Große Sorgen, große Vorhaben: Cyber Security auf der Agenda deutscher CEOs

Die Ergebnisse des 24. Global CEO Surveys von PwC zum Thema Cybersicherheit

Ihr Experte für Fragen

Holger Herbert

Holger Herbert
Cyber Security Leader bei PwC Deutschland
Tel.: +49 541 3304-214
E-Mail

CEOs in Alarmbereitschaft

Cyberangriffe gehören zu den drei größten Sorgen der CEOs in Deutschland. 83 Prozent der befragten CEOs hierzulande sind besorgt hinsichtlich Cyberbedrohungen. Zum Vergleich: In der Vorjahresstudie lag der Wert bei 81 Prozent, zwei Jahre zuvor sogar nur bei 68 Prozent. Sogar Pandemien reihen sich in der Liste der Herausforderungen mit 80 Prozent hinter den Cyberbedrohungen ein. Auch hinsichtlich der potenziellen Bedrohungen für die Wachstumsaussichten ihrer Unternehmen sehen die deutschen CEOs Cyberrisiken bei 41 Prozent. Damit zeigen die Ergebnisse deutlich: die Bedeutung von Cyberattacken wächst beständig und damit auch die der Cyber Security.

Zu diesen Ergebnissen kommt der 24. Global CEO Survey von PwC, an dem weltweit 5.050 CEOs teilgenommen haben.

„Cybersicherheit kommt endlich dort an, wo sie hingehört: Ganz oben auf der CEO-Agenda. Die erhöhte Alarmbereitschaft ist ein gutes Zeichen, jedoch ist jetzt auch Handeln gefragt. Die Sicherstellung und Stärkung der Cyber-Resilienz durch regelmäßige Simulationen und Trainings sollte für jedes Unternehmen obligatorisch sein.“

Holger Herbert, Cyber Security Leader bei PwC Deutschland
Infografik: Wie besorgt sind Sie, wenn überhaupt, über jede einzelne dieser Bedrohungen?

Die Ergebnisse im Überblick

Mehr Investitionen und Messbarkeit

Die deutschen CEOs sind in puncto Cybersicherheit in Investitionslaune. 80 Prozent der Befragten wollen aufgrund der Covid-19-Krise innerhalb der nächsten drei Jahre langfristig stärker in Cyber Security und Datenschutz investieren. Und dabei soll sie auch messbarer werden. So geben 40 Prozent der deutschen CEOs an, im Bereich Cyber Security und Datenschutz die Messbarkeit – und damit auch ihre Transparenz – erhöhen zu wollen. Das sind vier Prozentpunkte mehr als der globale Durchschnitt.

Gleichzeitig spielen Cybersicherheit und Datenschutz in puncto Reporting noch keine wesentliche Rolle. Nur 17 Prozent der befragten CEOs in Deutschland geben an, dass sie glauben, ihre Organisation müsse hier aktiver werden. Damit liegt Deutschland sogar unter dem globalen Durchschnitt von 22 Prozent.

Cyber Security im strategischen Risikomanagement verankert

Für 81 Prozent der deutschen CEOs sind Cyberattacken im Risikomanagement verankert – der globale Durchschnitt liegt lediglich bei 59 Prozent. Das verdeutlicht, dass Cybersicherheit und Datenschutz zu einem integralen Bestandteil der Geschäftsstrategien und die Risiken der Cyberattacken ernstgenommen oder gar schon teilweise gleichberechtigt mit den anderen traditionellen, geschäftsgefährdenden Risiken, behandelt werden.

Einordnung und Handlungsempfehlungen

Drei Fragen an Dr. Alexander Köppen, Cyber Security Strategy Leader bei PwC Deutschland

Cybersicherheit ist für die Mehrheit der CEOs ein besorgniserregendes Thema. Doch 16 Prozent scheinen den Ernst der Lage nicht zu erkennen. Wie fahrlässig ist diese Einschätzung?

Dr. Alexander Köppen: Allem voran ist es eine gute Nachricht, dass es immer weniger Unternehmen gibt, bei den die Themen Cybersicherheit und Datenschutz noch nicht in der Chefetage angekommen sind. Und wir beobachten, dass es zunehmend weniger werden. Gerade während der Pandemie erlebten alte und schon fast in Vergessenheit geratene Angriffsvektoren, wie Phishing oder Social Engineering, eine Renaissance. Darauf hätten Unternehmen längst vorbereitet werden müssen. Und doch wurden viele von ihnen überrascht. Das hat den CEOs einmal mehr gezeigt: Aussitzen bringt nichts, sie müssen handeln. Und zwar detektiv, reaktiv und eben auch präventiv, um sich systematisch auf künftige, neue Angriffsarten vorzubereiten.

80 Prozent der befragten CEOs wollen ihre Investitionen in Cyber Security und Datenschutz erhöhen. Was sind kurz- bis langfristig die wichtigsten Investitionsfelder?

Köppen: Investitionen in Cyber Security wurden bislang eher nachlässig behandelt – nach dem Prinzip, Sicherheit solle nichts kosten. Nach Jahren gemäßigter Investitionen in die Cybersicherheit stehen viele Unternehmen vor einer Mammutaufgabe: Die angestauten Aufgaben des Informations- und Datenschutzmanagements sollten rasch auf Vordermann gebracht werden. Doch die gute Nachricht ist: Auch eine lange Reise beginnt mit einem ersten Schritt. Mit einem erfahrenen und vertrauenswürdigen Partner an seiner Seite kann das Management binnen überschaubarer Zeit ein effektives und effizientes Sicherheitsmanagement aufbauen und etablieren. Sinnvolle Investitionsfelder sind beispielsweise moderne Technologien im Bereich Cyber Defence wie SIEM-Systeme und Identity-Systeme sowie in die Absicherung von Digitalisierungsinitiativen in den Bereichen Cloud Security und ERP Security.

40 Prozent wollen die Messbarkeit im Bereich Cyber Security und Datenschutz steigern. Welche Metriken und KPIs sind geeignet?

Köppen: In der Praxis gibt es keinen Konsens darüber, welche Metriken und KPIs zu Messungen im Bereich Cyber Security und Datenschutz besonders geeignet sind.  Wir beobachten jedoch, dass Unternehmen insb. entlang der Dimensionen Sicherheitskosten, Sicherheitsniveau und Sicherheitsgewinn messen. Dabei lassen sich die Sicherheitskosten typischerweise leicht bestimmen, z. B. indem Cyber-Kostenstellen aufsummiert werden. Die Bestimmung des Sicherheitsniveaus ist hingegen schon weitaus schwerer, z. B. liefern Ergebnisse aus Penetrationstests und die Anzahl von Sicherheitslücken oder Sicherheitsvorfällen in einem bestimmten Zeitraum einen Indikator. Eine Messung vom Sicherheitsgewinn, d. h. durch Sicherheitsmaßnahmen vermiedene Kosten, ist dagegen sehr schwierig und hängt stark am Wert der zu schützenden Assets ab. Gerade Metriken und KPIs in dieser Dimension eigenen sich jedoch für eine effektive und effiziente Auswahl von neuen Sicherheitsmaßnahmen.

Dr. Alexander Köppen

Dr. Alexander Köppen

Dr. Alexander Köppen leitet den Bereich Cyber Security & Privacy Strategy in Deutschland und auf EMEA Ebene. Er ist zudem Geschäftsführer des BSI-zertifizierten IT-Sicherheitsdienstleisters PwC CSS GmbH und hat mehr als 20 Jahre Erfahrung in den Bereichen Cyber Security, IT Transformation und Digital Strategy.

E-Mail
LinkedIn

Follow us

Contact us

Holger Herbert

Holger Herbert

Partner und Cyber Security Leader, PwC Germany

Tel.: +49 541 3304-214

Dr. Alexander Köppen

Dr. Alexander Köppen

Director, PwC Germany

Tel.: +49 1512 9608-114

Hide