robsonphoto - stock.adobe.com
Datendiebstahl sorgt für Schäden in Millionenhöhe bei Firmen
Bei 30 Prozent der deutschen Firmen hat Datendiebstahl für Schäden in Millionenhöhe gesorgt. Und bei vielen Unternehmen wird das Budget für IT-Sicherheit im nächsten Jahr steigen.
So hätten 30 Prozent der deutschen Unternehmen angegeben, dass sie in den letzten drei Jahren einen Schaden von mehr als einer Million US-Dollar durch den jeweils gravierendsten Fall von Datendiebstahl erlitten hätten. Das sind unter anderem Ergebnisse der globalen Studie „Digital Trust Insights“ von der Beratungs- und Wirtschaftsprüfungsgesellschaft PwC. Hierbei haben weltweit mehr als 3000 Entscheider teilgenommen, darunter 242 Befragte aus Deutschland.
Besondere Sorgen bereiten den hiesigen IT-Entscheidern, dass die Cyberkriminellen Cloud-Dienste ins Visier nehmen. So befürchten 35 Prozent der deutschen Befragten, dass die Ausnutzung von Sicherheitsproblemen bei Cloud-Komponentendiensten im Jahr 2023 signifikant zunehmen werden. So habe nur jedes vierte Unternehmen die mit der Cloud-Adoption eingehergehenden Risiken nahezu vollständig reduziert. Allerdings seien die meisten Firmen relativ zuversichtlich, dass man die gängigen Risiken wie Fehlkonfigurationen, nachlässiges Berechtigungsmanagement oder mangelhafte API-Verwaltung abgesichert habe.
Budgets für Cybersicherheit wachsen
Die gute Nachricht: Im Jahr 2023 wollen viele Unternehmen ihr Budget für IT-Sicherheit weiter anheben. So geben weltweit 65 Prozent der befragten Entscheider an, dass sie eine Erhöhung der diesbezüglichen Mittel für 2023 erwarten. In Deutschland wollen 56 der befragten Unternehmen den Etat für Cybersicherheit erhöhen. Dies sei im Vergleich zum Vorjahr ein stabiler Wert.
Wer wo für Cybersicherheit im Unternehmen verantwortlich sei, würde sich im internationalen Vergleich unterscheiden. Wenn es um die Anschaffung neuer Lösungen oder die Reaktion auf Vorfälle ginge, kümmere sich in Deutschland meist der CIO (Chief Informationen Officer) darum. Auf internationaler Ebene würde dies eher der CISO (Chief Information Security Officer) übernehmen. „Die Ergebnisse deuten darauf hin, dass der Einfluss der CISOs im Vorstand deutscher Unternehmen noch nicht so ausgeprägt ist wie auf internationaler Ebene. Um Cyber Security auch auf Board-Ebene das notwendige Gewicht zu verleihen, muss sich das dringend ändern“, sagt Grant Waterfall, Cyber Security und Privacy Leader bei PwC Deutschland.
Transparente Berichterstattung bei Sicherheitsvorfällen sei ein wichtiges Thema. In Deutschland werden neben dem Vorstand und der Geschäftsführung auch die Behörden und direkte Teilnehmer der Wertschöpfungskette als wichtige Interessensvertreter in der Informationskette eingeordnet. So würde hier die Berichterstattung eine wichtige Rolle für die Integrität spielen. Seitens PwC geht man auch davon aus, dass in Deutschland gesetzliche Regularien und Audits wie die KRITIS-Verordnung dafür verantwortlich sein könnten, dass eine transparente Berichterstattung an Bedeutung gewinne. So gaben hiesige Unternehmen im internationalen Vergleich häufiger an, in den letzten Jahren einen erhöhten Druck seitens der Behörden erfahren zu haben.
Betriebstechnologie ist ein heikles Sicherheitsthema
Aufgrund der vielfältigen Industrielandschaft und Unternehmen mit Produktion ist das Thema Betriebstechnologie (OT, Operational Technology) hierzulande von besonderem Interesse. Und da besteht nach wie vor ein Sicherheitsrisiko. So erwarten 26 Prozent der befragten deutschen Unternehmen einen Anstieg der Attacken auf Infrastrukturen im Zusammenhang mit IoT (Internet of Things) und Betriebstechnologie. Die fehlenden Synergien zwischen IT und OT würden das Risiko erhöhen. Angreifer könnten so viele Wahrnehmungslücken ausnutzen. Zudem sehen 43 Prozent der deutschen Unternehmen in fehlenden spezifischen Lösungen für die OT-Sicherheit ein Problem.
Darüber hinaus würde das fehlende Bewusstsein für die Folgen entsprechender Angriffe eine Rolle spielen. 37 Prozent der Entscheider haben angegeben, dass die potenziellen Risiken und Auswirkungen von Angriffen nicht hinreichend bewertet würden. Insbesondere im Hinblick auf die Sicherheit von IT und OT bei kritischen Infrastrukturen sei dies von Bedeutung.
Ausführliche Ergebnisse der PwC-Studie „Digital Trust Insights 2023“ finden sich hier.
