Studie Cybersicherheit durch komplexe IT und Firmenstrukturen gefährdet

Von Marie Lücke

Umfrageergebnisse von PwC zeigen, dass vier von fünf IT-Führungskräften in Deutschland Risiken in Bezug auf Cybersicherheit und Datenschutz in ihren Unternehmen sehen. Der Grund: zu komplexe Technologien, Geschäftsbeziehungen und Lieferantennetzwerke.

Anbieter zum Thema

PwC veröffentlicht eine Studie zur Cybersicherheit in großen Unternehmen weltweit.
PwC veröffentlicht eine Studie zur Cybersicherheit in großen Unternehmen weltweit.
(Bild: © 2021 PricewaterhouseCoopers GmbH Wirtschaftsprüfungsgesellschaft. Alle Rechte vorbehalten.)

Mehr als 80 Prozent der Führungskräfte in Deutschland geben an, dass die Komplexität in ihren Unternehmen in Bezug auf Technologie, Daten und Betriebsumgebungen zu hoch ist. Viele Chief Information Security Officers (CISOs) und IT-Sicherheitsbeauftragte schätzen, dass die Betriebe daher nicht optimal gegen Cyberangriffe geschützt sind. Das zeigt die aktuelle Studie „Digital Trust Insights 2022“ der Wirtschaftsprüfungs- und Beratungsgesellschaft Pricewaterhouse Coopers GmbH (PwC), wie das Unternehmen mitteilt.

Für die Studie hat PwC im Juli und August 2021 nach eigenen Angaben über 3.600 Führungskräfte aus Wirtschaft und Technologie weltweit zu den Herausforderungen und Chancen im Bereich Cybersicherheit befragt, 258 Unternehmen davon sind in Deutschland ansässig.

Die Umfragewerte zeigen, dass 60 Prozent nicht ausreichend über das Risiko von Datenschutzverletzungen durch Dritte informiert sind, 20 Prozent wissen wenig oder gar nichts darüber. Trotz der Erwartungen eines Anstiegs der Cyber-Kriminalität von mehr als der Hälfte der Befragten in Deutschland, setzen nur 21 Prozent sicherheitsrelevante Technologien wie Real-Time-Threat-Intelligence als integralen Bestandteil ihres Betriebsmodells ein.

Komplexe Systeme erschweren Sicherheit

Vor allem die Regulierung von Investitionen in Technologien, aber auch Cloud-Umgebungen halten 85 beziehungsweise 77 Prozent der deutschen Befragten für zu komplex. Die meisten befürchten durch die hohe Komplexität fehlende Resilienz, finanzielle Verluste und mangelnde Innovationsfähigkeit.

Innerhalb des eigenen Unternehmens konnten zwar 72 Prozent ihre Geschäftsumgebung in den letzten zwei Jahren vereinfachen, indem sie Technologien komplett oder teilweise rationalisiert haben. Moritz Anders, Partner im Bereich Cyber Security and Privacy bei PwC Deutschland, sieht dennoch deutlichen Handlungsbedarf: „Unternehmen nutzen zu selten Daten und Automatisierung, um ihre Prozesse effizienter zu gestalten.“ Dabei würde dies zur schnelleren Erfassung der Cyberrisiken und zur Gewährleistung von IT-Sicherheit führen, so Anders.

Blinde Flecken: Cyberrisiken in der Lieferkette

Mehr als 80 Prozent der Führungskräfte in Deutschland sehen eine zu hohe Komplexität in ihren Unternehmen in Bezug auf Technologie, Daten und Betriebsumgebungen.
Mehr als 80 Prozent der Führungskräfte in Deutschland sehen eine zu hohe Komplexität in ihren Unternehmen in Bezug auf Technologie, Daten und Betriebsumgebungen.
(Bild: Pricewaterhouse Coopers GmbH)

Komplex seien laut Studie teilweise auch die Beziehungen zu Zulieferern: Rund ein Drittel (32 Prozent) der Führungskräfte in Deutschland verstehen die IT- und Software-Risiken in ihrer Lieferkette wenig oder gar nicht. Auch die Verhältnisse zu Sub-Dienstleistern sind für 30 Prozent der Befragten undurchsichtig, ebenso wie zu Anbietern von Cloud-Lösungen (29 Prozent), IoT oder anderer Technologien (28 Prozent).

Immerhin 38 Prozent der Befragten gaben an, dass sie in den letzten zwölf Monaten Audits bei Zulieferern durchgeführt haben, um die Sicherheitslage und Compliance einzuschätzen.

Für Grant Waterfall, EMEA Cyber Security and Privacy Leader bei PwC, ist die passende Auswahl von Dienstleistern ein zentraler Faktor für Cybersicherheit: „Organisationen haben einen großen blinden Fleck, was Risiken durch Dritte und die Lieferkette angeht. Zu viele Unternehmen versäumen es, die wichtigsten kritischen Beziehungen zu entschlüsseln oder Anbieter hinsichtlich Performance-Standards zu prüfen, um die Schwachstellen in der Lieferkette zu finden.”

Zögerliche Anwendung von Threat Intelligence

Mehr als die Hälfte der Befragten in Deutschland erwarten eine Zunahme der Angriffe und meldepflichtiger Vorfälle.
Mehr als die Hälfte der Befragten in Deutschland erwarten eine Zunahme der Angriffe und meldepflichtiger Vorfälle.
(Bild: Pricewaterhouse Coopers GmbH)

Rund drei von fünf Befragten in Deutschland (57 Prozent) sind der Ansicht, dass Cyberkriminalität im kommenden Jahr im Vergleich zu 2021 zunehmen wird – vor allem in den Bereichen Mobile (56 Prozent), IoT (59 Prozent) und Cloud (58 Prozent). 59 Prozent erwarten einen Anstieg von Ransomware-Angriffen, fast genauso viele gehen von zunehmender Malware durch Software-Updates (58 Prozent) und mehr Angriffen auf Cloud-Services (57 Prozent) aus.

Die Prävention solcher Angriffe erfolgt dabei nicht immer geordnet; Entscheidungen über Investitionen oder das Management von Cyberrisiken basieren etwa erstaunlich selten auf einer soliden Datenbasis: Nur etwa ein Drittel der befragten Unternehmen verfügt über ein vollständiges Data-Governance-Programm.

Außerdem bemerkenswert: In Deutschland betrachten weniger Befragte (21 Prozent) eine Threat Intelligence in Echtzeit als wesentlich für ihr Cyber-Security-Betriebsmodell als weltweit (30 Prozent). Nur für 21 Prozent (global: 26 Prozent) stellt die Quantifizierung von Cyberrisiken einen integralen Bestandteil ihres Betriebsmodells dar, wie Moritz Anders feststellt: „Cyberrisiken sind auch Unternehmensrisiken. Idealerweise sollten Unternehmen die Sicherheitslage immer ganzheitlich betrachten. Die reine Risikobewertung als Momentaufnahme hat bei der heutigen Bedrohungslage ausgedient. An ihre Stelle tritt ein Risiko-Reporting in Echtzeit.“

Rolle der CEOs: Vertrauen in Sicherheit sowie Resilienz schaffen

Eine Vorreiterrolle bei der Cybersicherheit kommt CEOs zu. Laut den befragten Führungskräften aus Deutschland engagieren sich ihre CEOs vor allem bei der Berichterstattung zu Cybervorfällen für Aufsichtsbehörden. Auch nach Cyberangriffen auf die eigene Organisation oder Branche werden CEOs selbst aktiv.

Auffällig: Die Unternehmen, deren CEOs sich engagieren und den Bereich Cybersicherheit für wachstums- und vertrauensrelevant halten, haben in den letzten zwei Jahren signifikant häufiger Fortschritte bei der Digitalisierung gemacht.

Die Tipps des PwC-Experten: Um die Cybersicherheit im gesamten Unternehmen zu verbessern, hilft es, das Target Operating Model für Informationssicherheit noch einmal strategisch sauber herzuleiten und organisatorisch zu verankern. Auf der anderen Seite können CEOs Cyberrisiken effektiv managen, indem sie diese quantifizieren und damit Investitionen gezielt an den Stellen tätigen können, wo die größten Effekte zu erwarten sind.

Die vollständige Studie von PwC finden Sie unter https://www.pwc.de/dti2022.

Jetzt Newsletter abonnieren

Verpassen Sie nicht unsere besten Inhalte

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

(ID:47774567)