cyber security report 2018 teil 2: unternehmen – das ... · 1 bundesamt für sicherheit in der...
TRANSCRIPT
Cyber Security Report 2018Teil 2: Unternehmen – das Risikobewusstsein sinkt
Cyber Security Report 2018 | Teil 2: Unternehmen – das Risikobewusstsein sinkt
03
Vorwort 04
Executive Summary 05
1. Sinkendes Bewusstsein für das Risiko 06
2. DifferenzierteSichtaufdiepotenziellenSchäden 10
3. VerantwortungundKompetenzimUnternehmen 13
4. SchutzdesUnternehmens 15
4.1 Kosten 15
4.2 Maßnahmen 18
4.3SicherheiterfordertKooperation 22
Handlungsfelder 25
Ansprechpartner 26
04
Die Chancen der Digitalisierung für die öffentlicheVerwaltungunddieWirtschaftsind immens, die Risiken sind es ebenso. GrößereAngriffswellenmitRansomwaresindimzurückliegendenJahrausgeblieben,doch die Bedrohungslage bleibt weiterhin kritisch.
Cyber-AngriffegehörenmittlerweilezumAlltagvielerUnternehmenundknappdieHälftederStudienteilnehmerwirdsogartäglichbismehrmalsdieWochedurchCyber-Angriffeausspioniertodergargeschädigt.EinGroßteilderBefragtenbemerktdenAngrifferstspätodergarnicht.
JedesUnternehmenstellteinmöglichesAngriffszieldar.Einigesindgutvorberei-tet, andere haben noch Nachholbedarf in Sachen Cyber-Sicherheit. Der Diebstahl von Know-how, der Imageverlust, die UmsatzeinbußenunddieKostenfürdieBehebungvonSchädendurchCyber-Atta-cken wirken sich unmittelbar auf den WettbewerbsvorteildesUnternehmensaus. Cyber-Sicherheit stellt damit einen WettbewerbsvorteilinderDigitalisierungdar und sollte eine strategische Aufgabe jeder Unternehmensführung sein.
BeiderUmsetzungvonUnternehmens-strategien sind auch die Cyber-Risiken imAugezubehalten.InsbesonderedieGeschäftsführungistgefragt,passendeStrategienzuentwickeln,dieBewertungvonCyber-RisikenzuveranlassenundgeeigneteSchutzmaßnahmenumzuset-zen.VordemHintergrund,dassCyber-
VorwortSicherheitbeiderUmsetzungvonUnter-nehmensstrategieneinehohePrioritätzukommensollte,habenwirindiesemTeildesReportsfolgendePlanungsaspekteher ausgearbeitet:
Maßnahmen zur Erhöhung der Cyber-SicherheitWirfragtendieFührungskräfte,welchetechnischen und nicht-technischen SchutzmaßnahmensiezurErhöhungihrer Cyber-Sicherheit ergreifen. Die Bandbreite an möglichen Vorkehrungen ist groß, sie reicht von einer laufenden ÜberwachungderNetzwerkeüberregelmäßigeÜberprüfungenderZugriffsrechtebishinzurSimulationvonCyber-Angriffen.NureingeringerTeildeutscher Unternehmen ist in der Lage, die gesamte Bandbreite an Maßnahmen selbstumzusetzen.
KostenGenauer hinterfragt haben wir auch, wie sich die Kosten für IT-Sicherheit, insbesonderefürdenSchutzvorHacker-Angriffen,indenletztenJahrenentwickelt haben. Die Verantwortlichen solltenermitteln,inwieweitderfinanzielleAufwand für die Abwehr einer Cyber-Be-drohunggerechtfertigtist.EinproaktivesAnpassenvonCyber-Security-Maßnah-menodereinAuslagernvonkomplettenCyber-Security-ProzessenkannKosteneinsparen,Ressourcenfreisetzenunddem Unternehmen helfen, sich auf sein Kerngeschäftzukonzentrieren.
KooperationenCyber-SicherheitfängtnichterstamWerkstoran.SieistnichtnurTeilderunter-nehmensinternenProzessezurWertschöp-fung, sondern auch innerhalb der gesam-tenWertschöpfungskettevonAnfangbisEndenachhaltigzuberücksichtigen.Des-halbfragtenwirdieFührungskräfte,obsieihreLieferantenzurEinhaltungbestimmterIT-Sicherheitsstandardsverpflichten.
In Teil 1 der Studie haben wir auf die Digitalisierung und Cyber-Sicherheit auf politischerundgesamtgesellschaftlicherEbeneabgestellt,währendderhiervorliegende Teil 2 die Situation in den Unternehmen beleuchtet.
WieindenVorjahrenbildetdieEinschät-zungderBedrohungdurchCyber-undIT-Risiken und der daraus folgenden Gefahren für Unternehmen den Schwer-punktunsererStudie.DieUnternehmengeben auch Auskunft über die Zahl der erfolgtenAngriffeunddieArtderdarausresultierendenSchäden.
InKooperationmitdemInstitutfürDemoskopieAllensbachhabenwirdieserepräsentativeUmfrageunterFührungs-kräftenderWirtschaftundPolitikernderEuropa-,Bundes-sowieLandesparla-mente durchgeführt.
Cyber Security Report 2018 | Teil 2: Unternehmen – das Risikobewusstsein sinkt
05
DieErgebnissederBefragungführenzuden folgenden Kernaussagen:
Sinkendes Risikobewusstsein und mangelnde Befassung mit Cyber-SicherheitDasRisikobewusstseinunterdenTop-Ent-scheidernderWirtschaftistimVergleichzumVorjahrerneutgesunken.Geschäfts-leitungenbeschäftigensichkaumodernursporadischmitCyber-SicherheitundAuf-sichtsrätelegennurinetwaderHälftederFälleWertaufregelmäßigeInformationenzudemThema.
Unterschiedliche Wahrnehmung der GefahrenSowohlWirtschaftsführeralsauchAbgeordnete sehen das größte Risiko für diedeutscheWirtschaftinsgesamtim
Executive SummaryDiebstahlvonKnow-how.FürdasjeweilseigeneUnternehmenbewertenFührungs-kräftedasdeutlichanders.Amhäufigstenhalten sie die Kosten, die durch die BehebungvonSchädenentstehen,fürdiegrößte Gefahr, die für ihr Unternehmen vonCyber-Angriffenausgeht.
Überdurchschnittlich steigende KostenGrundsätzlichberichtetdieüberwie-gendeMehrheitderFührungskräfteausmittleren und großen Unternehmen, dass die Kosten für IT-Sicherheit in ihrem Unternehmen gestiegen sind. Überdurch-schnittlichhäufighabensolcheab250Mitarbeitern deutliche Kostensteigerun-genzuverzeichnen.
Nicht alle Möglichkeiten zum Schutz werden genutztZumSchutzihrerIT-InfrastrukturergreifenvieleUnternehmenzwareineReihevonMaßnahmen, aber nur ein kleiner Teil schöpftdieMöglichkeitenaus,dieeigeneSicherheitimIT-Bereichzuoptimieren.EineIdentifizierungderwichtigstenInformation-Assets haben lediglich rund zweiDrittelderBefragtenvorgenommen.PlanspielezurSimulationvonCyber-An-griffen,zumBeispielWarGamesoderRedTeaming,führengeradeeinmal14ProzentderUnternehmenregelmäßigdurch.EineCyber-VersicherungbesitztnurknappeinViertel der Studienteilnehmer.
06
Abb. 1 – Wahrgenommene Häufigkeit von IT-Angriffen auf Unternehmen in Deutschland
Cyber-Angriffeund-Kriminalitätwerdenmittlerweile von der Gesellschaft, der PolitikundderWirtschaftalsbekanntePhänomenewahrgenommen.BesondersmitWannaCry,derRansomware-AttackeaufzahlreichedeutscheUnternehmen,mitdemAPT-AngriffaufdasAuswärtigeAmtunddemDatenmissbrauchüberFacebookdurchCambridgeAnalyticasetztensichdieMedienstärkerauseinander.SieerhöhtendamitauchdieWahrnehmungvonCyber-Risiken in Deutschland.
FürdenGroßteilderdeutschenUnterneh-mengehörenCyber-AngriffezumAlltag.Insgesamt93ProzentderBefragtenausmittlerenundgroßenUnternehmenbestä-tigten,IT-Angriffenausgesetztzusein,durchdiedasUnternehmenausspioniertodergeschädigtwerdensollte.25ProzentderBefragtenberichtenvontäglichenAngriffen,weitere21Prozenthabenein-odermehr-malsproWochemitexternenAngriffenzukämpfen,7ProzentmehrmalsimMonat.
DasbestätigtauchdieaktuelleLagebeurtei-lung des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Im Lagebericht vom 11. Oktober 2018 wird festgehalten, dassdieGefährdungslageweiterhinhoch,imVergleichzumVorjahrkeinesfallszurückgegangenundgleichzeitigauchnochvielschichtiger geworden ist.1
1 Bundesamt für Sicherheit in der Informationstechnik (2018): Die Lage der IT-Sicherheit 2018, S. 91 f.
Nur Unternehmen, die eine konkrete Angabe gemacht haben.
1. Sinkendes Bewusstsein für das Risiko
25%täglich
21%einmal/mehrmals in der Woche
7%nie
40%seltener
7%mehrmals pro Monat
Wie häufig ist Ihr Unternehmen IT-Angriffen ausgesetzt, durch die Ihr Unternehmen ausspioniert oder geschädigt werden soll?
Täglich bis mehrmals pro Woche
25%2013
46%2018
Cyber Security Report 2018 | Teil 2: Unternehmen – das Risikobewusstsein sinkt
07
Abb. 2 – Cyber-Angriffe bleiben häufig unbemerkt
KnappdieHälftederbefragtenFührungskräfteistderAnnahme,nie oder nur selten Ziel eines Cyber-Angriffszusein,undknappeinDrittelgehtdavonaus,dassAngriffeaufihrUnternehmen unbemerkt bleiben.
DiewahrgenommeneHäufigkeitderAngriffeistseitBeginnderTrendstudieimJahr2013deutlich gestiegen und verharrt aktuell auf einem hohen Niveau, auch wenn im Vergleich zumletztenJahrderWertleichtzurückging.Aktuellberichten25ProzentderFührungs-kräftevontäglichenAngriffenaufdaseigeneUnternehmen,währendesimVorjahrnoch27Prozentwaren.AllerdingsstieggleichzeitigderAnteilderer,diebehaupten,dassihrUnternehmen nie oder nur selten angegrif-fenwordenist,von40auf47Prozent.
ZwarsagtfastdieHälftederBefragten,ihrUnternehmen werde selten oder nie ange-griffen,jedochräumtauchknappeinDrittelderFührungskräfteausgroßenundmittlerenUnternehmenein,dassCyber-Angriffehäufigunbemerktbleiben.FührungskräftemitVerantwortung im IT-Bereich gestehen dies zu34Prozentein.
AngabeninProzent.
Mehr als jede vierte Führungskraft geht davon aus, dass Cyber-Angriffe auf das eigene Unternehmen häufig unbemerkt bleiben.
mit Zuständigkeitim IT-Bereich
die IT-Angriffen ausgesetzt sind(mindestens einmal im Monat)
die IT-Angriffen ausgesetzt sind(seltener bzw. nie)
insgesamt 29
34
25
34
08
DieEinschätzungdesSchadensrisikossteigtgrundsätzlichmitUnternehmensgrößeundZahlderAngriffe.WährendinUnternehmenmitwenigerals250Mitarbeitern29Prozentdas Schadensrisiko als groß oder sehr groß bewerten,steigtdieserWertbeiUnterneh-men mit mehr als 1000 Mitarbeitern auf 56 Prozentan.Unternehmen,diemonatlichoderhäufigerangegriffenwerden,sindsich
der Gefahr anscheinend bewusster und schätzendasRisikohöhereinalsdiejenigen,diewenigerangegriffenwerden.
Abb. 3 – Einschätzung des Schadensrisikos steigt mit Unternehmensgröße bzw. Zahl der Angriffe
AngabeninProzent.Auf100fehlendeProzentergebensichdurchabgerundeteEinzelwerte.
250 bis unter 1.000
1.000 und mehr
Unter 250
Seltener/nie
Mind. einmal im Monat
Nur 40 Prozent der Unternehmen stufen das Risiko einer gravierenden Schädigung durch einen Hackerangriff als (eher) groß ein.
Unternehmen insgesamt
528 832
Unternehmen ist IT-Angriffen ausgesetzt
3318 942
13 61 19 6
Anzahl der Mitarbeiter
538 30 8
5812 23 6
1 43 46 10
Sehrgering Ehergering Ehergroß Sehrgroß
Cyber Security Report 2018 | Teil 2: Unternehmen – das Risikobewusstsein sinkt
09
30
2013 2014 2015 2016 2017 2018
40
50
60
70
56
42
65
34
59
40
46
54 54
46
60
40
Führungskräfte halten das Risiko, dass ihr Unternehmen durch einen Hackerangriff gravierend geschädigt wird, für …
Abb. 4 – Subjektive Einschätzung des Schadensrisikos durch Hackerangriffe im Rückgang
Gleichzeitigsteigtseit2016dieAnzahlderer,die das Risiko als eher gering oder sehr geringeinschätzen,aktuellsindes60Prozentder Befragten. Die Unternehmen vertrauen auf ihre Vorsorgemaßnahmen. Diejenigen, die nach eigener Ansicht so gut wie möglich vorbereitetsind,schätzendasRisikoeinergravierendenSchädigungnochetwasgerin-ger ein.
60ProzentderWirtschaftsführerhalten den Schaden durch einen Hackerangrifffürgeringodersehrgering.
AngabeninProzent.
…eher/sehrgering …eher/sehrgroß
10
2. Differenzierte Sicht auf die potenziellen Schäden
Laut einer Studie des Branchenverbandes Bitkom2 sind deutschen Unternehmen in denletztenzweiJahrenSchädeninHöhevon 43,4 Milliarden Euro entstanden. Sabo-tage,DatendiebstahloderSpionagewarenGründe dafür.
DieBewertungmöglicherSchädendurchCyber-AngriffewirddurchdiebefragtenPoli-
tikerundFührungskräfteausderWirtschaftdifferenziertgesehen.AlsgrößtesRisikofürdiedeutscheWirtschaftsehenAbgeordnetemit80ProzentundFührungskräftemit67ProzentdenDiebstahlvonKnow-how.JeweilsrundeinDrittelnenntdieKosten,diedurchdieBehebungvonSchädenentste-hen,jeweilsrundjederFünftenenntImage-verlustebeziehungsweiseUmsatzeinbußen.
FürdaseigeneUnternehmensehenFührungskräftedasanders.Amhäufigs-ten halten sie die Kosten, die durch die BehebungvonSchädenentstehen,fürdiegrößte Gefahr, die für ihr Unternehmen von Cyber-Angriffenausgeht–43Prozent.Erstmit deutlichem Abstand folgen Nennungen wie Diebstahl von Know-how, Imageverluste undUmsatzeinbußen.
Abb. 5 – Diebstahl von Know-how – für die Gesamtwirtschaft eher ein Problem als für das einzelne Unternehmen
Politiker Führungskräfte in Unternehmen Führungskräfte in Unternehmen
Art der Gefahr für die deutsche Wirtschaft
Art der Gefahr für das eigene Unternehmen
19 2134
80
19 16
35
67
18 24
43
29
AngabeninProzent.
2Bitkom(2018):Wirtschaftsschutzstudie2018.
Umsatzeinbußen Imageverlust KostendurchBehebungvonSchäden DiebstahlvonKnow-how
Cyber Security Report 2018 | Teil 2: Unternehmen – das Risikobewusstsein sinkt
11
FürihreigenesUnternehmensehenFüh-rungskräfteauchSchädendurchImagever-lustealseinRisikobeiCyber-Angriffen.Fastein Viertel der Befragten nimmt hier eine Gefahr wahr. Andererseits sieht aber auch eineknappeMehrheitChanceninsozialenNetzwerken,beidengrößerenUnterneh-men steigt diese Sicht sogar auf über 60Prozentan.
Know-how-Verlust wird als größte durch Cyber-AngriffeausgehendeGefahrfürdiedeutscheWirtschaftgesehen–fürdas eigene Unternehmen fürchtet man eher die Kosten für das Beheben von SchädenunddenImageverlust.
Abb. 6 – Soziale Netzwerke – für Unternehmen eher Chance als Risiko
AngabeninProzent.
48%
4%
eher Chancen
unentschieden, schwer zu sagen
23%Chancen
und Risikengleichermaßen
25%eher Risiken
62%
2%
eher Chancen
unentschieden, schwer zu sagen
18%Chancen und Risiken gleichermaßen
18%eher Risiken
Unternehmen mit 250 und mehr Mitarbeitern Unternehmen mit weniger als 250 Mitarbeitern
12
„SozialeNetzwerkebietendenUnternehmenzahlreicheChancen.StärkereImagebildung,GewinnungneuerKundenundauchgezieltesRecruitinggehörendazu.SozialeNetzwerkesolltenUnternehmenstetsimAugebehalten,sonstverpasstmandieChancen oder übersieht die Risiken. Schnell können sich negativewirtschaftlicheAuswirkungenausderSchädigungderReputationergeben.DasManagementvonReputationsrisikengehört damit in jeden Baukasten des unternehmerischen Risikomanagements.“
Katrin Rohmann, Government & Public Services Industry Leader
68ProzentderUnternehmen,dieinsozialenNetzwerkeneherRisikensehen, verfolgen das Echo in den Netzwerkennichtsystematisch.
Erstaunlich ist, dass viele Unternehmen das EchoinsozialenNetzwerkennichtsystema-tisch verfolgen – insbesondere diejenigen, die in ihnen eher Risiken sehen – aktuell sind es 68ProzentderBefragten.Könntedasmög-licherweise ein Ignorieren des Unbekannten sein? Egal, was die Gründe dafür sein mögen, auch wenn ein Unternehmen nicht die Chan-censiehtundsozialeNetzwerkenichtaktivnutzt,solltendieBeobachtungundaktivesKommunikationsmanagement Bestandteil des Risikomanagements sein.
Abb. 7 – Viele Unternehmen verfolgen das Echo in sozialen Netzwerken nicht systematisch
AngabeninProzent.Auf100fehlendeProzent:Weißnicht,keineAngaben.
KeinesystematischeVerfolgung SystematischeVerfolgung
Insgesamt 5445
Führungskräfte, die in sozialen Netzwerke eher Risiken sehen
3068
Führungskräfte, die in sozialenNetzwerken eher Chancen sehen
7030
Cyber Security Report 2018 | Teil 2: Unternehmen – das Risikobewusstsein sinkt
13
Im digitalen Zeitalter ist Cyber-Sicherheit bei einem großen Teil der Unternehmen ein strategischesThemabeziehungsweiseeineAufgabefürdieGeschäftsführung.ZweiDrit-telderBefragtengabenan,dieGeschäfts-führungbeschäftigesichintensivodersehrintensivundauchregelmäßigdamit.Jedochverbleibt so immer noch ein Drittel, das sich wenigerundnuranlassbezogenmitderIT-Sicherheit befasst.
NachwievorwirddieKompetenzindenzuständigenFachabteilungengesehen,nureine Minderheit der Befragten sieht in ihrem UnternehmenausreichendKompetenzaufEbenederGeschäftsleitung.
3. Verantwortung und Kompetenz im Unternehmen
Abb. 8 – Sporadische Befassung mit Cyber-Security durch die Geschäftsführung
1%
4%
28%
46%
keine Angaben
21%sehr intensivkaum bzw. gar nicht
nicht so intensiv
intensiv
IntensitätIn rund jedem dritten Unternehmen befasst sich die Geschäftsführung mit dem Thema Cyber Security nicht intensiv, wenn überhaupt ...
Häufigkeit… und in rund jedem dritten Unternehmen höchstens anlassbezogen.
1%
5%
28%
66%
keine Angaben
kaum bzw. gar nicht
anlassbezogen
regelmäßig
14
SchonimletztjährigenCyber-SecurityReporthaben wir festgestellt, dass in weniger als derHälftederbefragtenUnternehmenmiteinem Aufsichtsrat sich dieser auch mit Cyber-Sicherheitbefasst.IndiesemJahrhabenwirgefragt,obderAufsichtsratWertaufInformationenzurCyber-Sicherheitlegt.ImErgebnistrifftdiesauchwiedernurknappfürdieHälftezu.
ImRahmenseinerRollebeiderregelmäßigenundproaktivenÜberwachungderGeschäfts-führung ist der Aufsichtsrat auch für den BereichderCyber-SicherheitzurAufsichtverpflichtetundmussdieSchlagkraftder
dazugenutztenMaßnahmenbewerten.DasverlangteineffektivesinternesKontroll-undRisikomanagementsystem.
VordemHintergrundderzunehmendenCyber-BedrohungenundderpotenziellenAuswirkungen auf ein Unternehmen gehören Cyber-RisikenauchzudenstrategischenGefährdungen,dieaufdieAgendadesAuf-sichtsrates gehören.
Abb. 9 – Aufsichtsräte und regelmäßige Informationen zur Cyber-Sicherheit
Rund50ProzentderAufsichtsrätelegenWertaufInformationen über Cyber-Sicherheit.
55%hat keinenAufsichtsrat 45%
hat einenAufsichtsrat
Das Unternehmen … Legt der Aufsichtsrat Wert auf Informationen zur Cyber-Sicherheit?
Große Wertlegung
Das ist nicht der Fall
Unentschieden/keine Angabe
23
17
5
AngabeninProzent.
Cyber Security Report 2018 | Teil 2: Unternehmen – das Risikobewusstsein sinkt
15
4.1 KostenIndenletztenJahrenhabensichdieCyber-AngriffeaufUnternehmen,auchinDeutschland, stetig vermehrt. Die Intenti-onenderAngreiferreichenvonSpionageüberPatentdiebstahlbishinzuSabotage.SowurdebeispielsweisebewusstdasTele-kommunikationsnetzeinesEnergieanbie-tersimSommer2017angegriffen.FernerkönnenUnternehmenauchdurchAngriffeinMitleidenschaftgezogenwerden,obwohldasZieleinganzandereswar.DasbesteBeispielhierfürwardieMalwareNotPetya,die unter anderem in einer Art Kettenreak-tion mehreren großen deutschen Unter-nehmenSchadeninMillionenhöhezufügte.
SchädenwerdennichtnurdurchdenAngriffselbst,sondernzueinemgroßenTeildurchdieFolgekostenverursacht.Durch Datenverluste entstehen außerdem nichtnurSchädenbeieinemselbst,son-dernauchbeiDritten.WeiterhingehörenzurWiederherstellungderGeschäftstätig-keit Kosten:
• FürdieWiederherstellungunddieInstandsetzungderIT-Systeme
• ZurFortführungbeziehungsweiseWie-deraufnahmedesGeschäftsbetriebs
• FürdieBeauftragungexternerIT- Forensiker
• FürKrisenmanagementundÖffentlich-keitsarbeit
• FürKreditschutz-undKreditüber- wachungsservices
• FürdieBeauftragungspezialisierterAnwälteundgegebenenfallsdiestraf-rechtliche Verteidigung
Vor diesem Hintergrund ist es nicht über-raschend, dass die Kosten für IT-Sicherheit indenletztenzweibisdreiJahrennachdenAngaben einer überwiegenden Mehrheit derFührungskräftegestiegensind.Dabeigeben45ProzentzuProtokoll,dieKostenseiendeutlichgestiegen,und40Prozentberichten von einer leichten Kostensteige-rung in diesem Bereich. Von gesunkenen KostenfürIT-Sicherheitberichtetpraktischkeiner der Befragten.
4. Schutz des Unternehmens
85ProzentderUnternehmenberichtenvongestiegenenKosten in der IT-Sicherheit.
16
Abb. 10 – Entwicklung der Kosten für die IT-Sicherheit
Die Kosten für die IT-Sicherheit gegen Hackerangriffe sind …
Unternehmen insgesamt
45
40
9
60,2
250 Mitarbeiter und mehr
51
35
6
80,5
Unter 250 Mitarbeiter
41
44
11
4
Die Kosten für die IT-Sicherheit gegen Hackerangriffe sind …
Unternehmen insgesamt
45
40
9
60,2
250 Mitarbeiter und mehr
51
35
6
80,5
Unter 250 Mitarbeiter
41
44
11
4
...deutlichgestiegen ...etwasgestiegen ...garnichtgestiegen ...gesunken KeineAngabe
AngabeninProzent.
„ProaktivesAnpassenvonCyber-Security-MaßnahmenkanneinemUnternehmenRessourceneinsparenundihmhelfenvordieLagezukommen.Führungskräftekönnensichauchstetsdas aktuellste Know-how ins Unternehmen holen, wenn sie Teile oderauchkompletteCyber-Security-Prozesseauslagern.SokönnensiesichaufihrKerngeschäftkonzentrieren.“
Peter Wirnsperger, Cyber Risk Leader
Cyber Security Report 2018 | Teil 2: Unternehmen – das Risikobewusstsein sinkt
17
Abb. 11 – Häufig wird noch nicht einmal jeder zehnte Euro im IT-Bereich für Sicherheit ausgegeben
Führungskräfte schätzen den Anteil der Kosten für IT-Sicherheit an den Gesamtkosten für IT in ihrem Unternehmen auf …
Mit Zuständigkeit im IT-Bereich
Insgesamt
Unter 250 Mitarbeiter
250 Mitarbeiter und mehr
Produzierendes Gewerbe
Dienstleistungssektor
Handel
38 241 9
38 440 12
51 417 14
34 242 10
44 334 12
45 235 13
40 337 11
Führungskräfte schätzen den Anteil der Kosten für IT-Sicherheit an den Gesamtkosten für IT in ihrem Unternehmen auf …
Mit Zuständigkeit im IT-Bereich
Insgesamt
Unter 250 Mitarbeiter
250 Mitarbeiter und mehr
Produzierendes Gewerbe
Dienstleistungssektor
Handel
38 241 9
38 440 12
51 417 14
34 242 10
44 334 12
45 235 13
40 337 11
AngabeninProzent.Auf100fehlendeProzent:Weißnicht,keineAngaben.
...unter10% ...10%bisunter20% ...20%bisunter30% ...30%undmehr
Überdurchschnittlich hoch ist der Anteil dersicherheitsbezogenenIT-Ausgabenin größeren Unternehmen ab 250 Mitar-beitern. In Handelsunternehmen geben dagegen51ProzentderUnternehmenimBereichITwenigeralsjedenzehntenEurofür Sicherheit aus.
VordemHintergrundderzunehmendenCyber-Angriffe,derimmerneuerenCyber-WaffenundderansteigendenAus-gaben der Unternehmen für IT-Sicherheit ist es aber erstaunlich, dass – gemessen an den Gesamtausgaben für den IT-Bereich – die Kosten für IT-Sicherheit bei der großen
Mehrheit der Unternehmen bei weniger als einemFünftelliegt.40Prozentderbefrag-ten Unternehmen investieren nach Aus-kunftihrerFührungskräftesogarwenigeralszehnProzentderIT-GesamtausgabeninSicherheit.DieSchätzungenderVer-antwortlichen, die in ihrem Unternehmen fürdenIT-Bereichzuständigsind,weichenvondenSchätzungenderFührungskräfteinsgesamtnurwenigab,liegentendenziellaber eher darunter.
18
4.2 MaßnahmenZumSchutzihrerIT-InfrastrukturergreifenvieleUnternehmenzwareineReihevonMaßnahmen, aber nur ein kleiner Teil schöpftdieMöglichkeitenaus,dieeigeneSicherheitimIT-Bereichzuoptimieren.Soüberwachen fast alle Unternehmen ihre IT-Netzwerkelaufend,87Prozentüber-prüfendieZugriffsrechteihrerMitarbeiterregelmäßig,dasheißtmindestenseinmalimJahr,81ProzentführenregelmäßigSchwachstellenanalysenihrerNetzwerkeundwichtigstenGeschäftsanwendungendurch.
Abb. 12 – Maßnahmen zum Schutz der IT-Infrastruktur
Folgende Maßnahmen werden zum Schutz der IT-Infrastruktur ergriffen:
Regelmäßige Überprüfungder Zugriffsberechtigungen
Laufende Überwachung der Netzwerke
Regelmäßige Schwachstellenanalysen
Beratung durch externe Spezialisten
Mitarbeiterschulungen
Identifizierung derwichtigsten Information-Assets
Externe Dienstleister
Regelmäßige Überprüfungund Anpassung der Maßnahmen
Simulation von Cyber-Angriffen
70
69
65
61
14
74
81
87
93
AngabeninProzent/Mehrfachnennungen möglich.
Nicht-technischeMaßnahmen TechnischeMaßnahmen
50%der Führungskräfte sehen ihr
Unternehmen auf mögliche Gefahren für die IT-Sicherheit
bestmöglich vorbereitet.
Cyber Security Report 2018 | Teil 2: Unternehmen – das Risikobewusstsein sinkt
19
EineIdentifizierungderwichtigstenInfor-mation-Assets,dievonCyber-Angriffenbetroffenseinkönnten,habendagegenlediglichrundzweiDrittelderUnterneh-menvorgenommen,nur61Prozentüberprüfenregelmäßig,obdiezumSchutzderwichtigstenAssetsgetroffenenMaß-nahmenausreichen,undpassendieseVorkehrungen gegebenenfalls an. Plan-spielezurSimulationvonCyber-Angriffen,beispielsweiseWarGamingoderRedTea-ming,führengeradeeinmal14ProzentderUnternehmenregelmäßigdurch.Vondensechs genannten möglichen Maßnahmen zurErhöhungderCyber-Sicherheitergreiftrund ein Drittel der Unternehmen nur drei oder weniger.
Auch andere, nicht-technische Maßnahmen zurVerbesserungderIT-SicherheitwerdenzwarvonvielenUnternehmenergriffen,dieMöglichkeiten,dieIT-Sicherheitzuerhöhen,aberauchindiesemFeldhäufignichtausgeschöpft.Sosuchen74ProzentderUnternehmenbeiexternenSpezialistenRat, welche aktuellen Entwicklungen es im Bereich Cyber-Security gibt und wie man sich am besten darauf einstellen kann. Dem möglichen Einwand, dass dies ja auch nur nötig sei, wenn die eigene IT-Abteilung nicht ausreichendkompetentist,stehtentgegen,dass sehr große Unternehmen mit 1.000 undmehrMitarbeiterntendenziellüber-durchschnittlichhäufigauchaufexternenRatsetzen.
70ProzentderUnternehmenführenregelmäßig,dasheißtmindestenseinmaljährlich,SchulungenfürihreMitarbeiterimBereichIT-Sicherheitdurch.65Prozenthaben externe Dienstleister beauftragt, die sich um das Thema Cyber Security in ihrem Unternehmen kümmern. Diese OptionnutzenUnternehmenab1.000Mitarbeitern nur unterdurchschnittlich häufig.RundjedesvierteUnternehmenbeziehungsweisejedesfünfteUnter-nehmenab1.000Mitarbeiternnutztnureine oder gar keine der drei genannten nicht-technischenMöglichkeitenzurErhö-hung der IT-Sicherheit – das sagen aktuell 24Prozentbeziehungsweise21Prozent.
Ob die genannten nicht-technischen Maßnahmen wie Beratung durch externe Spezialisten,MitarbeiterschulungenoderexterneDienstleisterwirklichzurVerbesserung der IT-Sicherheit beitragen, wirdnurvon42ProzentderUnternehmenkontrolliert, die mindestens eine der drei durchführen,weitere5Prozentüberprüfendas bei manchen der Maßnahmen. Rund die HälftedieserUnternehmenund37Prozentder Unternehmen ab 1.000 Mitarbeitern führen keinerlei Erfolgskontrollen bei diesenMaßnahmendurch.Nochamhäu-figstenwirdoffenbarderErfolgvonMitar-beiterschulungenüberprüft,amwenigstenhäufigderBeitragexternerDienstleisterzurVerbesserungderIT-SicherheitdesUnternehmens.
20
„EinUnternehmenkannsichtechnischnichtperfektabsichern.DeswegengehörenMaßnahmenzurErhöhungderorganisatorischenResilienzwieWarGamingundRedTeamingzumÜbendesErnstfallsdazu.SieüberprüfenundverbesserndieWirksamkeitvonSchutzmaßnahmen,ProzessenundHandlungsweisen.“
Peter J. Wirnsperger, Cyber Risk Leader
Abb. 13 – Erfolgskontrollen nicht-technischer Maßnahmen finden nur teilweise statt
Unternehmen insgesamt
47 425
So gut wie möglich
Einigermaßen/zweifelhaft
Unternehmen ist auf IT-Gefahren vorbereitet
58 334
37 6 50
Ab 250
Unter 250
Anzahl der Mitarbeiter
37 3 54
56 6 32
AngabeninProzent.Über100ProzentergebensichdurchaufgerundeteEinzelwerte.
EsgibtkeineErfolgskontrolle Teils,teils DerErfolgnicht-technischerMaßnahmenzumSchutzderIT-InfrastrukturimUnternehmenwirdüberprüft.
Cyber Security Report 2018 | Teil 2: Unternehmen – das Risikobewusstsein sinkt
21
Abb. 14 – Die meisten Unternehmen haben keine Cyber-Versicherung
Nur Unternehmen, die eine konkrete Angabe gemacht haben.Auf100fehlendeProzentergebensichdurchgerundeteWerte.
58%der Unternehmen habenkeine Cyberversicherung.
27%der Unternehmen habeneine Cyber-Versicherung.
14%wissen es nicht,
ob sie eine Cyber-Versicherung haben.
Nur rund ein Viertel der Führungskräfte kann bestätigen, dass das eigene Unternehmen eine solche Versicherung abgeschlossen hat.
Nach der Vermeidung und Abwehr von Risiken, der Minimierung und dem Umgang mitdemeingetretenenFallistaucheineVersicherung ein klassisches Mittel des Risi-komanagements. So existieren seit einiger Zeit auch sogenannte Cyber-Versicherun-gen. Hierbei handelt es sich meist um eine VerknüpfungausHaftpflicht-,Betriebsaus-fall-undDatenversicherungfürDritt-(z.B.Datenrechtsverluste)undEigenschädeninFormvonVermögensschäden,gegebe-nenfallsergänztumeineBetriebsunter-brechungsversicherung. Hierbei handelt esnichtnurumdiedirektenSchädendesAngriffs,sondernauchumdieKostenfürdieWiederherstellungdesGeschäftsbetriebs.
JedochgebentrotzderhohenBewertungvon Kosten als größten Schaden durch Cyber-Angriffeundderbeivielenherr-schenden Meinung, nicht bestmöglich vor-bereitetzusein,58ProzentderbefragtenFührungskräftean,sieseiennichtdurcheine Cyber-Versicherung abgesichert. 14Prozentwissenessogarnicht.
22
4.3 Sicherheit erfordert Kooperation DaCyber-AngriffeoftmalsKettenreaktionenauslösen können und sehr schwer greifbar undeinzugrenzensind,machenRisikenausdem Cyber-Raum nicht an der Unterneh-mensgrenzehalt.DahersindUnternehmenauchgrundlegendverpflichtet,inihrenLieferkettenaufCyber-RisikeneinzugehenundbeispielsweiseLieferantenindiePflichtzunehmen,bestimmteIT-Sicherheitsstan-dardseinzuhalten.VordiesemHintergrundistesjedochinteressantzusehen,dassnurrundjedeszweiteUnternehmenseineLieferantenverpflichtet,IT-Sicherheits-standardseinzuhalten.Hierzeigtsich,dasseinerhöhtesBewusstseindiesbezüglichbeiden Unternehmen noch notwendig ist.
Abb. 15 – Verpflichtung von Lieferanten auf die Einhaltung von IT-Sicherheitsstandards
Verpflichten Sie Ihre Lieferanten zur Einhaltungbestimmter IT-Sicherheitsstandards, oder ist das nicht der Fall?
Mit Zuständigkeit im IT-Bereich
Insgesamt
Unter 250 Mitarbeiter
250 bis 999 Mitarbeiter
1.000 und mehr Mitarbeiter 66 30 4
52 143 4
40 155 4
441
541
49 146 4
AngabeninProzent.
DieLieferantenwerdenverpflichtet DasistnichtderFall Kannichnichtsagen KeineAngabe
NurrundjedeszweiteUnternehmenverpflichtetseineLieferanten auf die Einhaltung von IT-Sicherheitsstandards.
Cyber Security Report 2018 | Teil 2: Unternehmen – das Risikobewusstsein sinkt
23
AustauschformatewiedieAllianzfürCyber-Sicherheit,diedenAustauschzwischenUnternehmen (seien es IT-Dienstleis-tungs- und -Beratungsunternehmen oder IT-Hersteller) und (staatlichen) Institutionen fördert,dienendazu,dieWiderstandsfä-higkeit des Standortes Deutschland gegen-überCyber-Angriffenzustärken.BeiderCyber-Sicherheit wird auch oft betont, dass ein Informationsaustausch über Erfahrun-genmitAngriffenoderüberBestPracticesinBezugaufdieResilienzundVerteidigungsehr wichtig ist. Vor diesem Hintergrund ist es überraschend, dass eine Mehrheit der Unternehmen einen Austausch mit anderenUnternehmenzuFragenderIT-Sicherheit für nicht sinnvoll erachtet. EinenregelmäßigenAustauschsehensogarweniger als ein Drittel als wirksam an.
VieleUnternehmenarbeitenbeispielsweiseheute schon bei sogenannten Threat-In-telligence-PlattformenundbeiderSpei-cherungundVerwertungvonGefährdungs-indikatoren mehr oder weniger intensiv zusammen.
DiegemeinsameNutzungkanneinegroßeHilfezurschnellenundeffektivenErken-nungvonAngriffensein:OftmalswerdenähnlicheOrganisationenvondemselbenBedrohungsakteurgleichzeitigoderauchzeitversetztangegriffen.Threat-Intelli-gence-Plattformen (TIP) helfen, diesen Bedrohungenzubegegnen.DasTeilenvonInformationen ermöglicht eine gemein-same Analyse und verhindert die Gefahr vonDoppelarbeiten.
DasHauptzielisteshierbei,sichzuallseitigem Vorteil Informationen über Taktiken, Techniken und Verfahren von AngreifernauszutauschenundsichüberadäquateReaktionenzuinformieren.TIP bieten die Möglichkeit, Indicators of Compromise(IOC)undInformationenüberMalwarestrukturiertzuspeichernundKorrelationen,automatisierteExportefür Intrusion-Detection-Systeme oder das Security-Information- und Event-Manage-mentdurchzuführen.SokönnennützlicheDaten ohne Aufwand und automatisiert genutztwerden.
Abb. 16 – Wunsch nach intensiverem Austausch über IT-Sicherheit
3%
27%
37%
der Entscheider machen keine Angabe oder können nur schwer eine Antwort geben. 33%
der Entscheider tauschen sich
regelmäßig mit anderen
Unternehmen aus.
der Entscheider tauschen sich (bisher) nicht mit anderen Unternehmen aus.
der Entscheider tauschen sich sporadisch mit
anderen Unternehmen aus.
43%der Entscheider halten
einen (noch) intensiveren Austausch mit anderen
Unternehmen zu Fragen derIT-Sicherheit für sinnvoll.
24
„DerAustauschunddiegemeinsameNutzungvonBedro-hungsinformationen stehen erst am Anfang. Es gibt gute Initiativen und etablierte Plattformen, die es Unternehmen ermöglichen,durcheinenInformationsvorsprungwider-standsfähigergegenüberCyber-Angriffenzuwerden.“
Katrin Rohmann, Government & Public Services Industry Leader
Cyber Security Report 2018 | Teil 2: Unternehmen – das Risikobewusstsein sinkt
25
Risikobewusstsein schärfenFührungskräftestufendasRisiko,durcheinenHackerangriffgeschädigtzuwerden,mehrheitlich gering ein – obwohl sie gleich-zeitigvermehrtCyber-Angriffewahrnehmen.SimulationenwieWarGamesundRedTea-ming können helfen, das Risikobewusstsein aufFührungsebenezuschärfen.
Verantwortung übernehmenNoch nicht in allen deutschen Unternehmen ist das Thema Cyber-Sicherheit genügend professionalisiert.DieSteuerungvonCyber-Risiken ist eng verbunden mit der Strategieentwicklung von Unternehmen und liegt damit in der Verantwortung von GeschäftsführungundAufsichtsrat.
Chance versus Risiko in sozialen NetzwerkenUnternehmen sehen die Chancen, die in derNutzungsozialerNetzwerkeliegen.SiesehenaberauchdieGefährdungdurchFakeNewsundfürchtenReputationsschäden.DieBeobachtungvonsozialenNetzwerkenund aktives Kommunikationsmanagement müssen Bestandteil des Risikomanage-ments werden.
Kooperationen sichernMitderDigitalisierungderGeschäftspro-zessegewinntderAspekt„Sicherheit“immer mehr an Bedeutung. Cyber-Sicherheit solltenichtnurdieinterneWertschöpfung,sondern auch Maßnahmen innerhalb der gesamteWertschöpfungskettevonAnfangbisEndezuverlässigberücksichtigen.
Resilienz von Organisationen stärkenEinperfekterSchutzgegenCyber-Bedro-hungenisttrotzsteigenderKostennichtdarstellbar. Daher sollten Unternehmen vor allemdieAnpassungs-undWiderstandsfä-higkeitsteigern.OrganisatorischeResilienzbieteteinenumfassenderenundeffiziente-renSchutz.
Handlungsfelder
26
Ansprechpartner
Peter J. WirnspergerCyber Risk LeaderTel:+49(0)[email protected]
Katrin RohmannGovernment & Public Services Industry LeaderTel:+49(0)[email protected]
Cyber Security Report 2018 | Teil 2: Unternehmen – das Risikobewusstsein sinkt
27
DieseVeröffentlichungenthältausschließlichallgemeineInformationen,dienichtgeeignetsind,denbesonderenUmständendesEinzelfallsgerechtzuwerden,undistnichtdazubestimmt,GrundlagefürwirtschaftlicheodersonstigeEntscheidungenzusein.WederdieDeloitteGmbHWirtschaftsprüfungsgesellschaftnochDeloitteToucheTohmatsuLimited,nochihre Mitgliedsunternehmen oder deren verbundene Unternehmen (insgesamt das„DeloitteNetzwerk“)erbringenmittelsdieserVeröffentlichungprofessionelleBeratungs- oder Dienstleistungen. Keines der Mitgliedsunternehmen des Deloitte NetzwerksistverantwortlichfürVerlustejedwederArt,dieirgendjemandimVertrauenaufdieseVeröffentlichungerlittenhat.
DeloittebeziehtsichaufDeloitteToucheTohmatsuLimited(„DTTL“),eine„privatecompanylimitedbyguarantee“(GesellschaftmitbeschränkterHaftungnachbritischemRecht),ihrNetzwerkvonMitgliedsunternehmenundihreverbundenenUnternehmen. DTTL und jedes ihrer Mitgliedsunternehmen sind rechtlich selbstständigundunabhängig.DTTL(auch„DeloitteGlobal“genannt)erbringtselbst keine Leistungen gegenüber Mandanten. Eine detailliertere Beschreibung vonDTTLundMitgliedsunternehmenfindenSieaufwww.deloitte.com/de/UeberUns.
DeloitteerbringtDienstleistungenindenBereichenWirtschaftsprüfung,RiskAdvisory,Steuerberatung,FinancialAdvisoryundConsultingfürUnternehmenundInstitutionenausallenWirtschaftszweigen;RechtsberatungwirdinDeutschlandvonDeloitteLegalerbracht.MiteinemweltweitenNetzwerkvonMitgliedsgesellschafteninmehrals150LändernverbindetDeloitteherausragendeKompetenzmiterstklassigenLeistungenundunterstütztKundenbeiderLösungihrerkomplexenunternehmerischenHerausforderungen.Makinganimpactthatmatters–fürrund286.000MitarbeitervonDeloitteistdiesgemeinsamesLeitbildundindividuellerAnspruchzugleich.
Stand12/2018