominimierung und geben Impulse für eine resiliente digitale Zukunft. Infos und Anmeldung

Weitere Beiträge

Event

Über 150 Teilnehmende am KI-Summit 2025: KI vom Buzzword zur Praxis

Am 30. September 2025 fand der zweite KI-Summit von digital-liechtenstein.li statt. Gastgeberin und Kooperationspartnerin war die LGT Bank in Bendern. Über 150 Digitalinteressierte aus Mitgliedsunternehmen und Partnerorganisationen folgten der Einladung, um praxisnahe Einblicke in den Einsatz von Künstlicher Intelligenz in Unternehmen zu erhalten.

zum Beitrag
Fachbeitrag

Kundenzentriert statt produktverliebt – wie Rezendo Unternehmen fit für die Zukunft macht

Das liechtensteinische Startup Rezendo verfolgt einen klaren Ansatz: Kundenzentrierung statt Produktverliebtheit. Lange Zeit bestimmten Produkte die Strategie. Unternehmen bauten Funktionen aus und verbesserten Details – aus eigener Sicht, ohne jedoch zu prüfen, ob dies im Alltag der Kunden tatsächlich hilfreich war. Das Ergebnis waren Innovationen, die am Leben der Kunden vorbeigingen. Früher bestimmten wenige Anbieter den Markt. Heute können Kunden schnell wechseln und erwarten, dass Angebote zu ihrem Leben passen. Sie wollen, dass ihre Bedürfnisse ernst genommen werden.

zum Beitrag
Interview

Marco Denzler über Chancen und Risiken von Künstlicher Intelligenz

Marco Denzler ist CEO Schweiz der Online Group und Boardmitglied von digital-liechtenstein.li. Seit über 25 Jahren prägt er die Digitalisierungs- und IT-Branche und gilt als Experte für den Einsatz von Künstlicher Intelligenz im Unternehmenskontext. Beim KI-Summit am 30. September 2025 zeigt die Online Group, wie AI nicht nur Vision bleibt, sondern konkrete Wertschöpfung schafft.

zum Beitrag
Webinar

Video-on-demand: Was AI Agents wirklich leisten – und wie sie mit MS 365 Copilot funktionieren

Die AI-Experten Sandro Hürsch, Ralf Angermann und Marco Denzler von der Online Group gaben praxisnahe Einblicke in die Welt der AI Agents, erklärten den Unterschied zum Copilot und zeigten konkrete Anwendungsszenarien für den Unternehmensalltag.

zum Beitrag
Interview

«Digitalisierung ist Mittel zum Zweck, zentral ist der persönliche Austausch»

Dr. Christoph J. Frick ist Partner und Head Consulting Liechtenstein beim Wirtschaftsprüfungs- und Beratungsunternehmen EY. Als Mitglied des Boards von digital-liechtenstein.li engagiert er sich seit Beginn der Initiative unter anderem aktiv für die digitale Transformation des Wirtschaftsstandorts Liechtenstein. Mit seiner langjährigen Erfahrung in verschiedenen Sektoren, Regierungsarbeit, Diplomatie und der Wissenschaft gehört er zu den profiliertesten Stimmen für digitale Innovationen in Liechtenstein. Im Interview spricht er über digitale Transformation, Leadership und die Chancen für Liechtenstein.

zum Beitrag

Newsletter abonnieren

Immer informiert über aktuelle Events, Workshops und News zur Initiative digital-liechtenstein.li

Dieses Feld dient zur Validierung und sollte nicht verändert werden.
Datenschutzerklärung(erforderlich)