Pwc-Empfehlungen zur Cybersicherheit

Komplexität macht IT-Sicherheit schwieriger

Vier von fünf Führungskräften in Deutschland glauben, dass ihre komplexen Technologien und Betriebsumgebungen sie für Cyberangriffe anfälliger machen.
Von Redaktion CSO
CSO | 18. November 2021 14:10 Uhr
Die Supply Chain gehört zu den Bereichen in denen die Komplexität der IT-Systeme immer weiter zunimmt.
Die Supply Chain gehört zu den Bereichen in denen die Komplexität der IT-Systeme immer weiter zunimmt.
Foto: Zapp2Photo - shutterstock.com

Die Wirtschaftsprüfungs- und Beratungsgesellschaft PwC hat in ihrer Studie Digital Trust Insights 2022 herausgefunden, dass 77 Prozent der Führungskräfte in Deutschland ihre Cloud-Umgebungen und 85 Prozent die Regulierung von Investitionen in Technologien für zu komplex halten. Damit sinke die Resilienz der Betriebe, die sich gegen Angreifer immer schlechter wehren könnten. Außerdem sorge Komplexität für finanzielle Einbußen und behindere die Innovationsfähigkeit.

Für die Studie hat PwC weltweit über 3.600 Führungskräfte aus Wirtschaft und Technologie zu den Herausforderungen und Chancen im Bereich Cybersicherheit befragt. CEOs und Vorstände aus den verschiedensten Branchen kamen genauso zu Wort wie CIOs und CISOs. Zwei Drittel der Antwortenden stammen aus Konzernen mit einem Jahresumsatz über eine Milliarde Dollar. Insgesamt 258 Befragte kommen aus Deutschland, rund ein Drittel aus Westeuropa.

Gefragt wurde: Wie komplex sind Ihrer Meinung nach die folgenden Vorgänge in Ihrem Unternehmen auf einer Skala von 1 bis 10 (Balken)? Und wie groß sind die Cyber- und Datenschutzrisiken aufgrund der Komplexität in diesen Bereichen (gestrichelte Linie)?
Gefragt wurde: Wie komplex sind Ihrer Meinung nach die folgenden Vorgänge in Ihrem Unternehmen auf einer Skala von 1 bis 10 (Balken)? Und wie groß sind die Cyber- und Datenschutzrisiken aufgrund der Komplexität in diesen Bereichen (gestrichelte Linie)?

Prozessautomatisierung hilft

Im eigenen Unternehmen behaupten allerdings 72 Prozent, ihre Geschäftsumgebung in den letzten zwei Jahren vereinfacht zu haben, indem sie Technologien komplett oder teilweise rationalisiert hätten. Dennoch sieht Moritz Anders, Partner im Bereich Cyber Security & Privacy bei PwC Deutschland, Handlungsbedarf: Unternehmen sollten durch die Nutzung von Daten und Automatisierungswerkzeugen ihre Prozesse effizienter gestalten und so ihren Betrieb, ihre Geschäftsabläufe und die zugehörigen Systeme vereinfachen. Damit ließen sich Cyberrisiken schneller erfassen und IT-Sicherheit könne eher gewährleistet werden.

Vor allem in der sicheren Anbindung ihrer Zulieferer sehen die deutschen Manager eine Herausforderung. Ein Drittel räumt ein, die IT- und Softwarerisiken in ihrer Lieferkette kaum oder gar nicht zu verstehen. Auch die Verhältnisse zu Sub-Dienstleistern sind für 30 Prozent der Befragten undurchsichtig, genauso die Beziehungen zu Anbietern von Cloud-, IoT oder anderen Technologien (jeweils 28 oder 29 Prozent).

Hohe Risiken lauern in der Lieferkette

Immerhin 38 Prozent der Befragten geben an, in den letzten zwölf Monaten Audits bei Zulieferern vorgenommen zu haben, um in Sachen IT-Sicherheit und Compliance Verbesserungen zu erreichen. Grant Waterfall, Cyber Security & Privacy Leader bei PwC im Emea-Raum, glaubt, dass viele Organisationen "einen großen blinden Fleck" haben, was Risiken durch Dritte und die Lieferkette angeht. Oft werde es versäumt, die kritischen Beziehungen im Detail zu verstehen und Anbieter hinsichtlich Performance-Standards zu prüfen, um so die Schwachstellen in der Lieferkette zu finden.

57 Prozent der befragten Deutschen sind der Ansicht, dass Cyberkriminalität im kommenden Jahr im Vergleich zu 2021 weiter zunehmen wird, vor allem in den Bereichen Mobile, Internet of Things (IoT) und Cloud. Ähnlich viele erwarten einen weiteren Anstieg von Ransomware-Angriffen und gehen von zunehmender Malware durch Software-Updates sowie von mehr Attacken gegen Cloud-Services aus.

Data Governance funktioniert oft nicht

Vor diesem Hintergrund überrascht es, dass die Vorbeugung gegen solche Angriffe oft nicht geordnet erfolgt. So werden Entscheidungen über Investitionen in Sicherheitstechnologien oder in das Management von Cyberrisiken oft ohne grundlegende Datenbasis gefällt. Nur etwa ein Drittel der befragten Unternehmen verfügt hierzulande über ein vollständiges Data-Governance-Programm.

Führungskräfte beurteilen die Bedrohungslage 2022: Welchen Anstieg erwarten sie bei Angriffen und meldepflichtigen Vorgängen?
Führungskräfte beurteilen die Bedrohungslage 2022: Welchen Anstieg erwarten sie bei Angriffen und meldepflichtigen Vorgängen?
Foto: PwC

In Deutschland erachten auch weniger Befragte (21 Prozent) eine Threat Intelligence in Echtzeit als wesentlich für ihr Cyber-Security-Betriebsmodell als weltweit (30 Prozent). Nur für jedes fünfte Unternehmen stellt hierzulande die Quantifizierung von Cyberrisiken einen wichtigen Bestandteil des Betriebsmodells dar, international ist das bei 26 Prozent der Betriebe der Fall. PwC-Manager Anders empfiehlt: "Idealerweise sollten Unternehmen die Sicherheitslage immer ganzheitlich betrachten. Die reine Risikobewertung als Momentaufnahme hat bei der heutigen Bedrohungslage ausgedient. An ihre Stelle tritt ein Risiko-Reporting in Echtzeit."

Rolle der CEOs: Vertrauen schaffen

CEOs in Deutschland nehmen im internationalen Vergleich eine etwas reaktivere Rolle in Sachen Cybersicherheit ein als der weltweite Durchschnitt. Sie beschäftigen sich weniger als die Geschäftsführer in anderen Ländern mit vorausschauenden Cyber-Security-Maßnahmen wie etwa der Definition von Cybermetriken.

In Deutschland betrachten sie es vor allem als ihre Aufgabe, bei Kunden Vertrauen in Bezug auf Datenschutz und ethische Verwendung von Daten zu schaffen. Weitere Prioritäten liegen im Einrichten von Kontrollmechanismen zum Schutz vor Cyberattacken, dem schnellen Reagieren auf Angriffe und einem gut funktionierenden Krisenmanagement. CEOs setzen also auf die drei Säulen der Cybersicherheit: Schutz, Resilienz und Vertrauen.

Deutsche CEOs engagieren sich auch, wenn es gilt Aufsichtsbehörden zu Sicherheitsvorfällen Bericht zu erstatten. Auffällig laut PwC: Die Unternehmen, deren CEOs sich für Cybersicherheit engagieren und den Bereich für wachstums- und vertrauensrelevant halten, haben in den vergangenen zwei Jahren viel größere Fortschritte in der digitalen Transformation gemacht als andere. So stellt Waterfall fest: "CEOs geben in puncto IT-Sicherheit und Datenschutz die Richtung für die ganze Organisation vor. Sie haben die Möglichkeit, Cybersicherheit als wichtigen Faktor für das Unternehmenswachstum und das Vertrauen der Kunden zu etablieren und unternehmensweit ein Sicherheitsbewusstsein zu schaffen."

Der PwC-Manager empfiehlt: Um die Cybersicherheit im gesamten Unternehmen zu verbessern, sei es sinnvoll, das Target Operating Model für Informationssicherheit noch einmal strategisch sauber herzuleiten und organisatorisch zu verankern. Außerdem könnten CEOs Cyberrisiken besser managen, wenn sie diese quantifizierten und so Investitionen gezielt dorthin verlagerten, wo die größten Effekte zu erwarten sind.