Die deutschen Ergebnisse einer weltweiten PwC-Befragung zum Thema Cyber Security
In einer übermäßig komplexen Organisation kann es leicht passieren, dass die linke Hand nicht weiß, was die rechte Hand tut – und das kann schlimme Folgen für die Cybersicherheit und den Datenschutz haben. 82 Prozent der befragten Führungskräfte in Deutschland, darunter auch CISOs, geben an, dass ihre Unternehmen zu komplex sind – und zwar in vermeidbarer, überflüssiger Weise – und fast ebenso viele sagen, dass die Komplexität in 11 Schlüsselbereichen besorgniserregende Cyber- und Datenschutzrisiken für ihr Unternehmen darstellt.
Die Folgen eines Angriffs nehmen zu, je komplexer die Abhängigkeiten zwischen unseren Systemen werden. Kritische Infrastrukturen sind besonders verwundbar. Immer raffiniertere Angreifer durchforsten die dunklen Ecken unserer Systeme und Netzwerke, suchen – und finden – Schwachstellen.
Wie auch immer die digitale Achillesferse einer Organisation beschaffen sein mag – Angreifer werden alle ihnen zur Verfügung stehenden Mittel einsetzen, sowohl herkömmliche als auch hochentwickelte, um diese Schwachstellen auszunutzen.
Und doch lassen sich viele der Angriffe, die wir erleben, mit soliden Cyberpraktiken und starken Kontrollen verhindern. Wie Führungskräfte die Herausforderungen und Chancen im Bereich Cyber Security bewerten, haben wir in der diesjährigen Befragung beleuchtet.
Die Investitionen in Cybersicherheit steigen weiter an. 56 Prozent der Unternehmen in Deutschland erwarten einen Anstieg der Cyber-Ausgaben im Jahr 2022, verglichen mit 51 Prozent im letzten Jahr. Besonders auffällig: In Deutschland ist der Prozentsatz derjenigen, die mit einem Budget-Anstieg größer 10 Prozent rechnen, von 5 Prozent auf 19 Prozent gestiegen.
Einen deutlichen Anstieg erwarten Unternehmen ebenfalls bei den Cyberangriffen: Mehr als die Hälfte der befragten Führungskräfte in Deutschland rechnet in 2022 mit mehr Angriffen − insbesondere die Bereiche Mobile, IoT und Cloud seien gefährdet. 26 Prozent rechnen mit einen signifikanten Anstieg von Cloud-Service-Angriffen, gefolgt von Ransomware (21 %) und Kryptomining (21 %).
Die Prävention solcher Angriffe erfolgt dabei selten auf Basis von Daten. Nur etwa ein Drittel der befragten Unternehmen verfügt über ein vollständiges Data-Governance-Programm, um die besten Entscheidungen für Cyber-Investitionen und das Management von Cyber-Risiken zu treffen. Zudem betrachten nur 21 Prozent der Befragten in Deutschland Real-Time-Threat-Intelligence und die Quantifizierung von Cyberrisiken als integralen Bestandteil ihres Betriebsmodells.
Über 80 Prozent der Führungskräfte in Deutschland geben an, dass die Komplexität in ihren Unternehmen in Bezug auf Technologie, Daten und Betriebsumgebungen zu hoch ist. Beispielsweise werden Cloud-Umgebungen von rund 77 Prozent als unnötig komplex eingestuft – noch höher liegen die Zahlen bei der Komplexität von Technologie-Anwendungen oder der Governance von Technologieinvestitionen. Die Konsequenzen der Komplexität sind: finanzielle Verluste, Unfähigkeit zur Innovation und für 50 Prozent der Befragten mangelnde Resilienz.
Viele Unternehmen haben einen großen blinden Fleck in Bezug auf Risiken, die von Zulieferern ausgehen: Über 30 Prozent der Führungskräfte in Deutschland haben wenig bis gar kein Verständnis für die IT und Software-Risiken in ihrer Lieferkette. Ähnlich gering ist das Verständnislevel für die Risiken von Sub-Dienstleistern, Cloud und IoT-/Technologieanbietern. Nur rund ein Drittel der Befragten gibt an, dass sie das Risiko von Datenschutzverletzungen durch Dritte sehr gründlich verstehen, indem sie unternehmensweite Bewertungen durchführen. Mehr als die Hälfte – rund 60 Prozent – haben keine Maßnahmen ergriffen, die eine nachhaltigere Wirkung auf ihr Risikomanagement für Dritte versprechen. Beispielsweise haben sie die Kriterien für die Auswahl von Zulieferern nicht verfeinert, die Verträge nicht umgeschrieben und keine Strenge Prüfung bei der Auswahl durchgeführt.
Welchen Einfluss hat der CEO auf die Cybersicherheit im Unternehmen? Laut der befragten Führungskräfte werden ihre CEOs vor allem bei der Berichterstattung zu Cybervorfällen für Aufsichtsbehörden, nach einem Cyberangriff auf die eigene Organisation oder auf die Branche persönlich involviert. Überraschend ist, dass die CEOs in Deutschland im internationalen Vergleich eine deutliche reaktivere Position einnehmen und sich weniger mit proaktiven Cyber-Security-Maßnahmen, wie der Definition von Cyber-Metriken, beschäftigen. So sieht sich die Mehrheit der global befragten CEOs am häufigsten bei Cyber- und Datenschutzangelegenheiten eines neuen Geschäftsmodells betreffend involviert.
Dennoch herrscht Einigkeit bei der Frage nach der Cyber-Mission. CEOs betrachten es als ihre Aufgabe, bei ihren Kunden Vertrauen in Bezug auf die ethische Nutzung ihrer Daten und den Schutz ihrer Daten zu schaffen. Zudem liegt ihre Priorität in besseren Kontrollmechanismen zum Schutz vor Cyberattacken, einer schnelleren Reaktion auf Cyberangriffe und einer starken Krisenbewältigung. CEOs setzen demnach auf die drei Säulen der Cybersicherheit: Schutz, Resilienz und Vertrauen.
Damit steht fest: CEOs geben die auch in puncto Cyber Security die Richtung für die gesamte Organisation vor.
Kann der CEO die Cybersicherheit verbessern?
Mit Dr. Alexander Köppen
Ist Ihr Unternehmen zu komplex, um es zu sichern?
Mit Aleksei Resetko
Sichern Sie Ihre Organisation gegen die wichtigsten Risiken von heute und morgen ab?
Mit Moritz Anders
Wie gut kennen Sie die Cyberrisiken in Ihrer Lieferkette?
Mit Joachim Mohs
Im Rahmen der Global Digital Trust Insights 2022 wurden zwischen Juli und August 2021 insgesamt 3.602 Führungskräfte (CEOs, Corporate Directors, CFOs, CISOs, CIOs und C-Suite-Verantwortliche) aus den Bereichen Wirtschaft, Technologie und Sicherheit zur Entwicklung und Zukunft von Cybersicherheit befragt. 33 Prozent der jeweiligen Unternehmen sind in Westeuropa ansässig, davon 258 in Deutschland, gefolgt von Nordamerika (26 %), Asien-Pazifik (18 %), Lateinamerika (10 %), Osteuropa (4 %), Naher Osten (4 %) und Afrika (4 %).
62 Prozent der Befragten sind Führungskräfte in Unternehmen mit einem Umsatz von 1 Milliarde Dollar und mehr, 33 Prozent in Betrieben mit einem Umsatz von 10 Milliarden Dollar und mehr. Die Teilnehmenden sind in einer Vielzahl von Branchen tätig: Technik, Medien, Telekommunikation (23 %), industrielle Fertigung (22 %), Finanzdienstleistungen (20 %), Einzelhandels- und Verbrauchermärkte (16 %), Energie, Versorgungsunternehmen und Ressourcen (8 %), Gesundheit (7 %) und öffentlicher Dienst (3 %).
Laden Sie sich die Ausgaben der vergangenen Digital Trust Insights herunter:
Partner und Cyber Security & Privacy Leader, PwC Germany
Tel.: +49 69 9585-5377