Im Herbst 2021 beauftragte BlueVoyant, eine integrierte End-to-End-Cyber-Defense-Plattform, das unabhängige Marktforschungs-unternehmen Opinion Matters mit der Durchführung seiner zweiten jährlichen Umfrage. Zu den wesentlichen Ergebnissen der Umfrage zählte die Erkenntnis, dass trotz hoher Vorfallzahlen Unternehmen in Deutschland, Österreich und der Schweiz in Bezug auf das Cyberrisikomanagement in der Lieferkette uneinheitlich vorgehen. Bewusstsein, Priorisierung und Überwachung sind ungenügend ausgeprägt.
Die Ergebnisse für die DACH-Region rütteln auf: steigende Angriffszahlen, mangelhafte Zulieferer-Transparenz und fehlende Einblicke in die Cybersicherheit bei Drittanbietern. 99 % der befragten Unternehmen mit Sitz in der DACH-Region sind eigenen Angaben zufolge im vergangenen Jahr einem direkten Angriff aufgrund von Schwachstellen bei der Cybersicherheit von Drittanbietern zum Opfer gefallen. Dieser Wert ist höher als der Durchschnitt von 93 % bei den 2021 befragten Unternehmen.
Die durchschnittliche Anzahl von Sicherheitsverletzungen mit Ursprung in der Lieferkette ist mit 3,57 pro Unternehmen relativ hoch. 54 % meldeten zwischen zwei und fünf Cyberangriffe. Bei 21 % waren es sogar zwischen sechs und zehn Angriffe, was etwas über den durchschnittlichen Wert von 19 % im Jahr 2021 liegt.
Im Vergleich mit Unternehmen in anderen Regionen räumen Umfrageteilnehmer in der DACH-Region ein, dass Cyberrisiken bei Drittanbietern für sie kein Thema sind. Der Anteil liegt mit 35,5 % höher als der Gesamtdurchschnitt bei allen Regionen (29 %). 43 % gaben an, die Verwaltung von Cyberrisiken bei Drittanbietern habe für ihr Unternehmen höchste Priorität, und 22 % überwachen alle ihre externen Zulieferer auf potenzielle Probleme bei der Cybersicherheit.
Der Anteil von Unternehmen, deren Lieferkette zwischen 1.001 und 10.000 Zulieferer umfasst, liegt bei 42 %. Bei 33 % beträgt die Lieferkettengröße 501–1.000 Zulieferer. Im Durchschnitt umfassen Lieferketten in der DACH-Region 5.481 Drittanbieter.
Angesichts steigender Anbieterzahlen wird deutlich, wie sehr es Unternehmen in der DACH-Region an Einblick in die Cybersicherheitsstrategien ihrer Zulieferer mangelt. Der Anteil von Umfrageteilnehmern, die einräumen, von Problemen bei Sicherheitsanbietern nichts zu erfahren, liegt bei 40 %. Nur solche Unternehmen in dieser Region, die sich dieser höchst komplexen Herausforderung stellen, werden in der Lage sein, dem wachsenden organisatorischen Risiko aufgrund von steigenden Angriffszahlen etwas entgegenzusetzen.
„Die Ergebnisse zeigen, dass die befragten Unternehmen in Deutschland, Österreich und der Schweiz trotz der hohen Zahl an kritischen Vorfällen, die das Cyberrisikomanagement in der Lieferkette betreffen, uneinheitlich vorgehen. Ein gemeinsames Bewusstsein für die Schwere der Bedrohungslage, die Priorisierung und die Überwachung von Drittanbieter-Cyberrisiken lassen zu wünschen übrig“, erklärt Markus Auer, Sales Director DACH bei BlueVoyant. „Es ist wichtig, dass die Unternehmen die Integration von kontinuierlicher Lieferkettenüberwachung vorantreiben und hierbei die Transparenz deutlich verbessern. Zudem sind für die Gewährleistung von effektiver Cybersicherheit eindeutige Zuständigkeiten für Cyberrisiken bei Drittanbietern, sowie eine umfassende Schulung der Zulieferer, entscheidend.“
Befragt wurden 1.200 CIOs, CISOs und CPOs (Chief Procurement Officers) mit Verantwortung in den Bereichen Lieferkette und Cyberrisikomanagement in Unternehmen mit mindestens 1.000 Mitarbeitern. Zu den abgedeckten Branchen zählten Business Services, Finanzdienstleistungen, Gesundheitswesen, Pharmaindustrie, Fertigung, Versorgungsbetriebe und Verteidigung. Zur Berücksichtigung der globalen Perspektive wurde die Studie in folgenden Ländern durchgeführt: USA, Kanada, Deutschland, Niederlande, Großbritannien und Singapur. In Folge wurden zwei weitere europäische Berichte in Auftrag gegeben. Dazu wurden im Januar 2022 450 Personen in ganz Europa befragt, sodass sich die Anzahl der Umfrageteilnehmer auf 1.650 Personen erhöhte.