Cybersicherheit: Unternehmen müssen Führungskräfte stärker einbeziehen

Cyber Attack
Cristina De Luca -

Oktober 17, 2022

Jedes vierte Unternehmen weltweit hat in den letzten drei Jahren eine Datenpanne erlebt – und dafür teilweise 20 Millionen Dollar und mehr bezahlt. Bei vier von fünf Unternehmen mangelt es dabei an einem vergleichbaren und einheitlichen Format für die obligatorische Offenlegung von Cyber-Vorfällen, um das Vertrauen der Stakeholder nicht zu verlieren. Allerdings sind weniger als die Hälfte (42 %) der befragten Führungskräfte davon überzeugt, dass ihr Unternehmen die erforderlichen Informationen über einen relevanten oder bedeutenden Vorfall bereitstellen kann. Das stellt jedenfalls die jährliche PwC-Umfrage Global Digital Trust Insights“ fest. Für die Studie wurden zwischen Juli und August dieses Jahres mehr als 3.500 Führungskräfte in 65 Ländern befragt.

Weniger als 40 % der Führungskräfte geben in der Umfrage an, dass sie das Cybersicherheitsrisiko in kritischen Bereichen vollständig beseitigen konnten – zum Beispiel bei der Ermöglichung von Remote- und Hybridarbeit, der zeitnahen Einführung von Clouds, der verstärkten Nutzung des Internets der Dinge (IoT) oder der weiteren Digitalisierung der Lieferketten.

Neun von zehn Befragten zweifelten zudem an der Fähigkeit ihres Unternehmens, einem Cyberangriff standzuhalten, der ihre Lieferkette unterbricht. Dabei zeigten sich 56 % äußerst oder sehr besorgt.

Die zunehmende Häufigkeit und Raffinesse von Cyberangriffen hat dazu geführt, dass ganzheitliche Ansätze in Bezug auf die Cybersicherheit zu einer Priorität für die Führungsetagen und Stadtverwaltungen geworden sind. Der Grund liegt auf der Hand: Denn die Kosten für Cyberverletzungen liegen laut Einschätzung der befragten Marketingverantwortlichen weitaus höher als die direkten finanziellen Aufwände.

Zu den Schäden, die Unternehmen in den letzten drei Jahren durch eine Cyberverletzung oder einen Datenschutzvorfall erlitten haben, gehören der Verlust von Kunden (27 %) oder Kundendaten (25 %) sowie die Schädigung des Rufs bzw. der Marke (23 %).

Diese beunruhigenden Ereignisse können als Katalysator für die Zusammenarbeit dienen und das Bewusstsein der gesamten Führungsebene schärfen, um in Sachen Cybersicherheit zu handeln. Auch Vorgesetzte beginnen dabei mittlerweile zu begreifen, dass diese Arbeit nur als geschlossene Einheit unter Führung des CISO möglich ist. Nur so lässt sich Cyber-Zukunft auf breiter Ebene angehen und gemeinsam gestalten. Laut den Umfragedaten wollen dementsprechend 46 % der CEOs den CISOs im kommenden Jahr mehr Autorität ausüben, um die Sicherheitszusammenarbeit zu fördern.

Die Vorstandsmitglieder sind außerdem bereit, sich genauer mit Cybersicherheit zu befassen und dem Thema im Jahr 2023 mehr Zeit zu widmen. Dabei glauben sie, dass ihnen CISOs und C-Level Members am besten dabei helfen können, sich mit der Cybersicherheit des Unternehmens vertraut zu machen. Diese neue Ära der Cyber-Transparenz bedeutet aber auch, dass CISOs Informationen so präsentieren müssen, dass der Vorstand, die Geschäftsleitung und die Investoren sie verstehen und dementsprechend handeln können.

Umfrageergebnisse der PwC-Studie 2023 zum Thema Cybersicherheit mit Aufschlüsselung der geplanten Vorgehensweisen von CEOs und Vorstandsmitgliedern
Quelle: PwC

Berater und Mitarbeiter in C-Level-Positionen erkennen zunehmende Bedrohungen für ihre Organisationen – und haben Sorge, darauf nicht vollständig vorbereitet zu sein.

Dabei gibt die Hälfte der Führungskräfte an, dass hauptsächlich mangelnde Sicherheit und Governance die verstärkte Nutzung von Daten bei der Entscheidungsfindung behindern. Sie sehen diese Faktoren damit noch vor mangelnder Datenzugänglichkeit (47 %), Genauigkeit (42 %) und Benutzerfreundlichkeit (42 %).

Steigende Budgets

Der Studie zufolge werden die Unternehmen ihre Ausgaben für Cybersicherheit weiter erhöhen: 65 % der Führungskräfte erwarten für 2023 einen Anstieg in diesem Bereich – verglichen mit 69 % im Jahr 2022. Die Erhöhung wird mit bis zu 10 % jedoch vermutlich geringer ausfallen als in diesem Jahr. Dabei überrascht es aber nicht, dass ganze 68 % der Unternehmen, die Opfer eines Sicherheitsverstoßes geworden sind, ihre Ausgaben für Cybersicherheit im Jahr 2023 erhöhen wollen – bei Unternehmen, die bisher nicht betroffen sind, liegt diese Wahrscheinlichkeit mit 55 % dagegen deutlich niedriger. Etwa jedes zehnte große Unternehmen (mit einem Jahresumsatz von mehr als einer Milliarde US-Dollar) will dabei seine Cyber-Ausgaben um 15 % oder mehr erhöhen.

Umfrage-Übersicht über Unternehmensausgaben für Cybersicherheit
Quelle: PwC

Fast vier von zehn CEOs, CFOs und CISOs finanzieren dabei die Cybersicherheit mithilfe des Budgets für die gesamten Technologieausgaben, einschließlich OT und Automatisierung. Weitere 15 % geben an, in ihrem Etat den Umsatz-Anteil zu berücksichtigen. Mehr als die Hälfte der Unternehmen definiert die Ausgaben für Cybersicherheit dabei anhand von sieben Schlüsselparametern: Dazu gehören die Abstimmung mit der allgemeinen Geschäftsstrategie (55 %), die Berücksichtigung der Cyber-Prioritäten (55 %), der Mehrwert für das Unternehmen (52 %) sowie das Gleichgewicht zwischen sofortigem und langfristigem Bedarf (51 %). Außerdem spielen die Berücksichtigung der Risikobewertung (51 %) sowie der Risikobereitschaft des Unternehmens (51 %) eine Rolle.

Auf der Liste der strategischen Akquisitionen, die CFOs als entscheidend für die Verbesserung der Cyberverteidigungsleistung ihrer Organisationen ansehen, stehen Technologielösungen ganz oben. Tatsächlich ist die Modernisierung, insbesondere der Betriebstechnologie, in vielen Unternehmen immer noch ein Problem. Veraltete Systeme und die Behebung ihrer Schwachstellen sind nach Ansicht von CISOs, CIOs und CTOs die größten Hindernisse für die Verbesserung der Sicherheit der Betriebstechnologie.

Beunruhigende Szenarien

Die Studie weist auch auf drei Cyber-Ereignisse hin, die den leitenden Angestellten derzeit am meisten Sorgen bereiten:

  • 38 % erwarten im Jahr 2023 einen Anstieg schwerwiegender Angriffe über die Cloud.
  • 29 % der großen Organisationen erwarten eine Zunahme von OT-Angriffen.
  • 45 % der Sicherheits- und IT-Führungskräfte erwarten vermehrt Ransomware-Angriffe.

Somit sehen zwei Drittel der Führungskräfte Cyberkriminelle als bedeutendsten Bedrohungsvektor für ihre Unternehmen im kommenden Jahr.

Übersicht der Bedrohungen für Unternehmen, geordnet nach ihrer Bedeutung laut der PwC-Umfrage 2023
Quelle: PwC