WEF Jahresbericht: Unternehmen und Cybersicherheit müssen sich abstimmen

Nehmen Führungskräfte in der Wirtschaft und die Sicherheitsbranche Cyber-Bedrohungen auf dieselbe Weise wahr? Offensichtlich nicht, wie der jüngste Jahresbericht des Weltwirtschaftsforums (WEF) The Global Cybersecurity Outlook 2022 zeigt. Eines der Ergebnisse dieser Studie macht deutlich, dass 80 % der Verantwortlichen für Cybersicherheit Ransomware als „Gefahr“ oder „Bedrohung“ ansehen. Auf der anderen Seite halten die Leiter der Geschäftsbereiche ihre Unternehmen für sicher. Allem Anschein nach ignorieren sie die Tatsache, dass der durchschnittliche Aktienkurs von gehackten Unternehmen an der NASDAQ auch noch sechs Monate nach dem Vorfall 3 % weniger beträgt.

Auch andere Zahlen unterstreichen den Unterschied in der Sichtweise zwischen den beiden Bereichen. Etwa 92 % der Führungskräfte in der Wirtschaft sagen, dass die Widerstandsfähigkeit gegenüber Cyberangriffen Teil der Risikomanagementstrategien von Unternehmen ist – aber nur 55 % der Führungskräfte im Bereich der Cybersicherheit stimmen dem zu. Solche Divergenzen, die auf uneinheitliche Prioritäten und Richtlinien zurückzuführen sind, können Unternehmen anfälliger für Angriffe machen.

Der Umfrage zufolge räumen fast zwei Drittel der Befragten ein, dass es schwierig ist, auf Cyber-Vorfälle zu reagieren, weil es ihren Teams an den entsprechenden Fähigkeiten mangelt. Noch besorgniserregender ist vielleicht, dass es im Durchschnitt 280 Tage dauert, bis ein Cyberangriff erkannt und bekämpft wird. Dementsprechend hält weniger als ein Fünftel der Führungskräfte im Bereich Cybersicherheit ihre Unternehmen für cyber-resilient. Dabei sind die drei größten Sorgen, die ihnen nachts den Schlaf rauben:

• Sie werden bei Geschäftsentscheidungen nicht konsultiert und haben Schwierigkeiten, Unterstützung zu erhalten und Cyberrisiken zu priorisieren.
• Ein weiteres großes Problem ist die Anwerbung und Bindung von Fachpersonal. Den Führungskräften scheint nicht klar zu sein, dass ein schlecht ausgebildetes Team eine ihrer größten Schwachstellen bei der Bekämpfung von Cyberangriffen ist.
• Fast neun von zehn Führungskräften sehen kleine und mittlere Unternehmen als das schwächste Glied in der Kette an – 40 % der Befragten waren selbst von den Auswirkungen eines Cybersicherheitsvorfalls in ihrem Umfeld betroffen.

Vorschläge zur Erhöhung der Widerstandsfähigkeit

Die Studie unterstreicht, dass für die Entwicklung effektiver, unternehmensfreundlicher und widerstandsfähiger Cybersicherheitsprogramme ein tieferes Verständnis der Unternehmensabläufe erforderlich ist. Dies betrifft sowohl die horizontale Ebene (Kerngeschäftsfunktionen, die mehr Aufmerksamkeit und Schutz erfordern) als auch die vertikale Ebene (Cybersicherheitsgrundsätze und -maßnahmen zur Bewältigung untragbarer Risiken).

Um dies zu erreichen, sollten die Verantwortlichen für Cybersicherheit regelmäßig mit den verschiedenen Geschäftsbereichen interagieren und sie in die Strategieentwicklung einbeziehen. Gleichzeitig müssen sich ihre Kollegen in den verschiedenen Geschäftsbereichen mit den Verantwortlichen für Cybersicherheit austauschen, um sicherzustellen, dass die Cybersicherheit nicht zu spät in die Entscheidungen einfließt. Alle Gruppen müssen also ihre Kommunikation in beide Richtungen aufbauen und pflegen.

Darüber hinaus sollte die oberste Führungsebene von Unternehmen die Verantwortlichen für Cybersicherheit unterstützen – indem sie ein ausreichendes Budget zur Verfügung stellt und diese auch an Geschäftsentscheidungen beteiligt. Dadurch können die Ziele beider Bereiche aufeinander abgestimmt und beispielsweise die Cyber-Resilienz in die KPIs (Key Performance Indicators) aufgenommen werden.

Die Studie unterstreicht auch, dass es innovativer Lösungen bedarf, um mehr Fachkräfte für den Bereich der Cybersicherheit zu gewinnen. So ließe sich der Fachkräftemangel überwinden, der eine echte Bedrohung für die Geschäftskontinuität und die nationale Verteidigung der Länder darstellt. Um einen Beitrag zu leisten, bietet der WEF-eigene Learning Hub Zugang zu kostenlosen Schulungsmodulen im Bereich Cybersicherheit, Informationen über berufliche Perspektiven und Interviews mit Experten. Außerdem wurde betont, wie sehr Partnerships und eine gemeinsame Plattform die Zusammenarbeit in einem widerstandsfähigeren Ökosystem erleichtern – über 90 % der Befragten bestätigten den Wert von Partnerships mit der Angabe, wertvolle Erkenntnisse von externen Gruppen und/oder Partnern zu erhalten.

58 % der Befragten sind dabei der Meinung, dass ihre Zulieferer weniger widerstandsfähig sind als ihre eigenen Unternehmen. Um diese berechtigten Bedenken hinsichtlich der Anfälligkeit von Lieferketten zu überprüfen und zu zerstreuen, sind laut WEF Maßnahmen an drei Fronten erforderlich:

• Kartieren Sie die Netzwerke vollständig – einschließlich aller Endpunkte;
• Stärken Sie die Beziehungen zu anderen Akteuren innerhalb des Ökosystems;
• Investieren Sie Ihre Ressourcen nicht nur in die Prävention, sondern auch in die Widerstandsfähigkeit des Netzwerks;

Und da selbst die größten und ressourcenstärksten Organisationen nicht gegen Angriffe gefeit sind, ist es das Gebot der Stunde, maximal in die Cyber-Resilienz zu investieren – einerseits um Vorfälle zu verhindern, aber auch, um sich schnell von etwaigen Betriebsunterbrechungen zu erholen. Robert Silvers, Unterstaatssekretär für Politik und Strategiepläne im US-Ministerium für Heimatschutz, meint dazu: „Unternehmen werden nicht danach beurteilt, ob sie von einem Cyberangriff betroffen sind, sondern nach der Art ihrer Reaktion.“