55 Prozent der großen Unternehmen sind schlecht auf Cyber-Angriffe vorbereitet. In der Studie „State of Cyber Resilience 2021“ von Accenture gab mehr als die Hälfte an, nicht in der Lage zu sein, Cyberangriffe schnell zu identifizieren, wirksam zu bekämpfen oder deren Auswirkungen in kurzer Zeit zu begrenzen. Für die Umfrage hat Accenture mehr als 4.700 Führungskräfte weltweit befragt.
Mehr als vier von fünf Befragten (81 Prozent) beschreiben Cybersecurity-Maßnahmen als einen Wettlauf: Man müsse den Angreifern immer einen Schritt voraus sein, nur so lasse sich eine Attacke verhindern. Das wiederum treibe die Kosten in die Höhe.
Die Ausgaben für Cyber-Sicherheit haben sich im vergangenen Jahr bei 82 Prozent der Befragten erhöht, zeigt die Studie. Und trotzdem: Die Zahl erfolgreicher Cyber-Angriffe stieg im Vergleich zum Vorjahr um 31 Prozent auf durchschnittlich 270 pro Unternehmen. Als Attacken definiert Accenture den unbefugten Zugriff auf Daten, Anwendungen, Dienste, Netzwerke oder Geräte.
Cyber-Kriminelle werden immer einfallsreicher
„Cyber-Angreifer – von gewöhnlichen Cyber-Kriminellen bis hin zu raffinierten staatlichen Akteuren – werden einfallsreicher und finden immer neue Wege für ihre Attacken“, kommentiert Andreas Kronabeter, Leiter Security bei Accenture Österreich, die Ergebnisse.
Die Studie zeige, dass sich Unternehmen oft noch zu sehr auf ihr Kerngeschäft fokussieren. Dabei würden Aspekte der Cyber-Sicherheit selten von Anfang an mitberücksichtigt.
„Nur die Unternehmen, die Security-Aspekte von Anfang an einfließen lassen, einen klaren Überblick über die Bedrohungs-Landschaft haben und ihre Security konsequent an ihren Geschäftszielen und -ergebnissen ausrichten, erreichen auch ein höheres Maß an Cyber-Resilienz“, ist sich Kronabeter sicher.
Sicherheitsmaßnahmen müssen im gesamten Ökosystem stattfinden
Accenture weist darauf hin, dass Cybersicherheits-Maßnahmen nicht nur innerhalb des eigenen Unternehmens stattfinden müssen – sondern im gesamten Ökosystem, in dem das Unternehmen agiert. Denn: indirekte Attacken – etwa erfolgreiche Angriffe auf ein Unternehmen über die Lieferkette – nähmen weiter zu.
Obwohl 67 Prozent der Unternehmen der Meinung sind, ihr Ökosystem sei sicher, machten indirekte Angriffe tatsächlich 61 Prozent aller Cyberattacken im vergangenen Jahr aus. Im Jahr zuvor waren es lediglich 44 Prozent.
Cyber-Sicherheit im Schienen-Verkehr: Siemens Mobility kooperiert mit RazorSecure
Die Untersuchung identifizierte darüber hinaus eine kleine Gruppe von Unternehmen, die sich durch ihre Cyber-Resilienz auszeichnen und ihre Geschäfts-Strategie so anpassen, um bessere Ergebnisse und eine höhere Rentabilität ihrer Cyber Security-Investitionen zu erzielen.
Deutschland verfügt – neben den USA, Japan und GB – über die meisten „Cyber Champions“. Die wichtigsten Branchen sind dort Versicherungen, Telekommunikations- und Hightech-Unternehmen sowie der Einzelhandel.
Cyber Champions punkten in vielen Bereichen
Accenture hat die Vorteile zusammengetragen, die diese Cyber Champions im Vergleich zu anderen Unternehmen haben. Demnach haben sie eine weitaus höhere Wahrscheinlichkeit
- ein Gleichgewicht zwischen Cybersicherheit und Geschäftszielen zu erreichen,
- an den CEO / den Vorstand zu berichten und somit eine viel engere Beziehung zum Unternehmen und zum CFO herzustellen,
- bei der Entwicklung der Cybersicherheitsstrategie ihres Unternehmens in engem Austausch mit CEOs und CFOs zu stehen,
- ihr Unternehmen vor Datenverlusten zu schützen,
- Sicherheitsaspekte in ihre Cloud-Initiativen zu integrieren und
- mindestens einmal im Jahr den Reifegrad ihres Cybersicherheitsprogramms zu überprüfen
„Höhere Investitionen in die Cyber-Sicherheit ohne engen Abgleich mit den eigenen Geschäftsprozessen machen eine Organisation nicht sicherer“, sagt Kronabeter.
Er ist sich sicher: „Die Zeiten rein sicherheitsorientierter Silos sind vorbei: Wenn CISOs eine nachhaltige und messbare Cyber-Resilienz erreichen wollen, müssen sie mit den relevanten Entscheidungsträgern innerhalb ihres Unternehmens zusammenarbeiten. Nur so ergibt sich der notwendige 360-Grad-Blick auf die Geschäftsrisiken und -prioritäten.“ (wag)
