Geopolitik macht Cybersicherheit für CEOs zum Dauerbrenner

Die Ergebnisse des 26. Global CEO Survey von PwC zum Thema Cyber Security

Ihr Experte für Fragen

Grant Waterfall
Cyber Security Leader bei PwC Deutschland und EMEA
E-Mail

Geopolitik als Treiber der Cybersicherheit

Cybersicherheit ist nach wie vor einer der wichtigsten Hebel für CEOs, um ihr Unternehmen vor sich entwickelnden Risiken zu schützen. 48 % der CEOs geben an, dass sie als Reaktion auf die zunehmenden geopolitischen Konflikte ihre Investitionen in Cybersicherheit oder Datenschutz erhöhen. 

Nach den turbulenten 12 Monaten überrascht es nicht, dass die CEOs weltweit die Inflation (40 %), die makroökonomische Volatilität (31 %) und die geopolitischen Konflikte (25 %) als ihre drei größten Risiken für das kommende Jahr bezeichnen. Cyberrisiken stehen an vierter Stelle (20 %) und sind das größte operative Risiko, das nach wie vor fest auf der Tagesordnung der Unternehmensleitung steht. Dabei schätzen deutsche CEOs die Cybergefahren verglichen mit ihrer internationalen Peergroup höher ein (29 zu 20 %).

Zu diesen Ergebnissen kommt der 26. Global CEO Survey von PwC, an dem weltweit rund 4.500 CEOs teilgenommen haben.

„Angesichts der immer schneller voranschreitenden Digitalisierung und der zunehmenden Bedrohungen für kritische Infrastrukturen ist es wichtig, dass die Unternehmensleitung ihre Cyber-Security-Programme weiter vorantreibt. Diese werden für den künftigen Unternehmenserfolg absolut entscheidend sein.“

Grant Waterfall, Cyber Security Leader bei PwC Deutschland

Die Ergebnisse im Überblick

Cyber Security bleibt Dauerthema

Obwohl die Informationssicherheit als akutes Handlungsfeld für Führungskräfte durch steigende Energiepreise und hohe Inflationserwartungen überschattet wird, bleibt sie gerade in Deutschland − nicht zuletzt im direkten Zusammenhang mit dem russischen Angriffskrieg und geopolitischen Entwicklungen − als Dauerthema absolut relevant. So führen Cyberrisiken die Liste der erwarteten Betriebsgefährdungen in den nächsten fünf Jahren hierzulande mit weitem Vorsprung an (39 %), während die CEOs weltweit sie nicht signifikant höher einschätzen (25 %).

Eine Entwicklung mit besonderem Schadenspotenzial, denn die technologische Transformation bleibt das wichtigste Investitionsziel deutscher Unternehmen. 86 % der Unternehmen planen, in die Automatisierung ihrer Prozesse und Systeme zu investieren, der Einsatz neuer Technologien steht noch bei 71 % als Investitionsziel auf der Agenda. Gleichzeitig macht genau die geopolitische Entwicklung, die jetzt den Prioritätenwechsel bedingt, Unternehmen und öffentliche Institutionen in verschiedenem Maße zu attraktiven Angriffszielen für kriminelle Akteure – die Eintrittswahrscheinlichkeit von Incidents steigt.

Wirtschaftliche Resilienzmaßnahmen erhöhen Risiko weiter

Die Umfrage des letzten Jahres hat gezeigt, wie bewusst deutschen Führungskräften das Risiko durch Cyberspionage, Datendiebstahl, Ransomware und andere Gefahren bereits ist. Im Angesicht der globalen Unsicherheiten sind nun jedoch deutlich konkretere betriebswirtschaftliche Notwendigkeiten entstanden – die ihrerseits wiederum neue Einfallstore für Angreifer eröffnen können. So vermelden CEOs weltweit, dass sie Betriebskosten einsparen (52 %) und ihr Produkt- und Service-Angebot diversifizieren (48 %) oder das für die nächsten zwölf Monate planen. Die Gefahr: Wenn Unternehmen Budgets für IT-Personal, IT-Infrastruktur und Sicherheitslösungen senken und neue Services und Produkte übereilt und ohne „Security-by-Design“ auf den Markt bringen, kann der Schaden bei einem Angriff deutlich höher ausfallen als jede Ersparnis.

Einordnung und Handlungsempfehlungen

Drei Fragen an Grant Waterfall, Cyber Security Leader bei PwC Deutschland und EMEA

Letztes Jahr waren Cyberangriffe das Top-Risiko für die C-Suite, dieses Jahr liegen sie im Mittelfeld – obwohl sie immer wahrscheinlicher werden. Woran liegt das?

Grant Waterfall: Cybersicherheit bleibt auch im Jahr 2023 das wichtigste operative Risiko für CEOs. Dies spiegelt das Verständnis der CEOs für die Bedeutung der Cybersicherheit für ihre digitalen Bestrebungen und die Bedrohungen durch ein volatiles geopolitisches Umfeld wider. Zudem zeigt die kollektive Einschätzung der nächsten fünf Jahre, dass Führungskräfte die Cyberrisiken auf der Agenda weiter nach oben priorisieren werden.

Warum bewerten deutsche und internationale Führungskräfte die langfristigen Cyber-Security-Risiken so unterschiedlich?

Waterfall: Deutsche CEOs schätzen das Cyberrisiko deutlich höher ein als ihre internationalen Kolleg:innen, insbesondere in den USA. Ich glaube, dass es dafür einige mögliche Gründe gibt. Erstens hat die Pandemie in Deutschland einen ordentlichen Digitalisierungsschub ausgelöst, was zu einer viel stärkeren Abhängigkeit von der Technologie und einem größeren Bewusstsein der CEOs für digitale Risiken geführt hat. Zweitens hat das geopolitische Umfeld die Cyber-Bedrohungen für kritische Infrastrukturen erhöht, und die Wahrnehmung ist in Deutschland im Vergleich zu anderen westlichen Ländern besonders ausgeprägt. Drittens gibt es in Deutschland und in der gesamten EU ein äußerst aktives regulatorisches Umfeld, wie z. B. die Einführung des Digital Operational Resilience Act (DORA) für Finanzdienstleistungen und die NIS-2-Richtlinie für kritische Infrastrukturen. Beide Vorschriften sehen erhebliche Strafen bei Nichteinhaltung vor, und die Umsetzung wird für viele Unternehmen eine Herausforderung sein, insbesondere angesichts des Fachkräftemangels.

Wie können Führungskräfte ihre Unternehmen künftig besser gegen Cyberangriffe absichern?

Waterfall: Zunächst einmal muss die IT-Sicherheit strategisch fest verankert werden. Das beginnt im Management mit eigenen Chief Information Security Officers, setzt sich in den Unternehmenszielen fort und gilt auch für die Service- und Produktentwicklung. Funktionsübergreifende Teams sind ein zentraler Faktor, um die digitale Resilienz zu erhöhen – Ziel muss sein, dass Sicherheit kein Silothema bleibt. Das kann auch dabei helfen, die Komplexität der eigenen IT-Infrastrukturen zu reduzieren – etwa über die Dekommissionierung von alten Servern, klareren Prozessen, einem strengeren Access Management und ISMS. Alles Punkte, die ihrerseits elementar für eine ganzheitliche Cyber Security sind.

Follow us

Contact us

Grant Waterfall

Grant Waterfall

Partner, Cyber Security & Privacy Leader, PwC Germany

Hide