Laut der neuesten Studie von NordLayer, einer Netzwerksicherheitslösung für Unternehmen, sind der Erwerb von Cybersicherheitslösungen/-diensten/-apps (61%) sowie Cybersicherheitsschulungen für Mitarbeiter (56%) die gängigsten IT-Investitionen von Unternehmen in diesem Jahr. Die Mehrheit der Unternehmen (65%) verfügt über interne Cybersicherheitsspezialisten, die sich um diese Aufgaben kümmern, während 20% diese Aufgabe outsourcen.
„IT- und Cybersicherheitsbudgets sind zwei unterschiedliche Bereiche der Finanzierung. IT deckt die gesamten Investitionen im Bereich Technologie ab, darunter Hardware, Software, Personal und Cybersicherheit. Da die Cybersicherheit nur einen Bruchteil des großen Ganzen ausmacht, erklärt dies, warum die Budgets knapp und manchmal sogar nicht vorhanden sind“, so Carlos Salas, Experte für Cybersicherheit bei NordLayer.
Darüber hinaus zeigt dieselbe Studie, dass die häufigsten Cyberangriffe des letzten Jahres Phishing (40%), Schadsoftware (36%) und Datenschutzverletzungen (27%) waren. Infolgedessen variieren die finanziellen Verluste von bis zu 5.000 (in der jeweiligen Landeswährung) bei 37% der Unternehmen bis hin zu über 10.000 bei 17% der befragten Unternehmen. Die Zahlen könnten sogar noch höher sein, denn 18% der Unternehmen konnten nicht angeben, wie viel sie aufgrund von Cybervorfällen verloren haben.
Welche Cybersicherheitslösungen werden aktuell genutzt?
Untersuchungen zeigen, dass Unternehmen verschiedene Maßnahmen kombinieren, um mehr Sicherheit zu gewährleisten. Mehr als 7 von 10 Unternehmen setzen Antiviren-Software ein (78%). Sichere Passwörter und Dateiverschlüsselung (beide 67%) haben bei der Erstellung von Sicherheitsrichtlinien in Unternehmen derzeit die zweithöchste Priorität.
Virtuelle private Netzwerke (VPN) für Unternehmen sind weiterhin beliebt, um die Netzwerkverbindungen in der Organisation zu sichern; mehr als die Hälfte der Unternehmen (60%) nutzt sie. Cyber-Versicherungen (48%) sind eine relativ neue Lösung, die sich im Bereich der Cybersicherheit für Unternehmen durchsetzt, obwohl ihr Schwerpunkt eher auf den Folgen eines Vorfalls liegt.
Fast die Hälfte der Unternehmen plant, im Jahr 2023 bis zu 24% ihres Unternehmensbudgets für IT-Anforderungen aufzuwenden
Ausgaben für Cybersicherheitslösungen, -dienste und -anwendungen werden im Budget 2023 weiterhin Priorität haben (61%). Neben Cybersicherheitsschulungen für Mitarbeiter (56%) werden die Unternehmen etwas weniger Budget für die Einstellung von Cybersicherheitsfachkräften (48%) und für externe Cybersicherheitsaudits (43%) aufwenden.
Die Studie zeigt, dass fast die Hälfte der Unternehmen (35%) plant, 2023 bis zu einem Viertel ihres Unternehmensbudgets für die IT bereitzustellen. Weitere 32% der Befragten planen, bis zur Hälfte ihres Budgets zu investieren. Nur 3% der Unternehmen gaben an, dass sie nicht vorhaben, 2023 in Cybersicherheit zu investieren, wobei es sich dabei mehrheitlich um kleine Unternehmen handelt.
„Die Budgetplanung in Unternehmen zeigt, dass Investitionen in die Cybersicherheit nur einen kleinen Teil des zugewiesenen IT-Budgets ausmachen. Die Mittel für die Cybersicherheit müssen sinnvoll verteilt werden, um effektive Ergebnisse zu erzielen, die Wirksamkeit der gewählten Sicherheitsstrategie zu demonstrieren und die Verschwendung von Ressourcen zu minimieren“, so Salas.
Welche Cyberattacken gibt es in kleinen, mittleren und großen Unternehmen?
NordLayer hat Unternehmen unterschiedlicher Größe befragt und dabei einige Ähnlichkeiten und Unterschiede zwischen den Cyberangriffen und der Unternehmensgröße festgestellt. Was die Gemeinsamkeiten zwischen den einzelnen Unternehmen betrifft, so ist Phishing (39 %) die häufigste Angriffsart, gefolgt von Schadsoftware (34 %).
Kleine Unternehmen sind eher von Identitätsdiebstahl (12%) oder Datenschutzverletzungen (11%) betroffen als von Insider-Bedrohungen (2%) oder Social-Engineering-Angriffen (5%). Außerdem sind kleine Unternehmen am seltensten von Cyberangriffen betroffen – 42 % der Befragten hatten keine solchen zu verzeichnen.
Mittelgroße Unternehmen sind eher von Schadsoftware (34%), Social Engineering (26%) und Insider-Bedrohungen (22%) betroffen. Im Vergleich zu den beiden anderen Kategorien waren mittelgroße Unternehmen am meisten von Datenschutzverletzungen (34%) und DDos-/DoS-Angriffen (27%) betroffen.
Große Unternehmen waren am stärksten von Cyberangriffen betroffen – bis zu 92%. Organisationen dieser Größe sind etwas häufiger von Schadsoftware (43%) als von Phishing (42%) betroffen. Sie sind in gleichem Maße von Datenschutzverletzungen und Identitätsdiebstahl (27%) betroffen, während Ransomware weniger häufig vorkommt (19%).
Unternehmen sollten ein Budget für Cybersicherheit bereitstellen
Das Mantra „Cybersicherheit entwickelt sich ständig weiter – so aber auch die Cyber-Bedrohungen“ ist nach wie vor aktuell und unterstreicht die Notwendigkeit, die Schutzmaßnahmen für Unternehmen zu verstärken. Die Wahl umfassender Cybersecurity-Tools und -Lösungen trägt dazu bei, die nötige Flexibilität zu erreichen, um sich an den dynamischen Wandel von Technologien und Risiken anzupassen. Ein ausreichendes Budget ist der Schlüssel.
Salas rät Unternehmen dazu Folgendes: „Kein Unternehmen ist zu klein, um nicht auch Opfer eines Cyberangriffs zu werden. Meine Empfehlung für Unternehmen – egal, welcher Größe – ist eine starke Cybersicherheitsstrategie. Diese sollte so ausgerichtet sein, dass jeder Mitarbeiter für die Cybersicherheit verantwortlich ist, nicht nur die IT-Abteilung. Was konkrete Tools im Rahmen der Strategie angeht, so sollte das Unternehmen über Lösungen zur Risikominimierung und -behebung sowie über Backup-Pläne für Bedrohungsszenarien verfügen. Investieren sollte man außerdem in Mitarbeiterschulungen und Fachkräfte für Cybersicherheit.“
Methodik: NordLayer befragte 500 Unternehmen in drei Ländern: in den USA, dem Vereinigten Königreich und Kanada. Die externe Agentur SAGO führte die Befragungen zwischen dem 15. und 25. März 2023 durch. Den Teilnehmern wurden Fragen über die Kosten von Cybervorfällen und dem zugewiesenen Budget für IT und Sicherheit im Zeitraum 2022 bis 2023 gestellt. Die Stichproben wurden aus Nichtregierungsorganisationen gezogen, die in der Dienstleistungsbranche tätig sind, und die Zielpersonen waren Entscheidungsträger (allein oder partiell) für IT-bezogene Anschaffungen. Die Unternehmen wurden hinsichtlich ihrer Größe in drei Hauptgruppen eingeteilt: 1 bis 10 Mitarbeiter (klein), 11 bis 200 Mitarbeiter (mittel) und mehr als 201 Mitarbeiter (groß).
www.nordlayer.com