Neue Sicht auf Cybersicherheit macht Budgets locker

Im Bereich der Cybersicherheit herrschten lange Zeit stark verkrustete Sichtweisen vor, die das Thema gerne in die Ecke „lästiges Beiwerk“ rückten. Befeuert durch die Fahrt aufnehmende Digitalisierung und einem nie dagewesenen Angriffsgeschehen hat sich das inzwischen gründlich geändert.

Cyber-Angriffe werden in Unternehmen heute als akute Gefahr für das Business gesehen. Der zunehmende Digitalisierungsgrad hat neue Einfallstore für Attacken mit weitreichendem Schadenspotenzial geöffnet. Gleichzeitig wird Cyber-Security mehr und mehr als Wertschöpfungsfaktor angesehen und rückt stärker in den Fokus bei der Entwicklung neuer Produkte, Services und Geschäftsmodelle, sowie der Digitalisierung im Allgemeinen. Der Trend zur Cloud-Nutzung soll dabei aus Sicht vieler CIOs und CISOs das IT-Security-Niveau erhöhen, erfordert aber auch einen Umbau der Security-Architektur und stärkere Investitionen. Budgets für die Prävention, die Erkennung von Angriffen und auch Recovery-Maßnahmen werden daher in den kommenden Jahren ansteigen.

Dies sind ausgewählte Ergebnisse der neuen Lünendonk-Studie 2022 „Von Cyber Security zur Cyber Resilience – mehr Digitalisierung, mehr Cyber-Bedrohung?“, die in Zusammenarbeit mit KPMG erstellt wurde. Für die Studie wurden 140 IT-Führungskräfte aus dem gehobenen Mittelstand sowie aus Großunternehmen aller großen Branchen befragt.

Wahrnehmung und Realität – zwei Paar Stiefel

Als häufigste Folge eines stattgefundenen Cyber-Angriffs erwarten demnach 87 Prozent der Studienteilnehmenden hohe Image- und Reputationsschäden. 75 Prozent befürchten ebenso einen Abfluss von Kundendaten, 73 Prozent einen Abfluss kritischer Unternehmensdaten. Das Risiko von Lösegeldforderungen bewerten 58 Prozent der Unternehmen als hoch.

Trotz dieser hohen Bedrohungslage stimmen 47 Prozent der CIOs und CISOs der Aussage voll zu, dass sie in der Lage sind, mit den technischen Entwicklungen rund um Cyber-Security und Methoden der Hacker Schritt zu halten. Die Resilienz der IT-Security auf Basis von KPIs (Schlüsselindikatoren) messen im Gegensatz dazu aber nur 67 Prozent; weitere 24 Prozent sind jedoch in der Planung, entsprechende Prozesse einzuführen. „Solange keine kritischen Vorfälle stattgefunden haben, wird das Security-Niveau oft als ausreichend angesehen. Diese Sichtweise ist jedoch zu kurzsichtig und kann ein trügerisches Bild zeigen“, kommentiert Mario Zillmann, Partner bei Lünendonk & Hossenfelder und Studienautor, die Ergebnisse. „Wie resilient die Unternehmen tatsächlich gegenüber Cyber-Angriffen sind, zeigt sich oft erst nach einem erfolgten Angriff – oder durch einen externen Audit zur Schließung von Lücken“, ergänzt Zillmann.

Externe Dienstleister sollen’s richten

Security-Softwarelösungen, wie Antivirenprogramme oder Tools zur Stärkung der Firewalls, beziehen Unternehmen seit jeher. Diese Lösungen sind jedoch nicht immer zu einem Gesamtsystem vernetzt, was ihre Wirksamkeit einschränkt. Im Zuge der Cloud-Verlagerung und der wachsenden Bedrohungslage steigt aber die Relevanz von ganzheitlichen und professionellen Security-Lösungen. „Die Verlagerung von Anwendungen und Infrastruktur in die Cloud erfordert neue Architekturen und Ansätze, die ganzheitlicher und unternehmensübergreifend gedacht werden müssen“, erklärt Zillmann. In der Folge zeigt die Studie, dass Security-as-a-Service und Managed Security Services häufiger nachgefragt werden: Jedes vierte Unternehmen nutzt derartige Angebote bereits, 59 Prozent planen, mittelfristig externe Security Services zu beziehen. Beliebte Services sind E-Mail-Security, Identity & Access Management (IAM) sowie Endpoint Security, also die Einbettung von mobilen Endgeräten in die Security-Architektur.

Die Studie kann hier kostenfrei heruntergeladen werden.