Ihr Experte für Fragen
Joachim Mohs
Partner Cyber Security & Privacy bei PwC Deutschland
Tel.: +49 40 6378-1838
E-Mail
Steigende Betroffenheit, aber gespaltene Risikoeinschätzung
Die Entwicklung der Informationssicherheit deutscher Unternehmen seit der Erstbefragung 2018/2019: Die Gefährdungslage hat sich verschärft. Während rund die Hälfte der Unternehmen in der Erstbefragung 2018/2019 angaben, in den letzten zwölf Monaten aktiv auf mindestens einen Cyberangriff reagiert zu haben, erhöhte sich dieser Anteil auf rund 60 Prozent in der Folgebefragung 2020. Für die Zunahme dieser Jahresprävalenz ist vor allem die deutlich erhöhte Anzahl von Phishing- und sonstige Malware-Angriffen verantwortlich, wobei Ransomware-Angriffe insgesamt abgenommen haben.
Im Einklang mit der steigenden Jahresprävalenz hat sich auch die Risikoeinschätzung der Unternehmen, in den nächsten zwölf Monaten von einem ungezielten Cyberangriff geschädigt zu werden, erhöht (eher/sehr hoch: von 36 Prozent auf 50 Prozent). Nach wie vor gehen jedoch wenige Unternehmen davon aus, Opfer eines gezielten Angriffs zu werden (eher/sehr hoch: von elf Prozent auf zwölf Prozent). Auch die Corona-Krise hat spürbare Auswirkungen auf die Informationssicherheit der Unternehmen hervorgebracht. Neben der vermehrten Nutzung von privaten Endgeräten und Homeoffice, welche auch statistisch mit einem erhöhten Phishing-Risiko im Zusammenhang stehen, hat vor allem eine Verschlechterung der wirtschaftlichen Situation der Unternehmen Auswirkungen auf die Informationssicherheit. Zu diesen Ergebnissen kommt eine Folgebefragung, die vom Kriminologischen Forschungsinstitut Niedersachsen (KFN) im Rahmen der Initiative „IT-Sicherheit in der Wirtschaft“ des Bundeswirtschaftsministeriums (BMWi) durchgeführt und von PwC als assoziiertem Projektpartner unterstützt wurde.
„Bisher können nur wenige Unternehmen ihre Cyberrisiken beziffern und gezielt reagieren. Cyberangriffe treffen diese Unternehmen völlig unvorbereitet und richten vermeidbare Schäden an.“
Die Folgebefragung im Überblick
Das Risikobewusstsein für Informationssicherherheit leidet in Zeiten der Corona-Krise
Gefragt nach dem Risikobewusstsein im eigenen Unternehmen stimmen rund 18 Prozent der Befragten der Aussage zu, dass sich die Geschäftsführung der IT-Risiken gar nicht/eher nicht bewusst ist. Das sich die Belegschaft der IT-Risiken bewusst ist und die Vorgaben einhält sieht sogar noch ein größerer Teil der Befragten kritisch (gar nicht/eher nicht bewusst: 23 Prozent).
Mit Blick auf die Erstbefragung in 2018/2019 hat sich die Einschätzung der Befragten, dass ein (eher) geringes Risikobewusstsein im Unternehmen herrscht, nahezu verdoppelt. Dies ist eine dramatische und in allen Unternehmensgrößen auftretende Entwicklung (siehe Abbildung 26 aus dem Forschungsbericht). Sollten diese Einschätzungen zutreffen, kann die Deutsche Wirtschaft von steigenden Cybervorfällen in den nächsten Monaten ausgehen.
Als Gründe, die einer höheren Informationssicherheit im Wege stehen, nennen 13 Prozent der Befragten „Nichts“, 49 Prozent „zu wenig Zeit“, 43 Prozent „zu wenig Budget“, 36 Prozent „andere Prioritäten der Geschäftsführung“ und rund 32 Prozent „fehlende Kompetenzen“. Dies ist ein bunter Mix an Hemmnissen, den es mit entsprechender Unterstützung durch das Management nun gilt, abzubauen. Dafür ist ein besonderes Augenmaß nötig, denn die Informationssicherheit in deutschen Unternehmen ist sehr heterogen, und die Corona-Krise und deren Nachwirkungen verändern unternehmerische Prioritäten.
Unternehmen in einer wirtschaftlich angespannten Situation fallen in der Informationssicherheit zurück
Unternehmen, die bereits vor der Corona-Zeit in schwierigen wirtschaftlichen Fahrwassern waren, stehen in fast in allen erfragten Bereichen schlechter da. So ist der Anteil veränderter problematischer Kommunikationswege bei Unternehmen in einer wirtschaftlich angespannten Lage mehr als doppelt so hoch (40 Prozent) als bei Unternehmen, denen es wirtschaftlich besser geht (19 Prozent). Auch die Einschätzung, dass sich die Krise negativ auf die Informationssicherheit ausgewirkt hat, ist bei angeschlagenen Unternehmen dreimal so hoch. Bei wirtschaftlich angeschlagenen Unternehmen dürfte jedoch der Verlust an Bedeutung von Informationssicherheit bei der Geschäftsführung am schwersten ins Gewicht fallen. Dies beklagen 44 Prozent der Unternehmen in Zeiten der Corona-Krise, während der Anteil bei Unternehmen in eher/sehr guter Situation nur bei 13 Prozent liegt.
Dies ist ein schwer zu durchbrechender Teufelskreis, da durch stagnierende oder gar sinkende Informationssicherheit die Grundlage für technologie-getriebene Effizienzgewinne schwindet, diese Unternehmen möglicherweise den Anschluss an die voranschreitende Digitalisierung verpassen und letzten Endes potenzielle Wettbewerbsvorteile verloren gehen.
Die richtigen Sicherheitsmaßnahmen senken die Wahrscheinlichkeit, durch Cyber-Angriffe geschädigt zu werden – dafür muss Informationssicherheit aktiv gesteuert werden
Der Befragung zufolge stehen gleich mehrere organisatorische und technische Sicherheitsmaßnahmen in einem negativen statistisch-signifikanten Zusammenhang mit der Betroffenheit durch Cyberangriffe. Unternehmen, die beispielsweise über schriftlich fixierte Richtlinien zur Informationssicherheit verfügen, regelmäßige Risiko- und Schwachstellenanalysen durchführen, ihre Kommunikation verschlüsseln oder Teile der IT-Sicherheit an einen professionellen IT-Security-Dienstleister auslagern, erleben weniger häufig einen aus Sicht der Angreifer erfolgreichen Angriff. Um der Komplexität und Individualität des eigenen Unternehmens gerecht zu werden und zu wissen, welche Daten, Systeme oder Prozesse gegen welche Angriffsvektoren geschützt werden müssen, ist ein aktives Management von Informationssicherheit nötig. Unsere Experten helfen Ihnen gerne, diese Herausforderung anzugehen.
„Unternehmen sind mittlerweile mit Kunden und Geschäftspartnern digital verbunden. Deshalb müssen sie Informationssicherheit entlang der Wertschöpfungskette sowie im Zusammenspiel von Mensch und Technologie denken und steuern.“
Auch interessant
Follow us
