Mit der Digitalisierung der Geschäftswelt nimmt auch die Angriffsfläche für Cyberattacken stetig zu. Doch wie akut ist die Bedrohungslage wirklich und wie bereiten sich große Unternehmen auf das wachsende Sicherheitsrisiko vor? So gut wie jede Firma war schon mindestens einmal betroffen, wie eine aktuelle Befragung von Deloitte zeigt.
97 Prozent der Befragten im DACH-Raum gaben an, im vergangenen Jahr mindestens einen Cybervorfall ihres Unternehmens gemeldet zu haben. Über 60 Prozent berichten sogar von sechs oder mehr solcher Angriffe. In Deutschland, Österreich und der Schweiz gelten verschiedene Meldepflichten für Cyberangriffe und Datenschutzvorfälle.
Für den Deloitte Global Future of Cyber Survey 2024 wurden weltweit knapp 1.200 Führungskräfte befragt, davon 101 aus dem DACH-Raum. Alle befragten Unternehmen weisen mehr als 1.000 Mitarbeitende und einen Jahresumsatz von mindestens 500 Millionen US-Dollar auf.
Cyberrisiken: Eigene Mitarbeitende gleichauf mit staatlichen Akteuren
Als kritischste Akteure nehmen die meisten Befragten (21%) Cyberkriminelle wahr, gefolgt von Cyberterroristen (17%) und Mitarbeitenden mit böswilligen Absichten (13%). 12 Prozent betrachten andere Staaten als stärkste Cyberbedrohung für ihr Unternehmen. Dabei ist die Sorge vor Angriffen, die zum Verlust von Daten führen, und vor „Phishing, Malware und Ransomware“ (34%; 33%) am stärksten, gefolgt von sog. „Advanced Persistent Threats“ (18%), einer Form der Spionage.
Die Sorgen sind nicht unberechtigt, denn die Befragung zeigt: Die negativen Folgen, die Unternehmen bereits durch Cyberattacken erfahren haben, sind immens. So gaben fast alle Befragten an von Reputationsverlust (95%), Umsatzeinbußen (92%), Kurseinbrüchen (95%) oder auch Bußgeldern (94%) betroffen gewesen zu sein (vgl. Abbildung 1). „Im Zeitalter digitaler Geschäftsmodelle und datengetriebener Unternehmenstransformationen ist Cybersicherheit keine Option, sondern eine Notwendigkeit. Die umfassende Betroffenheit der Unternehmen verdeutlicht: Die digitale Sicherheit sollte ganz oben auf der Agenda stehen“, ordnet Marius von Spreti, Leiter des Cyberbereichs bei Deloitte Deutschland, ein.
DACH-Unternehmen wollen verstärkt investieren
Der Absicherung ihrer digitalen Infrastrukturen messen die Unternehmen im DACH-Raum zukünftig einen hohen Stellenwert bei: 67 Prozent planen ihre Ausgaben für Cybersicherheit in den nächsten ein bis zwei Jahren weiter zu erhöhen. Dieser Wert liegt deutlich über dem globalen Durchschnitt von 57 Prozent. Die erwartete Steigerung der Budgets um fünf Prozent übertrifft ebenfalls den weltweiten Schnitt von drei Prozent. Bereits heute investieren die befragten Großunternehmen in Deutschland, Österreich und der Schweiz durchschnittlich zwischen 171 und 267 Millionen US-Dollar jährlich in ihre IT. Etwa ein Fünftel davon (19%) wird für Cybersicherheit aufgewendet.
Viele Sicherheitsmaßnahmen, zum Teil nicht ausgereift
Dabei wird im DACH-Raum bereits einiges in Sachen Cybersicherheit getan. Von Maßnahmen zum Schutz von Kundendaten über Third Party Risk Management bis zu Krisenübungen und Recovery-Plänen – fast alle Unternehmen setzen jede in der Befragung zur Auswahl stehende Sicherheitsmaßnahme um (vgl. Abbildung 2). Alle Unternehmen führen jährliche Cybersicherheitstrainings aller Mitarbeitenden durch und haben eine Cyber-Versicherung abgeschlossen.
Unterschiede zeigen sich jedoch in Umfang bzw. Ausgereiftheit der Implementierung. So ist beispielsweise nur knapp die Hälfte der Befragten (49%) in hohem Maß überzeugt, ihr Unternehmen habe einen strategischen Cybersicherheitsplan mit der Vision des Unternehmens für die Zukunft und einem operativen Plan, wie es dorthin gelangt. „Um der komplexen Bedrohungslage auch zukünftig standhalten zu können, wird eine moderate Umsetzung von Sicherheitsmaßnahmen nicht ausreichen. Für eine lückenlose Cybersicherheit muss diese tief in die Unternehmensprozesse und -strategie verankert werden“, schließt von Spreti.
(pd/Deloitte)