Wie steht es um die digitale Abwehrbereitschaft deutscher Unternehmen? Der Cisco Cybersecurity Readiness Index 2023 zeigt: Im globalen Vergleich sind sie nur Mittelmaß, aber in Europa auf Rang zwei hinter den Briten. Ihre Stärken liegen vor allem im Schutz von Endgeräten und Netzwerken. Bei der Datensicherheit besteht jedoch noch Verbesserungsbedarf.
Die Cisco-Studie basiert auf einer Befragung von 6.700 Sicherheitsexperten aus 18 Branchen weltweit. Sie bewerteten ihre Unternehmen anhand von 19 Lösungen in fünf Kernbereichen der Cybersicherheit: Identität, Geräte, Netzwerk, Anwendungs-Workloads und Daten. Die Unternehmen wurden dann in vier Reifegrade eingeteilt: Anfänger, Gestalter, Fortgeschrittene und Reife1.
Die COVID-19-Pandemie hat die Anforderungen an die Cybersicherheit deutlich verändert. Statt eines festen Arbeitsorts mit statischem Unternehmensnetzwerk nutzen die Mitarbeiter, so die Studie, nun mehrere Geräte an verschiedenen Standorten für hybrides Arbeiten und virtuelle Zusammenarbeit. Unternehmen müssten daher nicht nur ihre Sicherheitsstrukturen anpassen, sondern sich auch gegen neue und ständig weiterentwickelnde Bedrohungen verteidigen. Der Cisco Cybersecurity Readiness Index 2023 hat untersucht, wie gut Unternehmen diesen neuen Herausforderungen gewachsen sind.
Deutschland international im Mittelfeld
Den höchsten Reifegrad (Mature), der bestmöglich vor modernen Sicherheitsrisiken schützt, erreichen nach Angaben der Studie weltweit nur 15 Prozent der Unternehmen. In Deutschland sogar nur 11 Prozent. Damit liegen deutsche Unternehmen weltweit nur im Mittelfeld von 27 untersuchten Ländern. In Europa belegen deutsche Unternehmen zumindest einen guten zweiten Platz hinter Großbritannien.
Am besten schneiden deutsche Unternehmen in der Studie bei der Endgeräte-Sicherheit mit dem weltweit zehnten Platz (Mature & Progressive) ab. Der Schutz von Netzwerken ist in Deutschland am besten ausgeprägt (Platz 11), was unter anderem an einem vergleichsweise häufigen Einsatz von Firewalls mit intregriertem Intrusion Prevention System (IPS) liegt (DE: 78% vs. Global: 69%).
Der Schutz von Anwendungen (Platz 13) und Identitäten (Platz 15) nimmt bereits ab; beim Thema Datensicherheit hinkt Deutschland klar hinterher (Platz 20). Hauptgrund ist laut Cisco der niedrigere Einsatz von Backup & Recovery-Tools. Nur 55 Prozent der deutschen Unternehmen hätten angegeben, diese Tools im Einsatz zu haben, während es weltweit im Schnitt 67 Prozent seien. Auch Host IPS & Protection Tools würden in Deutschland deutlich weniger eingesetzt (29 Prozent vs 41 Prozent weltweit). Dies zeige sich auch im europäischen Vergleich: Von acht untersuchten Ländern ist Deutschland bei der Datensicherheit nur Sechster, in allen anderen Kategorien Zweiter oder Dritter.
„Die globale Studie zeigt, dass deutsche Unternehmen großen Aufholbedarf in Sachen IT-Sicherheit haben. Wir sind in der Breite nicht ausreichend auf Profi-Niveau gegen Cyberangriffe geschützt“, sagt Michael von der Horst, Managing Director Cybersecurity bei Cisco Deutschland. „IT-Security ist heute ein kontinuierlicher Prozess des Härtens und Neujustierens der Schutzmechanismen – und zwar über alle Bereiche der IT hinweg.
Denn Cyberkriminelle nutzen in einer Hybrid Work-Welt jede Schwachstelle aus, egal wo sich diese befindet. Das C-Level muss daher für einen umfassenden Schutz aller Systeme sorgen.“
Mehrheit hatte im letzten Jahr einen Cyber-Sicherheitsvorfall
Die meisten deutschen Unternehmen sind bereits Opfer von Cyberkriminalität geworden. 55 Prozent der Befragten berichten von einem Vorfall in den letzten 12 Monaten, jeder zweite davon (49%) verursachte einen Schaden von mindestens 300.000 US-Dollar. Zum Vergleich: Weltweit bemerkten 60 Prozent einen Vorfall, der bei 54 Prozent der Betroffenen einen Schaden von mindestens 300.000 US-Dollar anrichtete. In Deutschland erwarten 77 Prozent (weltweit: 82%) in den nächsten 12 bis 24 Monaten eine Störung ihres Geschäftsbetriebs durch Cyberkriminalität. Um dies zu verhindern, planen 81 Prozent der deutschen Unternehmen (weltweit: 86%), ihr Budget für Cybersicherheit in den nächsten 12 Monaten um mindestens 10 Prozent zu erhöhen.
Altsysteme unterstützen moderne IT-Security oft nicht
Im weltweiten Vergleich überrascht auf den ersten Blick, dass Unternehmen in Industrienationen einen insgesamt geringeren Cybersecurity-Reifegrad aufweisen als Firmen aus Entwicklungs- oder Schwellenländern. So bilden Indonesien, Thailand, Brasilien, Indien und die Philippinen die Top 5. Allerdings sind die einzelnen Länder schwer miteinander zu vergleichen, da es unterschiedliche Voraussetzungen gibt.
Der Cisco Security Readiness Index erklärt den Rückstand der Industrieländer mit den vielen eingesetzten Altsystemen, die modernste IT-Security oft gar nicht unterstützen – zum Beispiel in alten Produktionsumgebungen. Dagegen konnten Schwellenländer häufig mit durchgängig neuen Sicherheitslösungen ohne Altlasten in Digitalisierungsprojekte starten. Die Schlusslichter bilden Japan und Südkorea. In Europa schneiden Frankreich und die Niederlande besonders schlecht ab.
Ebenfalls interessant: Mittelgroße Unternehmen haben insgesamt den höchsten Reifegrad weltweit (19 % Mature). Während kleine Firmen aufgrund ihrer geringeren Finanzmittel den niedrigsten Reifegrad aufweisen (10 % Mature), werden große Unternehmen durch ihre komplexen IT-Umgebungen gebremst.
Die vollständige Studie bietet Cisco auf Englisch kostenlos zum Download an. (ah)
