Umfrage: Komplexe IT und Firmenstrukturen gefährden die Cybersicherheit

Manager in Deutschland erachten unübersichtliche Technologien, Datenbestände, Betriebsumgebungen und Lieferketten als große Einfallstore für Cyberangreifer.

In Pocket speichern vorlesen Druckansicht 7 Kommentare lesen

(Bild: Gorodenkoff/Shutterstock.com)

Lesezeit: 4 Min.

82 Prozent der Führungskräfte in Deutschland – darunter viele Chief Information Officers (CIOs) und IT-Sicherheitsbeauftragte – geben an, dass die Komplexität in ihren Unternehmen in Bezug auf Technologie, Daten und Betriebsumgebungen zu hoch ist. Sie sehen dies als einen wichtigen Grund dafür an, dass die Betriebe nicht optimal gegen Cyberangriffe geschützt sind. 77 Prozent halten Cloud-Umgebungen, 85 Prozent die allgemeinen Regeln für Investitionen in Informations- und Kommunikationstechnologien für zu unübersichtlich

Dies geht aus der Studie "Digital Trust Insights 2022" hervor, die PricewaterhouseCoopers (PwC) am Dienstag veröffentlicht hat. Die Wirtschaftsprüfungs- und Beratungsgesellschaft befragte dafür im Juli und August insgesamt 3602 Führungskräfte vom Geschäftsführer bis zu IT-Beauftragten aus den Bereichen Wirtschaft, Technologie und Sicherheit zur Entwicklung der IT-Security. 33 Prozent der jeweiligen Unternehmen sind in Westeuropa ansässig, davon 258 in Deutschland, gefolgt von Nordamerika (26 Prozent) und dem Raum Asien-Pazifik (18 Prozent). Zu geringeren Anteilen einbezogen wurden Firmen in Lateinamerika, Osteuropa, im Nahen Osten sowie in Afrika.

Die Konsequenzen der Komplexität sind laut der Studie finanzielle Verluste, Unfähigkeit zur Innovation und für 50 Prozent der Befragten mangelnde Resilienz. Innerhalb des eigenen Unternehmens konnten nach eigenen Angaben aber 72 Prozent ihre Geschäftsumgebung in den vergangenen zwei Jahren vereinfachen, indem sie Techniken komplett oder teilweise eingespart und angepasst haben.

Viele Unternehmen haben zudem einen großen blinden Fleck in Bezug auf Risiken, die von Zulieferern ausgehen: Rund ein Drittel (32 Prozent) der Führungskräfte in Deutschland verstehen die IT- und Software-Risiken in ihrer Lieferkette wenig oder gar nicht. Auch die Verhältnisse zu Sub-Dienstleistern sind für 30 Prozent der Befragten undurchsichtig, ebenso wie zu Anbietern im Bereich Cloud (29 Prozent), Internet der Dinge (IoT) oder anderen Technologien (28 Prozent). Immerhin 38 Prozent der Befragten gaben an, dass sie in den vergangenen zwölf Monaten Audits bei Zulieferern durchgeführt haben, um die Sicherheitslage und das Einhalten von Vorgaben einzuschätzen.

Rund 60 Prozent haben aber keine Maßnahmen ergriffen, die eine nachhaltigere Wirkung auf ihr Risikomanagement für Dritte versprechen. Sie haben den Beratern zufolge etwa die Kriterien für die Auswahl von Zulieferern nicht verfeinert, Verträge nicht umgeschrieben und keine strenge Prüfung bei der Auswahl von Partnern durchgeführt.

"Die Folgen eines Angriffs nehmen zu, je komplexer die Abhängigkeiten zwischen unseren Systemen werden", heißt es dazu bei PwC. "Kritische Infrastrukturen sind besonders verwundbar. Immer raffiniertere Angreifer durchforsteten die dunklen Ecken unserer Systeme und Netzwerke, suchen – und finden – Schwachstellen." Angreifer setzten alle ihnen zur Verfügung stehenden Mittel ein, um eine wie auch immer gestaltete digitale Achillesferse einer Organisation auszunutzen.

Rund drei von fünf Befragten in Deutschland (57 Prozent) sind der Ansicht, dass Cyberkriminalität im kommenden Jahr im Vergleich zu 2021 zunehmen wird. Sie haben dabei vor allem die Bereiche IoT (59 Prozent), Cloud (58 Prozent und mobiles Netz (56 Prozent) im Blick. 59 Prozent erwarten einen Anstieg von Ransomware-Angriffen, fast genauso viele gehen von zunehmender Malware durch Software-Updates und mehr Attacken auf Cloud-Services aus.

56 Prozent der Unternehmen in Deutschland erwarten 2022 einen Anstieg der Cybersicherheit-Ausgaben, verglichen mit 51 Prozent bei der Vorjahresumfrage. In Deutschland ist der Anteil derjenigen, die hier mit einem Plus von über zehn Prozent rechnen, von fünf Prozent auf 19 Prozent gestiegen.

Entscheidungen über Investitionen oder das Management von Cyberrisiken basieren aber selten auf einer soliden Datenbasis: Nur etwa ein Drittel der befragten Unternehmen verfügt über ein vollständiges "Data-Governance-Programm". Zudem betrachten nur 21 Prozent der hiesigen Teilnehmer die Abwehr von Bedrohungen in Echtzeit ("Real-Time-Threat-Intelligence") und die Quantifizierung von Cyberrisiken als integralen Bestandteil ihres Betriebsmodells. Weltweit liegt die Quote bei 26 Prozent.

Eine Vorreiterrolle bei der Cybersicherheit kommt Firmenchefs zu. Laut den befragten Führungskräften aus Deutschland engagieren sich ihre CEOs vor allem bei der Berichterstattung zu Cybervorfällen für Aufsichtsbehörden. Auch nach IT-Angriffen auf die eigene Organisation oder Branche werden Geschäftsführer selbst aktiv. Die Unternehmen, deren Chefs Cybersicherheit für wachstums- und vertrauensrelevant halten, haben den Beratern zufolge in den vergangenen zwei Jahren signifikant häufiger Fortschritte bei der Digitalisierung gemacht.

(olb)