Der „State of Cybersecurity Report 2024“ von Ivanti zeigt: Cybersicherheit hat bei deutschen Unternehmensleitern höchste Priorität. Die Führungskräfte überschätzen aber ihre Sicherheitskompetenzen.
Ein Risiko stellen außerdem latente Daten- und Technologiesilos in deutschen Unternehmen dar. Sie behindern die Zusammenarbeit von IT- und Security-Teams, was die Beseitigung von Sicherheitslücken erschwert. Ein weiteres Problem: Deutsche Sicherheitsexperten nehmen Angriffsmethoden und KI-Risiken nicht so ernst wie ihre internationalen Kollegen.
Für den Cybersecurity Report hat Ivanti mehr als 7.300 Führungskräfte, IT- und Sicherheitsexperten sowie Büroangestellte aus USA, Deutschland, England, Frankreich, Australien und Japan zu den dringlichsten Cyberbedrohungen sowie ihren Security-Strategien befragt.
Cybersicherheit ist stark in der Führungsebene deutscher Unternehmen verankert
Im weltweiten Vergleich belegt das deutsche Management Spitzenplätze. Denn hierzulande stufen neun von zehn Unternehmensleitern Cybersicherheit als Kernthema ein (94 Prozent), diskutieren es auf Leitungsebene und verfügen über ausreichend Budget, um die Sicherheitsziele zu erreichen. Diese Aussagen unterstreichen, dass Cybersicherheit als geschäftskritischer Erfolgsfaktor eingestuft wird.
Hürden für die Cybersicherheit: Mangelnder Support und systematische Datensilos
Deutsche Führungskräfte scheinen ihr Verständnis für Cybersicherheit allerdings zu überschätzen. Drei Viertel der befragten Unternehmensleiter geben an, Vulnerability Management zu verstehen; 63 Prozent bestätigen das für das Konzept Zero Trust. Anders die Einschätzung der Security-Verantwortlichen, denn nur 40 Prozent bescheinigen ihrer Geschäftsleitung ein tiefes Verständnis dieser beiden wesentlichen Sicherheitsthemen. Diese Lücken können die Unterstützung der Sicherheitskonzepte ausbremsen.
Bei 72 Prozent der deutschen Unternehmen befinden sich IT- und Sicherheitsdaten in isolierten Silos. Im Gegensatz zu ihren internationalen Kollegen geben 45 Prozent der deutschen Sicherheitsexperten zwar an, dass sich ihre Reaktionszeiten dadurch nicht verlangsamen. Dennoch beklagen sie die zahlreichen, unterschiedlichen Tools und den mühsamen Datenaustausch zwischen IT- und Security-Teams. Durch diese Trennung entstehen ständige Reibungspunkte, beispielsweise im Bereich der Patching-Strategie im Unternehmen.
„Datensilos stellen ein Sicherheitsproblem dar. Diese aufzulösen und so ein umfassendes Verständnis für die Risikolandschaft eines Unternehmens zu erlangen, ist jedoch eine Leadership-Aufgabe. CIOs und CISOs stehen zusammen vor der Herausforderung, Produktivität zu fördern und gleichzeitig die Datensicherheit zu gewährleisten“, sagt Jeff Abbott, CEO von Ivanti.
Dieses Verständnis ist tatsächlich bei deutschen Unternehmensleitern im Ländervergleich hoch ausgeprägt: 44 Prozent der deutschen Firmenleiter sagen, dass mangelndes Engagement der Führungskräfte eine zentrale Hürde für Cyberexzellenz darstellt. In Frankreich oder Großbritannien ist diese Erkenntnis nur bei je 17 Prozent der Befragten ausgeprägt.
Geringes Risikobewusstsein gegenüber KI-Bedrohungen
Deutlich problematischer wiegt dagegen die Bewertung speziell der Sicherheitsspezialisten gegenüber KI-Risiken. Im Ländervergleich fällt auf, dass deutsche Security-Verantwortliche Bedrohungen durch KI für ihre spezifische Industrie einen tendenziell geringen Stellenwert beimessen. Ein Beispiel: 40 Prozent der Cyberspezialisten hierzulande schätzen das Risiko von Angriffen über Prompt Injection als gering bis nicht existent ein (Weltweiter Schnitt: 29%). Ähnlich gering fällt auch die Risikobewertung für Angriffe über manipulierte Datensätze oder Deepfakes aus.
Dass sich deutsche Security-Experten mit dieser Einschätzung eventuell in einer falschen Sicherheit wiegen, zeigt eine andere Zahl: Im weltweiten Vergleich nutzen deutsche Büromitarbeiter KI-Tools auffallend häufig. Jeder Vierte (24 %) verwendet bereits generative KI-Tools für seine Arbeit – weltweit sind dies nur 15 Prozent. Und jeder fünfte Büromitarbeiter (19 %) in Deutschland arbeitet mit diesen Tools auch ohne Genehmigung der IT- oder Security-Abteilung.
Interessant ist dabei ein Blick auf den Informationsstand zu KI in deutschen Büros. Sechs von zehn Mitarbeitern wissen um die Möglichkeit, dass KI die Stimme von Personen, beispielsweise eines Vorgesetzten imitieren kann. Weltweit ist dieses Wissen nur bei jedem 2. Mitarbeiter verbreitet. Ebenfalls positiv zu werten: Aktuell hat bereits jeder dritte Büromitarbeiter hierzulande eine KI-Schulung durchlaufen, die über Sicherheits- und Datenschutzaspekte aufklärt. Dieser Wert liegt doppelt so hoch wie im Länderdurchschnitt.
Weitere Ergebnisse der Studie
- Jeweils gut jeder Vierte Sicherheitsverantwortliche in Deutschland plant Investitionen in moderne Tools zur Cyberabsicherung wie Identity Threat Detection and Response (ITDR), Cyber Asset Attack Surface Management (CAASM) oder Digital Risk Protection Services (DRPS).
- 2/3 der deutschen Unternehmensleiter sagen, dass ihr CISO direkt an den CEO berichtet. Allerdings bestätigen dies gerade einmal 37 Prozent der Security-Leiter.
- Fehlende Fachkräfte ist die von deutschen Sicherheitsspezialisten am häufigsten genannte Hürde, warum Security-Exzellenz nicht erreicht werden kann.
- Mehr als in allen betrachteten Ländern nutzen deutsche Büromitarbeiter Anwendungen wie Social Media, Netflix, Messaging und private Mails über ihre Arbeitsgeräte.
„Unternehmen, die ihre Risikotoleranz wirklich verstehen, vermeiden kostspielige Einzelmaßnahmen und erhöhen die Datenverfügbarkeit massiv, beispielsweise für richtungsweisende KI-Projekte. Dazu bedarf es einer übergreifenden Zusammenarbeit in den Bereichen Sicherheit und IT-Datenaustausch“, erklärt Jeff Abbott.
(pd/ Ivanti)