Die Zahlen alarmieren: Lediglich 5 % der befragten deutschen Unternehmen waren in den letzten drei Jahren nicht von Data Breaches betroffen – weltweit waren mit 14 % deutlich weniger Organisationen Opfer solcher Angriffe.
83 % der deutschen Befragten geben an, in den vergangenen drei Jahren einen Schaden in Höhe bis zu 9,9 Millionen Dollar durch Datendiebstahl oder -missbrauch erlitten zu haben. Rund 8 % berichten von Schäden zwischen zehn und 20 Millionen Dollar oder sogar mehr. In Anbetracht zunehmender Sicherheitsvorfälle kaum überraschend: Die Lücke zwischen dem Bewusstsein für Cyberrisiken und der Umsetzung von konkreten Gegenmaßnahmen wird größer. Das sind zentrale Erkenntnisse der diesjährigen „Digital Trust Insights“-Studie der Wirtschaftsprüfungs- und Beratungsgesellschaft PwC. Die Umfrage basiert auf den Angaben von weltweit mehr als 4.000 Entscheider:innen – darunter CEOs, CISOs, CSOs und andere Führungskräfte aus den Bereichen Technologie, Business und Sicherheit.
Sowohl die deutschen als auch die internationalen Entscheider:innen sind sich einig: Cybersicherheit gehört ganz oben auf die Agenda der Risikominderung – noch vor geopolitischen Risiken oder makroökonomischer Volatilität. „Neben den finanziellen Schäden erhöhen auch neue Regulierungsinitiativen und technologische Veränderungen wie der Boom generativer KI die Notwendigkeit einer lückenlosen Cyberresilienz. Viele Unternehmen haben das bereits verstanden und steigern ihre Investitionen in die sicherheitsrelevanten Bereiche“, sagt Grant Waterfall, Cyber Security & Privacy Leader bei PwC Deutschland.
Generative KI und Cloud Computing erhöhen die Angriffsfläche
Sowohl in Deutschland als auch im internationalen Schnitt geben zwei Drittel der Sicherheitsverantwortlichen (67 %) an, dass generative KI (GenAI) die Angriffsfläche für Cyberangriffe im letzten Jahr vergrößert hat. Zugleich ist den Befragten aber auch bewusst, dass GenAI die Abwehr von Attacken erheblich unterstützen kann: 17 % der Sicherheitsverantwortlichen aus Deutschland wollen die Technologie in den nächsten 12 Monaten bevorzugt für Threat Intelligence nutzen (Global: 13 %). Weitere 15 % (Global: 10 %) geben an, die Sicherheit von Endgeräten (Endpoint Security) bei der KI-Anwendung zu priorisieren – gefolgt von 14 % (Global: 11 %), die in diesem Zusammenhang auf GenAI im Schwachstellenmanagement setzen wollen.
Neben GenAI ist vielen Befragten zufolge auch die Cloud ein entscheidender Faktor für die wachsende Angriffsfläche: Fast zwei Drittel der deutschen Unternehmen (65 %) nannten die Technologie als Risikotreiber und der internationale Schnitt liegt mit 66 % auf ähnlichem Niveau. „Die zunehmende Komplexität und Dynamik von Cloud-Umgebungen erschwert es, potenzielle Schwachstellen zu identifizieren und abzusichern. Zudem erfordert die sichere Integration und Verwaltung von Cloud-Technologien spezialisierte Fachkenntnisse, die oft fehlen – und die in Anbetracht des weit verbreiteten IT-Fachkräftemangels auch nur schwer zu bekommen sind“, sagt Grant Waterfall.
Bedrohungen sind vielfältig und Cyberbudgets steigen
Deutsche Unternehmen fürchten vor allem Hack-and-Leak-Angriffe (16 %), Cloud-bezogene Bedrohungen (16 %) und Angriffe auf vernetzte Produkte (15 %). Am schlechtesten gewappnet fühlen sie sich gegen Ransomware (15 %), Third-Party Breaches (12 %) und Hack-and-Leak-Operationen (11 %). Und auch bei den Maßnahmen zur Stärkung der Cyberresilienz gibt es Lücken: Während 42 % der Befragten beispielsweise ihre kritischen Geschäftsprozesse über die gesamte Organisation hinweg identifiziert haben, ist die Dokumentation technologischer Abhängigkeiten innerhalb des Unternehmens nur bei 30 % schon vollständig erfolgt. „Auf diese zentralen Kategorien sollten Organisationen mehr Augenmerk legen, genauso wie auf die Einrichtung eines Krisenteams für Cybervorfälle und Übungen beziehungsweise Simulationen für den Krisenfall, die jeweils nur von rund einem Drittel der Unternehmen vollständig implementiert sind“, sagt Grant Waterfall.
Die gute Nachricht: Viele der Unternehmen planen große Investitionen, um ihre Cybersicherheit und Resilienz zu stärken. 72 % der deutschen Unternehmen gaben an, ihr Cyberbudget für das kommende Jahr zu erhöhen (Global: 77 %) – auch unter dem Einfluss aktueller Regulierungen wie NIS-2 oder dem Cyber Resilience Act. In diesem Zusammenhang wenig überraschend: Laut 89 % der deutschen Organisationen haben Regulierungen einen moderaten, großen oder sogar signifikanten Einfluss auf die Erhöhung von Cyberbudgets (Global: 83 %).
Die meisten Unternehmen planen, in Datenschutz und Datensicherheit, die Modernisierung von Technologien inklusive der Cyberinfrastruktur sowie Sicherheitstrainings (jeweils 17 %) zu investieren. Damit sind sie auf dem richtigen Weg, sagt Grant Waterfall: „Cyberresilienz wird in den kommenden Jahren nicht nur für Führungskräfte aus dem Technologie- oder IT-Bereich ein zentraler Imperativ bleiben, sondern für die gesamte C-Suite. Nur ein hohes Maß an Cyberresilienz schafft Vertrauen, reduziert Risiken und sorgt damit nicht zuletzt für erhebliche Wettbewerbsvorteile.“
Die Methodik
Die Global Digital Trust Insights 2025 ist eine Umfrage unter 4.042 Geschäfts- und Technologieführungskräften auf C-Level-Ebene, die zwischen Mai und Juli 2024 durchgeführt wurde. Ein Viertel der Befragten stammt aus großen Unternehmen mit einem Umsatz von 5 Milliarden US-Dollar oder mehr. Die Teilnehmer sind in verschiedenen Branchen tätig, darunter Industrie und Dienstleistungen (21 %), Technologie, Medien, Telekommunikation (20 %), Finanzdienstleistungen (19 %), Einzelhandel und Verbrauchermärkte (17 %), Energie, Versorgungsunternehmen und Ressourcen (11 %), Gesundheitswesen (7 %) sowie Regierung und öffentliche Dienstleistungen (4 %). Die Befragten kommen aus 77 Ländern. Die regionale Verteilung ist Westeuropa (30 %), Nordamerika (25 %), Asien-Pazifik (18 %), Lateinamerika (12 %), Zentral- und Osteuropa (6 %), Afrika (5 %) und der Nahe Osten (3 %). In Deutschland wurden 253 Unternehmen befragt.
(pd/PwC)