cyber security report 2018 teil 2: unternehmen – das ... · 1 bundesamt für sicherheit in der...

Cyber Security Report 2018Teil 2: Unternehmen – das Risikobewusstsein sinkt

Cyber Security Report 2018 | Teil 2: Unternehmen – das Risikobewusstsein sinkt

03

Vorwort 04

Executive Summary 05

1. Sinkendes Bewusstsein für das Risiko 06

2. DifferenzierteSichtaufdiepotenziellenSchäden 10

3. VerantwortungundKompetenzimUnternehmen 13

4. SchutzdesUnternehmens 15

4.1 Kosten 15

4.2 Maßnahmen 18

4.3SicherheiterfordertKooperation 22

Handlungsfelder 25

Ansprechpartner 26

04

Die Chancen der Digitalisierung für die öffentlicheVerwaltungunddieWirtschaftsind immens, die Risiken sind es ebenso. GrößereAngriffswellenmitRansomwaresindimzurückliegendenJahrausgeblieben,doch die Bedrohungslage bleibt weiterhin kritisch.

Cyber-AngriffegehörenmittlerweilezumAlltagvielerUnternehmenundknappdieHälftederStudienteilnehmerwirdsogartäglichbismehrmalsdieWochedurchCyber-Angriffeausspioniertodergargeschädigt.EinGroßteilderBefragtenbemerktdenAngrifferstspätodergarnicht.

JedesUnternehmenstellteinmöglichesAngriffszieldar.Einigesindgutvorberei-tet, andere haben noch Nachholbedarf in Sachen Cyber-Sicherheit. Der Diebstahl von Know-how, der Imageverlust, die UmsatzeinbußenunddieKostenfürdieBehebungvonSchädendurchCyber-Atta-cken wirken sich unmittelbar auf den WettbewerbsvorteildesUnternehmensaus. Cyber-Sicherheit stellt damit einen WettbewerbsvorteilinderDigitalisierungdar und sollte eine strategische Aufgabe jeder Unternehmensführung sein.

BeiderUmsetzungvonUnternehmens-strategien sind auch die Cyber-Risiken imAugezubehalten.InsbesonderedieGeschäftsführungistgefragt,passendeStrategienzuentwickeln,dieBewertungvonCyber-RisikenzuveranlassenundgeeigneteSchutzmaßnahmenumzuset-zen.VordemHintergrund,dassCyber-

VorwortSicherheitbeiderUmsetzungvonUnter-nehmensstrategieneinehohePrioritätzukommensollte,habenwirindiesemTeildesReportsfolgendePlanungsaspekteher ausgearbeitet:

Maßnahmen zur Erhöhung der Cyber-SicherheitWirfragtendieFührungskräfte,welchetechnischen und nicht-technischen SchutzmaßnahmensiezurErhöhungihrer Cyber-Sicherheit ergreifen. Die Bandbreite an möglichen Vorkehrungen ist groß, sie reicht von einer laufenden ÜberwachungderNetzwerkeüberregelmäßigeÜberprüfungenderZugriffsrechtebishinzurSimulationvonCyber-Angriffen.NureingeringerTeildeutscher Unternehmen ist in der Lage, die gesamte Bandbreite an Maßnahmen selbstumzusetzen.

KostenGenauer hinterfragt haben wir auch, wie sich die Kosten für IT-Sicherheit, insbesonderefürdenSchutzvorHacker-Angriffen,indenletztenJahrenentwickelt haben. Die Verantwortlichen solltenermitteln,inwieweitderfinanzielleAufwand für die Abwehr einer Cyber-Be-drohunggerechtfertigtist.EinproaktivesAnpassenvonCyber-Security-Maßnah-menodereinAuslagernvonkomplettenCyber-Security-ProzessenkannKosteneinsparen,Ressourcenfreisetzenunddem Unternehmen helfen, sich auf sein Kerngeschäftzukonzentrieren.

KooperationenCyber-SicherheitfängtnichterstamWerkstoran.SieistnichtnurTeilderunter-nehmensinternenProzessezurWertschöp-fung, sondern auch innerhalb der gesam-tenWertschöpfungskettevonAnfangbisEndenachhaltigzuberücksichtigen.Des-halbfragtenwirdieFührungskräfte,obsieihreLieferantenzurEinhaltungbestimmterIT-Sicherheitsstandardsverpflichten.

In Teil 1 der Studie haben wir auf die Digitalisierung und Cyber-Sicherheit auf politischerundgesamtgesellschaftlicherEbeneabgestellt,währendderhiervorliegende Teil 2 die Situation in den Unternehmen beleuchtet.

WieindenVorjahrenbildetdieEinschät-zungderBedrohungdurchCyber-undIT-Risiken und der daraus folgenden Gefahren für Unternehmen den Schwer-punktunsererStudie.DieUnternehmengeben auch Auskunft über die Zahl der erfolgtenAngriffeunddieArtderdarausresultierendenSchäden.

InKooperationmitdemInstitutfürDemoskopieAllensbachhabenwirdieserepräsentativeUmfrageunterFührungs-kräftenderWirtschaftundPolitikernderEuropa-,Bundes-sowieLandesparla-mente durchgeführt.


05

DieErgebnissederBefragungführenzuden folgenden Kernaussagen:

Sinkendes Risikobewusstsein und mangelnde Befassung mit Cyber-SicherheitDasRisikobewusstseinunterdenTop-Ent-scheidernderWirtschaftistimVergleichzumVorjahrerneutgesunken.Geschäfts-leitungenbeschäftigensichkaumodernursporadischmitCyber-SicherheitundAuf-sichtsrätelegennurinetwaderHälftederFälleWertaufregelmäßigeInformationenzudemThema.

Unterschiedliche Wahrnehmung der GefahrenSowohlWirtschaftsführeralsauchAbgeordnete sehen das größte Risiko für diedeutscheWirtschaftinsgesamtim

Executive SummaryDiebstahlvonKnow-how.FürdasjeweilseigeneUnternehmenbewertenFührungs-kräftedasdeutlichanders.Amhäufigstenhalten sie die Kosten, die durch die BehebungvonSchädenentstehen,fürdiegrößte Gefahr, die für ihr Unternehmen vonCyber-Angriffenausgeht.

Überdurchschnittlich steigende KostenGrundsätzlichberichtetdieüberwie-gendeMehrheitderFührungskräfteausmittleren und großen Unternehmen, dass die Kosten für IT-Sicherheit in ihrem Unternehmen gestiegen sind. Überdurch-schnittlichhäufighabensolcheab250Mitarbeitern deutliche Kostensteigerun-genzuverzeichnen.

Nicht alle Möglichkeiten zum Schutz werden genutztZumSchutzihrerIT-InfrastrukturergreifenvieleUnternehmenzwareineReihevonMaßnahmen, aber nur ein kleiner Teil schöpftdieMöglichkeitenaus,dieeigeneSicherheitimIT-Bereichzuoptimieren.EineIdentifizierungderwichtigstenInformation-Assets haben lediglich rund zweiDrittelderBefragtenvorgenommen.PlanspielezurSimulationvonCyber-An-griffen,zumBeispielWarGamesoderRedTeaming,führengeradeeinmal14ProzentderUnternehmenregelmäßigdurch.EineCyber-VersicherungbesitztnurknappeinViertel der Studienteilnehmer.

06

Abb. 1 – Wahrgenommene Häufigkeit von IT-Angriffen auf Unternehmen in Deutschland

Cyber-Angriffeund-Kriminalitätwerdenmittlerweile von der Gesellschaft, der PolitikundderWirtschaftalsbekanntePhänomenewahrgenommen.BesondersmitWannaCry,derRansomware-AttackeaufzahlreichedeutscheUnternehmen,mitdemAPT-AngriffaufdasAuswärtigeAmtunddemDatenmissbrauchüberFacebookdurchCambridgeAnalyticasetztensichdieMedienstärkerauseinander.SieerhöhtendamitauchdieWahrnehmungvonCyber-Risiken in Deutschland.

FürdenGroßteilderdeutschenUnterneh-mengehörenCyber-AngriffezumAlltag.Insgesamt93ProzentderBefragtenausmittlerenundgroßenUnternehmenbestä-tigten,IT-Angriffenausgesetztzusein,durchdiedasUnternehmenausspioniertodergeschädigtwerdensollte.25ProzentderBefragtenberichtenvontäglichenAngriffen,weitere21Prozenthabenein-odermehr-malsproWochemitexternenAngriffenzukämpfen,7ProzentmehrmalsimMonat.

DasbestätigtauchdieaktuelleLagebeurtei-lung des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Im Lagebericht vom 11. Oktober 2018 wird festgehalten, dassdieGefährdungslageweiterhinhoch,imVergleichzumVorjahrkeinesfallszurückgegangenundgleichzeitigauchnochvielschichtiger geworden ist.1

1 Bundesamt für Sicherheit in der Informationstechnik (2018): Die Lage der IT-Sicherheit 2018, S. 91 f.

Nur Unternehmen, die eine konkrete Angabe gemacht haben.

1. Sinkendes Bewusstsein für das Risiko

25%täglich

21%einmal/mehrmals in der Woche

7%nie

40%seltener

7%mehrmals pro Monat

Wie häufig ist Ihr Unternehmen IT-Angriffen ausgesetzt, durch die Ihr Unternehmen ausspioniert oder geschädigt werden soll?

Täglich bis mehrmals pro Woche

25%2013

46%2018


07

Abb. 2 – Cyber-Angriffe bleiben häufig unbemerkt

KnappdieHälftederbefragtenFührungskräfteistderAnnahme,nie oder nur selten Ziel eines Cyber-Angriffszusein,undknappeinDrittelgehtdavonaus,dassAngriffeaufihrUnternehmen unbemerkt bleiben.

DiewahrgenommeneHäufigkeitderAngriffeistseitBeginnderTrendstudieimJahr2013deutlich gestiegen und verharrt aktuell auf einem hohen Niveau, auch wenn im Vergleich zumletztenJahrderWertleichtzurückging.Aktuellberichten25ProzentderFührungs-kräftevontäglichenAngriffenaufdaseigeneUnternehmen,währendesimVorjahrnoch27Prozentwaren.AllerdingsstieggleichzeitigderAnteilderer,diebehaupten,dassihrUnternehmen nie oder nur selten angegrif-fenwordenist,von40auf47Prozent.

ZwarsagtfastdieHälftederBefragten,ihrUnternehmen werde selten oder nie ange-griffen,jedochräumtauchknappeinDrittelderFührungskräfteausgroßenundmittlerenUnternehmenein,dassCyber-Angriffehäufigunbemerktbleiben.FührungskräftemitVerantwortung im IT-Bereich gestehen dies zu34Prozentein.

AngabeninProzent.

Mehr als jede vierte Führungskraft geht davon aus, dass Cyber-Angriffe auf das eigene Unternehmen häufig unbemerkt bleiben.

mit Zuständigkeitim IT-Bereich

die IT-Angriffen ausgesetzt sind(mindestens einmal im Monat)

die IT-Angriffen ausgesetzt sind(seltener bzw. nie)

insgesamt 29

34

25

34

08

DieEinschätzungdesSchadensrisikossteigtgrundsätzlichmitUnternehmensgrößeundZahlderAngriffe.WährendinUnternehmenmitwenigerals250Mitarbeitern29Prozentdas Schadensrisiko als groß oder sehr groß bewerten,steigtdieserWertbeiUnterneh-men mit mehr als 1000 Mitarbeitern auf 56 Prozentan.Unternehmen,diemonatlichoderhäufigerangegriffenwerden,sindsich

der Gefahr anscheinend bewusster und schätzendasRisikohöhereinalsdiejenigen,diewenigerangegriffenwerden.

Abb. 3 – Einschätzung des Schadensrisikos steigt mit Unternehmensgröße bzw. Zahl der Angriffe

AngabeninProzent.Auf100fehlendeProzentergebensichdurchabgerundeteEinzelwerte.

250 bis unter 1.000

1.000 und mehr

Unter 250

Seltener/nie

Mind. einmal im Monat

Nur 40 Prozent der Unternehmen stufen das Risiko einer gravierenden Schädigung durch einen Hackerangriff als (eher) groß ein.

Unternehmen insgesamt

528 832

Unternehmen ist IT-Angriffen ausgesetzt

3318 942

13 61 19 6

Anzahl der Mitarbeiter

538 30 8

5812 23 6

1 43 46 10

Sehrgering Ehergering Ehergroß Sehrgroß


09

30

2013 2014 2015 2016 2017 2018

40

50

60

70

56

42

65

34

59

40

46

54 54

46

60

40

Führungskräfte halten das Risiko, dass ihr Unternehmen durch einen Hackerangriff gravierend geschädigt wird, für …

Abb. 4 – Subjektive Einschätzung des Schadensrisikos durch Hackerangriffe im Rückgang

Gleichzeitigsteigtseit2016dieAnzahlderer,die das Risiko als eher gering oder sehr geringeinschätzen,aktuellsindes60Prozentder Befragten. Die Unternehmen vertrauen auf ihre Vorsorgemaßnahmen. Diejenigen, die nach eigener Ansicht so gut wie möglich vorbereitetsind,schätzendasRisikoeinergravierendenSchädigungnochetwasgerin-ger ein.

60ProzentderWirtschaftsführerhalten den Schaden durch einen Hackerangrifffürgeringodersehrgering.

AngabeninProzent.

…eher/sehrgering …eher/sehrgroß

10

2. Differenzierte Sicht auf die potenziellen Schäden

Laut einer Studie des Branchenverbandes Bitkom2 sind deutschen Unternehmen in denletztenzweiJahrenSchädeninHöhevon 43,4 Milliarden Euro entstanden. Sabo-tage,DatendiebstahloderSpionagewarenGründe dafür.

DieBewertungmöglicherSchädendurchCyber-AngriffewirddurchdiebefragtenPoli-

tikerundFührungskräfteausderWirtschaftdifferenziertgesehen.AlsgrößtesRisikofürdiedeutscheWirtschaftsehenAbgeordnetemit80ProzentundFührungskräftemit67ProzentdenDiebstahlvonKnow-how.JeweilsrundeinDrittelnenntdieKosten,diedurchdieBehebungvonSchädenentste-hen,jeweilsrundjederFünftenenntImage-verlustebeziehungsweiseUmsatzeinbußen.

FürdaseigeneUnternehmensehenFührungskräftedasanders.Amhäufigs-ten halten sie die Kosten, die durch die BehebungvonSchädenentstehen,fürdiegrößte Gefahr, die für ihr Unternehmen von Cyber-Angriffenausgeht–43Prozent.Erstmit deutlichem Abstand folgen Nennungen wie Diebstahl von Know-how, Imageverluste undUmsatzeinbußen.

Abb. 5 – Diebstahl von Know-how – für die Gesamtwirtschaft eher ein Problem als für das einzelne Unternehmen

Politiker Führungskräfte in Unternehmen Führungskräfte in Unternehmen

Art der Gefahr für die deutsche Wirtschaft

Art der Gefahr für das eigene Unternehmen

19 2134

80

19 16

35

67

18 24

43

29

AngabeninProzent.

2Bitkom(2018):Wirtschaftsschutzstudie2018.

Umsatzeinbußen Imageverlust KostendurchBehebungvonSchäden DiebstahlvonKnow-how


11

FürihreigenesUnternehmensehenFüh-rungskräfteauchSchädendurchImagever-lustealseinRisikobeiCyber-Angriffen.Fastein Viertel der Befragten nimmt hier eine Gefahr wahr. Andererseits sieht aber auch eineknappeMehrheitChanceninsozialenNetzwerken,beidengrößerenUnterneh-men steigt diese Sicht sogar auf über 60Prozentan.

Know-how-Verlust wird als größte durch Cyber-AngriffeausgehendeGefahrfürdiedeutscheWirtschaftgesehen–fürdas eigene Unternehmen fürchtet man eher die Kosten für das Beheben von SchädenunddenImageverlust.

Abb. 6 – Soziale Netzwerke – für Unternehmen eher Chance als Risiko

AngabeninProzent.

48%

4%

eher Chancen

unentschieden, schwer zu sagen

23%Chancen

und Risikengleichermaßen

25%eher Risiken

62%

2%

eher Chancen

unentschieden, schwer zu sagen

18%Chancen und Risiken gleichermaßen

18%eher Risiken

Unternehmen mit 250 und mehr Mitarbeitern Unternehmen mit weniger als 250 Mitarbeitern

12

„SozialeNetzwerkebietendenUnternehmenzahlreicheChancen.StärkereImagebildung,GewinnungneuerKundenundauchgezieltesRecruitinggehörendazu.SozialeNetzwerkesolltenUnternehmenstetsimAugebehalten,sonstverpasstmandieChancen oder übersieht die Risiken. Schnell können sich negativewirtschaftlicheAuswirkungenausderSchädigungderReputationergeben.DasManagementvonReputationsrisikengehört damit in jeden Baukasten des unternehmerischen Risikomanagements.“

Katrin Rohmann, Government & Public Services Industry Leader

68ProzentderUnternehmen,dieinsozialenNetzwerkeneherRisikensehen, verfolgen das Echo in den Netzwerkennichtsystematisch.

Erstaunlich ist, dass viele Unternehmen das EchoinsozialenNetzwerkennichtsystema-tisch verfolgen – insbesondere diejenigen, die in ihnen eher Risiken sehen – aktuell sind es 68ProzentderBefragten.Könntedasmög-licherweise ein Ignorieren des Unbekannten sein? Egal, was die Gründe dafür sein mögen, auch wenn ein Unternehmen nicht die Chan-censiehtundsozialeNetzwerkenichtaktivnutzt,solltendieBeobachtungundaktivesKommunikationsmanagement Bestandteil des Risikomanagements sein.

Abb. 7 – Viele Unternehmen verfolgen das Echo in sozialen Netzwerken nicht systematisch

AngabeninProzent.Auf100fehlendeProzent:Weißnicht,keineAngaben.

KeinesystematischeVerfolgung SystematischeVerfolgung

Insgesamt 5445

Führungskräfte, die in sozialen Netzwerke eher Risiken sehen

3068

Führungskräfte, die in sozialenNetzwerken eher Chancen sehen

7030


13

Im digitalen Zeitalter ist Cyber-Sicherheit bei einem großen Teil der Unternehmen ein strategischesThemabeziehungsweiseeineAufgabefürdieGeschäftsführung.ZweiDrit-telderBefragtengabenan,dieGeschäfts-führungbeschäftigesichintensivodersehrintensivundauchregelmäßigdamit.Jedochverbleibt so immer noch ein Drittel, das sich wenigerundnuranlassbezogenmitderIT-Sicherheit befasst.

NachwievorwirddieKompetenzindenzuständigenFachabteilungengesehen,nureine Minderheit der Befragten sieht in ihrem UnternehmenausreichendKompetenzaufEbenederGeschäftsleitung.

3. Verantwortung und Kompetenz im Unternehmen

Abb. 8 – Sporadische Befassung mit Cyber-Security durch die Geschäftsführung

1%

4%

28%

46%

keine Angaben

21%sehr intensivkaum bzw. gar nicht

nicht so intensiv

intensiv

IntensitätIn rund jedem dritten Unternehmen befasst sich die Geschäftsführung mit dem Thema Cyber Security nicht intensiv, wenn überhaupt ...

Häufigkeit… und in rund jedem dritten Unternehmen höchstens anlassbezogen.

1%

5%

28%

66%

keine Angaben

kaum bzw. gar nicht

anlassbezogen

regelmäßig

14

SchonimletztjährigenCyber-SecurityReporthaben wir festgestellt, dass in weniger als derHälftederbefragtenUnternehmenmiteinem Aufsichtsrat sich dieser auch mit Cyber-Sicherheitbefasst.IndiesemJahrhabenwirgefragt,obderAufsichtsratWertaufInformationenzurCyber-Sicherheitlegt.ImErgebnistrifftdiesauchwiedernurknappfürdieHälftezu.

ImRahmenseinerRollebeiderregelmäßigenundproaktivenÜberwachungderGeschäfts-führung ist der Aufsichtsrat auch für den BereichderCyber-SicherheitzurAufsichtverpflichtetundmussdieSchlagkraftder

dazugenutztenMaßnahmenbewerten.DasverlangteineffektivesinternesKontroll-undRisikomanagementsystem.

VordemHintergrundderzunehmendenCyber-BedrohungenundderpotenziellenAuswirkungen auf ein Unternehmen gehören Cyber-RisikenauchzudenstrategischenGefährdungen,dieaufdieAgendadesAuf-sichtsrates gehören.

Abb. 9 – Aufsichtsräte und regelmäßige Informationen zur Cyber-Sicherheit

Rund50ProzentderAufsichtsrätelegenWertaufInformationen über Cyber-Sicherheit.

55%hat keinenAufsichtsrat 45%

hat einenAufsichtsrat

Das Unternehmen … Legt der Aufsichtsrat Wert auf Informationen zur Cyber-Sicherheit?

Große Wertlegung

Das ist nicht der Fall

Unentschieden/keine Angabe

23

17

5

AngabeninProzent.


15

4.1 KostenIndenletztenJahrenhabensichdieCyber-AngriffeaufUnternehmen,auchinDeutschland, stetig vermehrt. Die Intenti-onenderAngreiferreichenvonSpionageüberPatentdiebstahlbishinzuSabotage.SowurdebeispielsweisebewusstdasTele-kommunikationsnetzeinesEnergieanbie-tersimSommer2017angegriffen.FernerkönnenUnternehmenauchdurchAngriffeinMitleidenschaftgezogenwerden,obwohldasZieleinganzandereswar.DasbesteBeispielhierfürwardieMalwareNotPetya,die unter anderem in einer Art Kettenreak-tion mehreren großen deutschen Unter-nehmenSchadeninMillionenhöhezufügte.

SchädenwerdennichtnurdurchdenAngriffselbst,sondernzueinemgroßenTeildurchdieFolgekostenverursacht.Durch Datenverluste entstehen außerdem nichtnurSchädenbeieinemselbst,son-dernauchbeiDritten.WeiterhingehörenzurWiederherstellungderGeschäftstätig-keit Kosten:

• FürdieWiederherstellungunddieInstandsetzungderIT-Systeme

• ZurFortführungbeziehungsweiseWie-deraufnahmedesGeschäftsbetriebs

• FürdieBeauftragungexternerIT- Forensiker

• FürKrisenmanagementundÖffentlich-keitsarbeit

• FürKreditschutz-undKreditüber- wachungsservices

• FürdieBeauftragungspezialisierterAnwälteundgegebenenfallsdiestraf-rechtliche Verteidigung

Vor diesem Hintergrund ist es nicht über-raschend, dass die Kosten für IT-Sicherheit indenletztenzweibisdreiJahrennachdenAngaben einer überwiegenden Mehrheit derFührungskräftegestiegensind.Dabeigeben45ProzentzuProtokoll,dieKostenseiendeutlichgestiegen,und40Prozentberichten von einer leichten Kostensteige-rung in diesem Bereich. Von gesunkenen KostenfürIT-Sicherheitberichtetpraktischkeiner der Befragten.

4. Schutz des Unternehmens

85ProzentderUnternehmenberichtenvongestiegenenKosten in der IT-Sicherheit.

16

Abb. 10 – Entwicklung der Kosten für die IT-Sicherheit

Die Kosten für die IT-Sicherheit gegen Hackerangriffe sind …


45

40

9

60,2

250 Mitarbeiter und mehr

51

35

6

80,5

Unter 250 Mitarbeiter

41

44

11

4

Die Kosten für die IT-Sicherheit gegen Hackerangriffe sind …


45

40

9

60,2


51

35

6

80,5


41

44

11

4

...deutlichgestiegen ...etwasgestiegen ...garnichtgestiegen ...gesunken KeineAngabe

AngabeninProzent.

„ProaktivesAnpassenvonCyber-Security-MaßnahmenkanneinemUnternehmenRessourceneinsparenundihmhelfenvordieLagezukommen.Führungskräftekönnensichauchstetsdas aktuellste Know-how ins Unternehmen holen, wenn sie Teile oderauchkompletteCyber-Security-Prozesseauslagern.SokönnensiesichaufihrKerngeschäftkonzentrieren.“

Peter Wirnsperger, Cyber Risk Leader


17

Abb. 11 – Häufig wird noch nicht einmal jeder zehnte Euro im IT-Bereich für Sicherheit ausgegeben

Führungskräfte schätzen den Anteil der Kosten für IT-Sicherheit an den Gesamtkosten für IT in ihrem Unternehmen auf …

Mit Zuständigkeit im IT-Bereich

Insgesamt



Produzierendes Gewerbe

Dienstleistungssektor

Handel

38 241 9

38 440 12

51 417 14

34 242 10

44 334 12

45 235 13

40 337 11

Führungskräfte schätzen den Anteil der Kosten für IT-Sicherheit an den Gesamtkosten für IT in ihrem Unternehmen auf …


Insgesamt



Produzierendes Gewerbe

Dienstleistungssektor

Handel

38 241 9

38 440 12

51 417 14

34 242 10

44 334 12

45 235 13

40 337 11

AngabeninProzent.Auf100fehlendeProzent:Weißnicht,keineAngaben.

...unter10% ...10%bisunter20% ...20%bisunter30% ...30%undmehr

Überdurchschnittlich hoch ist der Anteil dersicherheitsbezogenenIT-Ausgabenin größeren Unternehmen ab 250 Mitar-beitern. In Handelsunternehmen geben dagegen51ProzentderUnternehmenimBereichITwenigeralsjedenzehntenEurofür Sicherheit aus.

VordemHintergrundderzunehmendenCyber-Angriffe,derimmerneuerenCyber-WaffenundderansteigendenAus-gaben der Unternehmen für IT-Sicherheit ist es aber erstaunlich, dass – gemessen an den Gesamtausgaben für den IT-Bereich – die Kosten für IT-Sicherheit bei der großen

Mehrheit der Unternehmen bei weniger als einemFünftelliegt.40Prozentderbefrag-ten Unternehmen investieren nach Aus-kunftihrerFührungskräftesogarwenigeralszehnProzentderIT-GesamtausgabeninSicherheit.DieSchätzungenderVer-antwortlichen, die in ihrem Unternehmen fürdenIT-Bereichzuständigsind,weichenvondenSchätzungenderFührungskräfteinsgesamtnurwenigab,liegentendenziellaber eher darunter.

18

4.2 MaßnahmenZumSchutzihrerIT-InfrastrukturergreifenvieleUnternehmenzwareineReihevonMaßnahmen, aber nur ein kleiner Teil schöpftdieMöglichkeitenaus,dieeigeneSicherheitimIT-Bereichzuoptimieren.Soüberwachen fast alle Unternehmen ihre IT-Netzwerkelaufend,87Prozentüber-prüfendieZugriffsrechteihrerMitarbeiterregelmäßig,dasheißtmindestenseinmalimJahr,81ProzentführenregelmäßigSchwachstellenanalysenihrerNetzwerkeundwichtigstenGeschäftsanwendungendurch.

Abb. 12 – Maßnahmen zum Schutz der IT-Infrastruktur

Folgende Maßnahmen werden zum Schutz der IT-Infrastruktur ergriffen:

Regelmäßige Überprüfungder Zugriffsberechtigungen

Laufende Überwachung der Netzwerke

Regelmäßige Schwachstellenanalysen

Beratung durch externe Spezialisten

Mitarbeiterschulungen

Identifizierung derwichtigsten Information-Assets

Externe Dienstleister

Regelmäßige Überprüfungund Anpassung der Maßnahmen

Simulation von Cyber-Angriffen

70

69

65

61

14

74

81

87

93

AngabeninProzent/Mehrfachnennungen möglich.

Nicht-technischeMaßnahmen TechnischeMaßnahmen

50%der Führungskräfte sehen ihr

Unternehmen auf mögliche Gefahren für die IT-Sicherheit

bestmöglich vorbereitet.


19

EineIdentifizierungderwichtigstenInfor-mation-Assets,dievonCyber-Angriffenbetroffenseinkönnten,habendagegenlediglichrundzweiDrittelderUnterneh-menvorgenommen,nur61Prozentüberprüfenregelmäßig,obdiezumSchutzderwichtigstenAssetsgetroffenenMaß-nahmenausreichen,undpassendieseVorkehrungen gegebenenfalls an. Plan-spielezurSimulationvonCyber-Angriffen,beispielsweiseWarGamingoderRedTea-ming,führengeradeeinmal14ProzentderUnternehmenregelmäßigdurch.Vondensechs genannten möglichen Maßnahmen zurErhöhungderCyber-Sicherheitergreiftrund ein Drittel der Unternehmen nur drei oder weniger.

Auch andere, nicht-technische Maßnahmen zurVerbesserungderIT-SicherheitwerdenzwarvonvielenUnternehmenergriffen,dieMöglichkeiten,dieIT-Sicherheitzuerhöhen,aberauchindiesemFeldhäufignichtausgeschöpft.Sosuchen74ProzentderUnternehmenbeiexternenSpezialistenRat, welche aktuellen Entwicklungen es im Bereich Cyber-Security gibt und wie man sich am besten darauf einstellen kann. Dem möglichen Einwand, dass dies ja auch nur nötig sei, wenn die eigene IT-Abteilung nicht ausreichendkompetentist,stehtentgegen,dass sehr große Unternehmen mit 1.000 undmehrMitarbeiterntendenziellüber-durchschnittlichhäufigauchaufexternenRatsetzen.

70ProzentderUnternehmenführenregelmäßig,dasheißtmindestenseinmaljährlich,SchulungenfürihreMitarbeiterimBereichIT-Sicherheitdurch.65Prozenthaben externe Dienstleister beauftragt, die sich um das Thema Cyber Security in ihrem Unternehmen kümmern. Diese OptionnutzenUnternehmenab1.000Mitarbeitern nur unterdurchschnittlich häufig.RundjedesvierteUnternehmenbeziehungsweisejedesfünfteUnter-nehmenab1.000Mitarbeiternnutztnureine oder gar keine der drei genannten nicht-technischenMöglichkeitenzurErhö-hung der IT-Sicherheit – das sagen aktuell 24Prozentbeziehungsweise21Prozent.

Ob die genannten nicht-technischen Maßnahmen wie Beratung durch externe Spezialisten,MitarbeiterschulungenoderexterneDienstleisterwirklichzurVerbesserung der IT-Sicherheit beitragen, wirdnurvon42ProzentderUnternehmenkontrolliert, die mindestens eine der drei durchführen,weitere5Prozentüberprüfendas bei manchen der Maßnahmen. Rund die HälftedieserUnternehmenund37Prozentder Unternehmen ab 1.000 Mitarbeitern führen keinerlei Erfolgskontrollen bei diesenMaßnahmendurch.Nochamhäu-figstenwirdoffenbarderErfolgvonMitar-beiterschulungenüberprüft,amwenigstenhäufigderBeitragexternerDienstleisterzurVerbesserungderIT-SicherheitdesUnternehmens.

20

„EinUnternehmenkannsichtechnischnichtperfektabsichern.DeswegengehörenMaßnahmenzurErhöhungderorganisatorischenResilienzwieWarGamingundRedTeamingzumÜbendesErnstfallsdazu.SieüberprüfenundverbesserndieWirksamkeitvonSchutzmaßnahmen,ProzessenundHandlungsweisen.“

Peter J. Wirnsperger, Cyber Risk Leader

Abb. 13 – Erfolgskontrollen nicht-technischer Maßnahmen finden nur teilweise statt


47 425

So gut wie möglich

Einigermaßen/zweifelhaft

Unternehmen ist auf IT-Gefahren vorbereitet

58 334

37 6 50

Ab 250

Unter 250

Anzahl der Mitarbeiter

37 3 54

56 6 32

AngabeninProzent.Über100ProzentergebensichdurchaufgerundeteEinzelwerte.

EsgibtkeineErfolgskontrolle Teils,teils DerErfolgnicht-technischerMaßnahmenzumSchutzderIT-InfrastrukturimUnternehmenwirdüberprüft.


21

Abb. 14 – Die meisten Unternehmen haben keine Cyber-Versicherung

Nur Unternehmen, die eine konkrete Angabe gemacht haben.Auf100fehlendeProzentergebensichdurchgerundeteWerte.

58%der Unternehmen habenkeine Cyberversicherung.

27%der Unternehmen habeneine Cyber-Versicherung.

14%wissen es nicht,

ob sie eine Cyber-Versicherung haben.

Nur rund ein Viertel der Führungskräfte kann bestätigen, dass das eigene Unternehmen eine solche Versicherung abgeschlossen hat.

Nach der Vermeidung und Abwehr von Risiken, der Minimierung und dem Umgang mitdemeingetretenenFallistaucheineVersicherung ein klassisches Mittel des Risi-komanagements. So existieren seit einiger Zeit auch sogenannte Cyber-Versicherun-gen. Hierbei handelt es sich meist um eine VerknüpfungausHaftpflicht-,Betriebsaus-fall-undDatenversicherungfürDritt-(z.B.Datenrechtsverluste)undEigenschädeninFormvonVermögensschäden,gegebe-nenfallsergänztumeineBetriebsunter-brechungsversicherung. Hierbei handelt esnichtnurumdiedirektenSchädendesAngriffs,sondernauchumdieKostenfürdieWiederherstellungdesGeschäftsbetriebs.

JedochgebentrotzderhohenBewertungvon Kosten als größten Schaden durch Cyber-Angriffeundderbeivielenherr-schenden Meinung, nicht bestmöglich vor-bereitetzusein,58ProzentderbefragtenFührungskräftean,sieseiennichtdurcheine Cyber-Versicherung abgesichert. 14Prozentwissenessogarnicht.

22

4.3 Sicherheit erfordert Kooperation DaCyber-AngriffeoftmalsKettenreaktionenauslösen können und sehr schwer greifbar undeinzugrenzensind,machenRisikenausdem Cyber-Raum nicht an der Unterneh-mensgrenzehalt.DahersindUnternehmenauchgrundlegendverpflichtet,inihrenLieferkettenaufCyber-RisikeneinzugehenundbeispielsweiseLieferantenindiePflichtzunehmen,bestimmteIT-Sicherheitsstan-dardseinzuhalten.VordiesemHintergrundistesjedochinteressantzusehen,dassnurrundjedeszweiteUnternehmenseineLieferantenverpflichtet,IT-Sicherheits-standardseinzuhalten.Hierzeigtsich,dasseinerhöhtesBewusstseindiesbezüglichbeiden Unternehmen noch notwendig ist.

Abb. 15 – Verpflichtung von Lieferanten auf die Einhaltung von IT-Sicherheitsstandards

Verpflichten Sie Ihre Lieferanten zur Einhaltungbestimmter IT-Sicherheitsstandards, oder ist das nicht der Fall?


Insgesamt


250 bis 999 Mitarbeiter

1.000 und mehr Mitarbeiter 66 30 4

52 143 4

40 155 4

441

541

49 146 4

AngabeninProzent.

DieLieferantenwerdenverpflichtet DasistnichtderFall Kannichnichtsagen KeineAngabe

NurrundjedeszweiteUnternehmenverpflichtetseineLieferanten auf die Einhaltung von IT-Sicherheitsstandards.


23

AustauschformatewiedieAllianzfürCyber-Sicherheit,diedenAustauschzwischenUnternehmen (seien es IT-Dienstleis-tungs- und -Beratungsunternehmen oder IT-Hersteller) und (staatlichen) Institutionen fördert,dienendazu,dieWiderstandsfä-higkeit des Standortes Deutschland gegen-überCyber-Angriffenzustärken.BeiderCyber-Sicherheit wird auch oft betont, dass ein Informationsaustausch über Erfahrun-genmitAngriffenoderüberBestPracticesinBezugaufdieResilienzundVerteidigungsehr wichtig ist. Vor diesem Hintergrund ist es überraschend, dass eine Mehrheit der Unternehmen einen Austausch mit anderenUnternehmenzuFragenderIT-Sicherheit für nicht sinnvoll erachtet. EinenregelmäßigenAustauschsehensogarweniger als ein Drittel als wirksam an.

VieleUnternehmenarbeitenbeispielsweiseheute schon bei sogenannten Threat-In-telligence-PlattformenundbeiderSpei-cherungundVerwertungvonGefährdungs-indikatoren mehr oder weniger intensiv zusammen.

DiegemeinsameNutzungkanneinegroßeHilfezurschnellenundeffektivenErken-nungvonAngriffensein:OftmalswerdenähnlicheOrganisationenvondemselbenBedrohungsakteurgleichzeitigoderauchzeitversetztangegriffen.Threat-Intelli-gence-Plattformen (TIP) helfen, diesen Bedrohungenzubegegnen.DasTeilenvonInformationen ermöglicht eine gemein-same Analyse und verhindert die Gefahr vonDoppelarbeiten.

DasHauptzielisteshierbei,sichzuallseitigem Vorteil Informationen über Taktiken, Techniken und Verfahren von AngreifernauszutauschenundsichüberadäquateReaktionenzuinformieren.TIP bieten die Möglichkeit, Indicators of Compromise(IOC)undInformationenüberMalwarestrukturiertzuspeichernundKorrelationen,automatisierteExportefür Intrusion-Detection-Systeme oder das Security-Information- und Event-Manage-mentdurchzuführen.SokönnennützlicheDaten ohne Aufwand und automatisiert genutztwerden.

Abb. 16 – Wunsch nach intensiverem Austausch über IT-Sicherheit

3%

27%

37%

der Entscheider machen keine Angabe oder können nur schwer eine Antwort geben. 33%

der Entscheider tauschen sich

regelmäßig mit anderen

Unternehmen aus.

der Entscheider tauschen sich (bisher) nicht mit anderen Unternehmen aus.

der Entscheider tauschen sich sporadisch mit

anderen Unternehmen aus.

43%der Entscheider halten

einen (noch) intensiveren Austausch mit anderen

Unternehmen zu Fragen derIT-Sicherheit für sinnvoll.

24

„DerAustauschunddiegemeinsameNutzungvonBedro-hungsinformationen stehen erst am Anfang. Es gibt gute Initiativen und etablierte Plattformen, die es Unternehmen ermöglichen,durcheinenInformationsvorsprungwider-standsfähigergegenüberCyber-Angriffenzuwerden.“

Katrin Rohmann, Government & Public Services Industry Leader


25

Risikobewusstsein schärfenFührungskräftestufendasRisiko,durcheinenHackerangriffgeschädigtzuwerden,mehrheitlich gering ein – obwohl sie gleich-zeitigvermehrtCyber-Angriffewahrnehmen.SimulationenwieWarGamesundRedTea-ming können helfen, das Risikobewusstsein aufFührungsebenezuschärfen.

Verantwortung übernehmenNoch nicht in allen deutschen Unternehmen ist das Thema Cyber-Sicherheit genügend professionalisiert.DieSteuerungvonCyber-Risiken ist eng verbunden mit der Strategieentwicklung von Unternehmen und liegt damit in der Verantwortung von GeschäftsführungundAufsichtsrat.

Chance versus Risiko in sozialen NetzwerkenUnternehmen sehen die Chancen, die in derNutzungsozialerNetzwerkeliegen.SiesehenaberauchdieGefährdungdurchFakeNewsundfürchtenReputationsschäden.DieBeobachtungvonsozialenNetzwerkenund aktives Kommunikationsmanagement müssen Bestandteil des Risikomanage-ments werden.

Kooperationen sichernMitderDigitalisierungderGeschäftspro-zessegewinntderAspekt„Sicherheit“immer mehr an Bedeutung. Cyber-Sicherheit solltenichtnurdieinterneWertschöpfung,sondern auch Maßnahmen innerhalb der gesamteWertschöpfungskettevonAnfangbisEndezuverlässigberücksichtigen.

Resilienz von Organisationen stärkenEinperfekterSchutzgegenCyber-Bedro-hungenisttrotzsteigenderKostennichtdarstellbar. Daher sollten Unternehmen vor allemdieAnpassungs-undWiderstandsfä-higkeitsteigern.OrganisatorischeResilienzbieteteinenumfassenderenundeffiziente-renSchutz.

Handlungsfelder

26

Ansprechpartner

Peter J. WirnspergerCyber Risk LeaderTel:+49(0)[email protected]

Katrin RohmannGovernment & Public Services Industry LeaderTel:+49(0)[email protected]


27

DieseVeröffentlichungenthältausschließlichallgemeineInformationen,dienichtgeeignetsind,denbesonderenUmständendesEinzelfallsgerechtzuwerden,undistnichtdazubestimmt,GrundlagefürwirtschaftlicheodersonstigeEntscheidungenzusein.WederdieDeloitteGmbHWirtschaftsprüfungsgesellschaftnochDeloitteToucheTohmatsuLimited,nochihre Mitgliedsunternehmen oder deren verbundene Unternehmen (insgesamt das„DeloitteNetzwerk“)erbringenmittelsdieserVeröffentlichungprofessionelleBeratungs- oder Dienstleistungen. Keines der Mitgliedsunternehmen des Deloitte NetzwerksistverantwortlichfürVerlustejedwederArt,dieirgendjemandimVertrauenaufdieseVeröffentlichungerlittenhat.

DeloittebeziehtsichaufDeloitteToucheTohmatsuLimited(„DTTL“),eine„privatecompanylimitedbyguarantee“(GesellschaftmitbeschränkterHaftungnachbritischemRecht),ihrNetzwerkvonMitgliedsunternehmenundihreverbundenenUnternehmen. DTTL und jedes ihrer Mitgliedsunternehmen sind rechtlich selbstständigundunabhängig.DTTL(auch„DeloitteGlobal“genannt)erbringtselbst keine Leistungen gegenüber Mandanten. Eine detailliertere Beschreibung vonDTTLundMitgliedsunternehmenfindenSieaufwww.deloitte.com/de/UeberUns.

DeloitteerbringtDienstleistungenindenBereichenWirtschaftsprüfung,RiskAdvisory,Steuerberatung,FinancialAdvisoryundConsultingfürUnternehmenundInstitutionenausallenWirtschaftszweigen;RechtsberatungwirdinDeutschlandvonDeloitteLegalerbracht.MiteinemweltweitenNetzwerkvonMitgliedsgesellschafteninmehrals150LändernverbindetDeloitteherausragendeKompetenzmiterstklassigenLeistungenundunterstütztKundenbeiderLösungihrerkomplexenunternehmerischenHerausforderungen.Makinganimpactthatmatters–fürrund286.000MitarbeitervonDeloitteistdiesgemeinsamesLeitbildundindividuellerAnspruchzugleich.

Stand12/2018

cyber security report 2018 teil 2: unternehmen – das ... · 1 bundesamt für sicherheit in der...

Documents