Die Vielfalt der Bedrohungen macht Cyberkriminalität zu einem immer wichtigeren Thema für Unternehmen. Eine Studie gibt einen Überblick über die Aktivitäten zur Cybersicherheit als Baustein zur Sicherstellung unternehmerischer Resilienz.
Neue Arbeitsmodelle, strengere Regularien und eine anhaltend beschleunigte Digitalisierung machen Cybersicherheit zu einem wichtigen und zunehmend drängendem Thema für Unternehmen. IT-Sicherheit ist kein einfaches Projekt, sondern ein konstanter Prozess. Zudem stellt sie eine wichtige Säule der unternehmerischen Resilienz dar.
Für eine Studie zur Entwicklung und Zukunft von Cybersicherheit hat PwC über 3.500 Führungskräfte (CEOs, Corporate Directors, CFOs, CISOs, CIOs und C-Suite-Verantwortliche) aus den Bereichen Wirtschaft, Technologie und Sicherheit befragt.
Der Umfrage zufolge stellen Cyberattacken in den nächsten ein bis zwei Jahren das Szenario dar, das Unternehmen mit höchster Priorität in ihrer Resilienzstrategie verankern – noch vor den Risiken einer globalen Rezession oder Corona-bezogenen Disruptionen.
Die Studie gibt Antworten u.a. auf folgende Fragen:
- Wie gut sind Unternehmen darauf vorbereitet, existenzbedrohende Cyberattacken zu bewältigen?
- Wo sehen sie die größten Gefahren?
- Was sind sie bereit zu investieren, um den Schutz vor Ransomware, Datendiebstahl und Co. ganzheitlich umzusetzen?
Cloud im Visier von Cyberkriminellen
Die Bemühungen der Cyber-Security-Teams aus dem vergangenen Jahr zeigen Wirkung. Vor allem das Bewusstsein für die drohenden Gefahren ist in Hinblick auf die beschleunigte Digitalisierung und die Implikationen der geopolitischen Lage deutlich gestiegen. Dennoch gaben von den deutschen Unternehmen weniger als 25 Prozent an, bestehende Risiken nahezu vollständig mitigiert zu haben.
Das bereitet vielen Unternehmen vor allem in Hinblick auf ihre Cloud-Adaption Sorgen. 35 Prozent der deutschen Unternehmen befürchten, dass die Ausnutzung von Sicherheitsproblemen von Cloud-Komponentendiensten im nächsten Jahr signifikant zunimmt. Die mit der Cloud-Adaption einhergehenden Risiken hat der Umfrage zufolge nur jedes vierte Unternehmen (nahezu) vollständig reduziert. Dabei sind die meisten Unternehmen relativ zuversichtlich, gegen gängige Risiken wie Fehlkonfigurationen, nachlässiges Berechtigungsmanagement oder mangelhafte API-Verwaltung abgesichert zu sein.
Betriebstechnologie bleibt gefährdet
26 Prozent der deutschen Unternehmen erwarten einen signifikanten Anstieg der Attacken auf Infrastrukturen im Zusammenhang mit Industrial Internet of Things (IIoT) und Betriebstechnologien (Operational Technology, OT). Entsprechende Angriffe sind für 43 Prozent der Unternehmen vor allem aufgrund eines Mangels an spezifischen Lösungen für die OT-Sicherheit ein Problem. Darüber hinaus erhöhen fehlende Synergien zwischen den IT- und OT-Teams das Risiko, da Angreifer auf diese Weise viele blinde Flecken ausnutzen können.
So gaben 38 Prozent der deutschen Unternehmen an, dass unklare Verantwortlichkeiten zwischen beiden Fachbereichen zu den größten Herausforderungen gehören, um die Sicherheit an der IT-OT-Schnittstelle zu verbessern. Immerhin 64 Prozent der deutschen Führungskräfte bestätigten, dass sie die Zusammenarbeit der Teams in den letzten zwölf Monaten verstärken konnten.
Ebenfalls problematisch bleibt das fehlende Bewusstsein für die Folgen elaborierter Cyberattacken. So gaben 37 Prozent der Führungskräfte an, dass potenzielle Risiken und Auswirkungen von Angriffen nicht hinreichend bewertet werden. Ein erhöhtes Bewusstsein für die Sicherheit an der Schnittstelle von IT und OT ist vor allem mit Blick auf die Kritischen Infrastrukturen von hoher Bedeutung. Denn Cyberangriffe auf Organisationen wie Stadtwerke, Energieversorger oder Lebensmittelproduzenten können erhebliche Folgen für das Gemeinwohl haben.
Verankerung von Cybersicherheit auf Vorstandsebene
Cybersicherheit wird auch auf Vorstandsebene immer wichtiger. Mit Blick auf die deutschen Ergebnisse fällt auf, dass bei der Kommunikation mit Stakeholdern, der Anschaffung neuer Lösungen oder der Reaktion auf Vorfälle in Deutschland vor allem die Chief Information Officer (CIO) gefragt sind während – auf internationaler Ebene bereits über weite Strecken dezidierte Chief Information Security Officer (CISO) hierfür zuständig sind. Eine Abweichung, die darauf hindeuten könnte, dass der Einfluss der CISOs im Vorstand deutscher Unternehmen noch nicht so ausgeprägt ist wie auf internationaler Ebene.
Die Rolle des CEOs wird derweil im Kontext der Berichterstattung gut sichtbar. Denn während Angelegenheiten der Cyber Security auf internationaler Ebene am häufigsten an das Board berichtet werden, informieren deutsche Unternehmen mehrheitlich den oder die CEO über aktuelle Entwicklungen in diesem Bereich.
Stakeholder erwarten bei IT-Sicherheit mehr Transparenz
Neben dem Board und der Geschäftsführung werden in Deutschland direkte Teilnehmer der Wertschöpfungskette sowie Behörden als wichtige Stakeholder in der Informationskette eingeordnet. Hier spielt die Berichterstattung eine wichtige Rolle für die Integrität. Eine umfangreiche Cyber-Security-Berichterstattung ist den Befragten zufolge der Schlüssel für eine erfolgreiche Zusammenarbeit.
Bei der Umsetzung gibt es aber noch deutlichen Aufholbedarf, denn nur 35 Prozent der deutschen Unternehmen glauben, dass sie Cyber-Security-Praktiken, -Strategien und -Vorfälle nach außen hin wirksam offenlegen können.
76 Prozent der deutschen Umfrageteilnehmer (global 79 Prozent) gaben an, dass eine standardisierte und einheitliche Offenlegung von Cybervorfällen notwendig ist, um das Vertrauen der Stakeholder zu stärken. Zugleich könnten in Deutschland auch gesetzliche Regularien und Audits wie die KRITIS-Verordnung ein Treiber für eine transparentere Berichterstattung sein.
Es fällt auf, dass hiesige Unternehmen im internationalen Vergleich (Häufigkeit nach Ranking Position 3 vs. Position 6) deutlich häufiger angaben, in den letzten Jahren einen erhöhten Druck seitens der Behörden erfahren zu haben. Das wirkt sich wiederum unmittelbar auf die interne Organisation aus: 69 Prozent der deutschen Unternehmen gaben an, dass es ihren Cyber-Security-Teams gelungen sei, ihre Anstrengungen bereichsübergreifend zu orchestrieren, um neuen Regularien zu entsprechen.
Steigende Budgets für Cybersicherheit
Bei 56 Prozent der deutschen Unternehmen steigt das Budget für Cybersicherheit im nächsten Jahr. Das Verhältnis zwischen Erhöhung und Rückgang des Budgets bleibt damit auf dem Niveau des vergangenen Jahres, dennoch unter dem globalen Schnitt. Sowohl in Deutschland als auch international entscheiden in den häufigsten Fällen die Chief Financial Officer (CFO) über den Etat – dicht gefolgt von der Geschäftsführung und der IT-Leitung. Das Budget setzt sich zumeist (38 Prozent) aus prozentualen Anteilen der IT-Aufwendungen sowie der Ausgaben für Automatisierung und Betriebstechnologien zusammen.
Die Studie „Digital Trust Insights 2023“ können Sie hier direkt herunterladen.
Mehr über das Partnerkonzept des Bank Blogs erfahren Sie hier.