Ihr Experte für Fragen
Grant Waterfall
Cyber Security & Privacy Leader, PwC Germany
Tel.: +49 69 9585-5377
E-Mail
Alte Bedrohungsakteure, neue Gefahren
Neue Arbeitsmodelle, strengere Regularien und eine anhaltend beschleunigte Digitalisierung haben die Vorzeichen für die Cybersicherheit in Unternehmen einmal mehr verschoben. Die Entwicklung zeigt mehr denn je, dass IT-Security kein singuläres Projekt, sondern ein konstanter Prozess ist – erst recht, wenn man sie als Säule der unternehmerischen Resilienz versteht.
So stellen elaborierte Cyberattacken unserer Umfrage zufolge in den nächsten ein bis zwei Jahren das Szenario dar, das Unternehmen mit höchster Priorität in ihrer Resilienzstrategie verankern – noch vor den Risiken einer globalen Rezession oder COVID-19-bezogenen Disruptionen.
Doch wie gut sind Unternehmen darauf vorbereitet, existenzbedrohende Cyberattacken zu bewältigen? Wo sehen sie die größten Gefahren? Und was sind sie bereit zu investieren, um den Schutz vor Ransomware, Datendiebstahl und Co. ganzheitlich umzusetzen? Auf diese und viele andere Fragen gibt unsere globale Befragung Antworten.
Die Studie im Überblick
Cloud-Dienste im Visier der Cyberkriminellen
Die Bemühungen der Cyber-Security-Teams aus dem vergangenen Jahr zeigen Wirkung. Vor allem das Bewusstsein für die drohenden Gefahren ist in Hinblick auf die beschleunigte Digitalisierung und die Implikationen der geopolitischen Lage deutlich gestiegen. Dennoch gaben von den deutschen Unternehmen weniger als 25 Prozent an, bestehende Risiken nahezu vollständig mitigiert zu haben. Das bereitet vielen Unternehmen vor allem in Hinblick auf ihre Cloud-Adaption sorgen. Viele deutsche Unternehmen (35 %) befürchten, dass Exploits (Ausnutzung von Sicherheitsproblemen) von Cloud-Komponentendiensten im nächsten Jahr signifikant zunehmen werden. Denn die mit der Cloud-Adaption einhergehenden Risiken hat der Umfrage zufolge ebenfalls nur jedes vierte Unternehmen (nahezu) vollständig reduziert. Dabei sind die meisten Unternehmen relativ zuversichtlich, gegen gängige Risiken wie Fehlkonfigurationen, nachlässiges Berechtigungsmanagement oder mangelhafte API-Verwaltung abgesichert zu sein.
Verantwortlichkeiten auf Vorstandsebene variieren
Bereits die Untersuchungen der vergangenen Jahre haben gezeigt, dass Cyber Security auch auf Vorstandsebene immer wichtiger wird. Ein Trend, der sich auch in diesem Jahr fortsetzt. Mit Blick auf die deutschen Ergebnisse fällt auf, dass bei der Kommunikation mit Stakeholdern, der Anschaffung neuer Lösungen oder der Reaktion auf Vorfälle in Deutschland vor allem die Chief Information Officer (CIO) gefragt sind – Aufgaben, für die auf internationaler Ebene bereits über weite Strecken dezidierte Chief Information Security Officer (CISO) zuständig sind. Eine Abweichung, die darauf hindeuten könnte, dass der Einfluss der CISOs im Vorstand deutscher Unternehmen noch nicht so ausgeprägt ist wie auf internationaler Ebene.
Die Rolle des CEOs wird derweil im Kontext der Berichterstattung gut sichtbar. Denn während Angelegenheiten der Cyber Security auf internationaler Ebene am häufigsten an das Board berichtet werden, informieren deutsche Unternehmen mehrheitlich den oder die CEO über aktuelle Entwicklungen in diesem Bereich.
Stakeholder erwarten mehr Transparenz in Hinblick auf die IT-Sicherheit
Neben dem Board und der Geschäftsführung werden in Deutschland direkte Teilnehmer der Wertschöpfungskette sowie Behörden als wichtige Stakeholder in der Informationskette eingeordnet. Hier spielt die Berichterstattung eine wichtige Rolle für die Integrität. So gaben 76 Prozent der deutschen Umfrageteilnehmer:innen an (global 79 %), dass eine standardisierte und einheitliche Offenlegung von Cybervorfällen notwendig ist, um das Vertrauen der Stakeholder zu stärken. Zugleich könnten in Deutschland auch gesetzliche Regularien und Audits wie die KRITIS-Verordnung ein Treiber für eine transparentere Berichterstattung sein. So fällt auf, dass hiesige Unternehmen im internationalen Vergleich (Häufigkeit nach Ranking Position 3 vs. Position 6) deutlich häufiger angaben, in den letzten Jahren einen erhöhten Druck seitens der Behörden erfahren zu haben. Das wirkt sich wiederum unmittelbar auf die interne Organisation aus: 69 Prozent der deutschen Unternehmen gaben an, dass es ihren Cyber-Security-Teams gelungen sei, ihre Anstrengungen bereichsübergreifend zu orchestrieren, um neuen Regularien zu entsprechen.
Der Konsens ist eindeutig: Eine umfangreiche Cyber-Security-Berichterstattung ist den Befragten zufolge der Schlüssel für eine erfolgreiche Zusammenarbeit. Bei der Umsetzung gibt es aber noch deutlichen Aufholbedarf, denn nur 35 Prozent der deutschen Unternehmen glauben, dass sie Cyber-Security-Praktiken, -Strategien und -Vorfälle nach außen hin wirksam offenlegen können.
Interesse geweckt?
Registrieren Sie sich hier für den Download des deutschsprachigen Studienreports!
Budgets für Cyber Security wachsen weiter
Bei 56 Prozent der deutschen Unternehmen steigt das Budget für Cyber Security im nächsten Jahr. Das Verhältnis zwischen Erhöhung und Rückgang des Budgets bleibt damit auf dem Niveau des vergangenen Jahres, dennoch unter dem globalen Schnitt. Sowohl in Deutschland als auch international entscheiden in den häufigsten Fällen die Chief Financial Officer (CFO) über den Etat – dicht gefolgt von der Geschäftsführung und der IT-Leitung. Das Budget setzt sich zumeist (38 %) aus prozentualen Anteilen der IT-Aufwendungen sowie der Ausgaben für Automatisierung und Betriebstechnologien zusammen.
Betriebstechnologie weiterhin gefährdet
Jedes vierte deutsche Unternehmen (26 %) erwartet einen signifikanten Anstieg der Attacken auf Infrastrukturen im Zusammenhang mit Industrial Internet of Things (IIoT) und Betriebstechnologien (Operational Technology, OT). Entsprechende Angriffe sind für 43 Prozent der Unternehmen vor allem aufgrund eines Mangels an spezifischen Lösungen für die OT-Sicherheit ein Problem. Darüber hinaus erhöhen fehlende Synergien zwischen den IT- und OT-Teams das Risiko, da Angreifer:innen auf diese Weise viele blinde Flecken ausnutzen können. So gaben 38 Prozent der deutschen Unternehmen an, dass unklare Verantwortlichkeiten zwischen beiden Fachbereichen zu den größten Herausforderungen gehören, um die Sicherheit an der IT-OT-Schnittstelle zu verbessern. Immerhin 64 Prozent der deutschen Führungskräfte bestätigten, dass sie die Zusammenarbeit der Teams in den letzten zwölf Monaten verstärken konnten.
Ebenfalls problematisch bleibt das fehlende Bewusstsein für die Folgen elaborierter Cyberattacken. So gaben 37 Prozent der Führungskräfte an, dass potenzielle Risiken und Auswirkungen von Angriffen nicht hinreichend bewertet werden. Ein erhöhtes Bewusstsein für die Sicherheit an der Schnittstelle von IT und OT ist vor allem mit Blick auf die Kritischen Infrastrukturen von hoher Bedeutung. Denn Cyberangriffe auf Organisationen wie Stadtwerke, Energieversorger oder Lebensmittelproduzenten können erhebliche Folgen für das Gemeinwohl haben.
Drei Fragen an Grant Waterfall
Welche Anforderungen an die Cybersicherheit gewinnen im kommenden Jahr an Bedeutung?
Neben dem technologisch getriebenen Schutz der IT-Infrastrukturen wird es für Unternehmen in den nächsten Jahren wichtiger, ihre Transparenz rund um sämtliche Belange der Cybersicherheit zu erhöhen. Kunden, Partner, Investoren und andere Stakeholder erwarten zunehmend, über etwaige Risiken in diesem Zusammenhang informiert zu werden. Darüber hinaus spielt die Informationspolitik bei konkreten Vorfällen eine wichtigere Rolle. Auch hier gilt es, im Rahmen der Möglichkeiten mit offenen Karten zu spielen. Für beide Aspekte fehlt es bislang aber noch an einheitlichen Standards und Vorgaben für die Berichterstattung. Europäische und insbesondere deutsche Unternehmen sind hier insofern im Vorteil, als dass bereits ein starkes Regelwerk seitens der Gesetzgeber existiert. Die Relevanz nationaler und europaweiter Regularien spiegelt sich nicht zuletzt auch in den Ergebnissen der Umfrage wider.
Wie gelingt es Unternehmen, mehr Transparenz in die Abläufe und Kennzahlen rund um die IT-Sicherheit zu bekommen?
Transparenz erfordert zunächst einmal Vereinfachung. Um ein klares Bild von sämtlichen Vorgängen, Risiken und Schwachstellen zu erhalten, müssen Unternehmen die Komplexität ihrer IT-Sicherheitsorganisation also erstmal grundlegend reduzieren. Das gelingt zum Beispiel, indem sie manuelle und wiederkehrende Tätigkeiten wie das Monitoring oder Reporting automatisieren. Das gleiche gilt für die Früherkennung potenzieller Gefahren. KI-gestützte Lösungen sind beispielsweise in der Lage, verdächtige Netzwerkbewegungen deutlich früher als menschliche Fachleute zu erkennen. Voraussetzung für solche Automatisierungsvorgänge sind wiederum fortgeschrittene Analytics-Lösungen, die aus den Daten die richtigen Schlüsse ziehen. Greifen diese Technologien richtig ineinander, bietet sich Unternehmen ein klares Bild der potenziellen Angriffsfläche. Dennoch kann ein solches Tool zur Angriffserkennung nur dann helfen, wenn beispielsweise im Vorfeld ein manuelles Reporting zu Sicherheitsvorfällen existiert, das es so zu optimieren gilt. Tools sind nur ein wichtiger Baustein einer ganzheitlichen Cyber Security.
Was würden Sie deutschen Unternehmen in Hinblick auf die Umfrageergebnisse raten?
Eine auffällige Abweichung zu den internationalen Ergebnissen ist sicher die Verteilung der Vorstandsverantwortlichkeiten in puncto Cybersicherheit. Während auf globaler Ebene in erster Linie Chief Information Security Officer (CISO) mit den Führungsaufgaben rund um die IT-Sicherheit betraut sind, übernehmen diese Aufgabe in Deutschland immer noch überwiegend die Chief Information Officer (CIO). Das könnte ein Anzeichen dafür sein, dass der Einfluss der deutschen CISOs auf Board-Ebene noch wachsen muss. Ab einer bestimmten Unternehmensgröße ist das meiner Meinung nach unumgänglich. CIOs sind bereits mit der digitalen Transformation ihrer Organisationen voll ausgelastet – Cybersicherheit droht in solchen Konstellationen schnell zur Nebensache zu werden. Die aktuelle Gefährdungslage zeigt allerdings, dass das Thema die volle Aufmerksamkeit erfordert, erst recht auf Vorstandsebene.
Interesse geweckt?
Registrieren Sie sich hier für den Download des deutschsprachigen Studienreports!
Die Methodik
Im Rahmen der Global Digital Trust Insights 2023 wurden zwischen Juli und August 2022 insgesamt 3.522 Führungskräfte (CEOs, Corporate Directors, CFOs, CISOs, CIOs und C-Suite-Verantwortliche) aus den Bereichen Wirtschaft, Technologie und Sicherheit zur Entwicklung und Zukunft von Cybersicherheit befragt. 31 Prozent der jeweiligen Unternehmen sind in Westeuropa ansässig, davon 242 in Deutschland, gefolgt von Nordamerika (28 %), Asien-Pazifik (18 %), Lateinamerika (12 %), Osteuropa (5 %), Naher Osten (3 %) und Afrika (4 %).
52 Prozent der Befragten sind Führungskräfte in Unternehmen mit einem Umsatz von einer Milliarde Dollar und mehr, 16 Prozent in Betrieben mit einem Umsatz von zehn Milliarden Dollar und mehr. Die Teilnehmenden sind in einer Vielzahl von Branchen tätig: Technik, Medien, Telekommunikation (21 %), industrielle Fertigung (24 %), Finanzdienstleistungen (20 %), Einzelhandels- und Verbrauchermärkte (18 %), Energie, Versorgungsunternehmen und Ressourcen (9 %), Gesundheit (5 %) und öffentlicher Dienst (3 %).
Follow us
Contact us
