Unternehmen messen ihren IT-Sicherheitsstatus noch zu selten. Die Studie von KPMG und Lünendonk® zeigt den Status quo

Die Bedrohungslage hinsichtlich Cyberattacken wird als kritisch eingeschätzt, die eigene Abwehr aber für gut befunden  – so stellt sich eine Unternehmensbefragung dar, die wir in Kooperation mit Lünendonk® durchgeführt haben. Die Ergebnisse finden Sie in der Studie „Von der Cyber Security zur Cyber Resilience  – mehr Digitalisierung, mehr Cyber-Bedrohung?“

Demnach stufen 82 Prozent der untersuchten Unternehmen die Gefahr, Opfer eines professionellen Cyberangriffs zu werden, als hoch ein. Die größte Sorge haben die Unternehmen vor Ransomware und Phishing-Mails (67 Prozent), der Nutzung unautorisierter Geräte (63 Prozent) und DDoS-Attacken (61 Prozent). 48 Prozent der Befragten sehen zudem Sicherheitslücken aufgrund technischer Schulden wie etwa Schwachstellen in den historisch gewachsenen IT-Systemen.

Gleichzeitig schätzen 94 Prozent der Studienteilnehmenden ihr Unternehmen aber als gut aufgestellt ein, um Angriffe frühzeitig zu erkennen und abzuwehren.

Der hohe Wert überrascht, denn die Befragung ergab auch, dass ein Drittel der Unternehmen nicht regelmäßig die Wirksamkeit der IT-Security-Prozesse überprüft. Immerhin planen 24 Prozent, dies in den kommenden Jahren anzugehen. Auch die Überprüfung des IT-Security-Status mittels Penetration-Tests (Pentesting) wird derzeit nur von 54 Prozent der Unternehmen regelmäßig durchgeführt. Hier deutet sich ein Widerspruch zur Wahrnehmung der eigenen Cyber-Resilienz an.  

Für die Studie wurden 140 Verantwortliche für IT-Security  – vor allem CIOs, CTOs und CISOs  – aus Unternehmen unterschiedlicher Branchen (mit Ausnahme des öffentlichen Sektors und der Finanzdienstleistungsbranche) telefonisch befragt. Abgefragt wurde unter anderem, welche Folgen die zunehmende Cloud-Transformation auf die IT-Sicherheit hat und in welche Security-Bereiche investiert wird.

Die Cloud spielt für die Bewertung der IT-Sicherheit eine wichtige Rolle. Nahezu alle Unternehmen verfolgen eine Cloud-Strategie. Etwa sechs von zehn Befragten sehen in der zunehmenden Nutzung von Cloud-Diensten  – vor allem mit Trend zur Public Cloud  – eine Erhöhung des IT-Sicherheitsniveaus, unter anderem weil Cloud-Rechenzentren dank modernster Technologie besser gegen Cyberangriffe geschützt sind und die Cloud-Anbieter erheblich in ihre Absicherung investieren.

Zugleich halten die Befragten es aber auch für notwendig, mehr in die eigene IT-Sicherheit zu investieren. So will ein Großteil der befragten Unternehmen die Budgets für IT-Sicherheit in den kommenden zwei Jahren teils deutlich anheben. Die größten Zuwächse beziehen sich auf die Früherkennung potenzieller Cyberrisiken und -angriffe. Die höchsten Investitionen werden im Bereich Prävention (Antizipation und Abwehr von Cyberangriffen) getätigt.

Die zunehmende Digitalisierung der Kundenschnittstellen und unternehmensübergreifende Geschäftsmodelle der Plattformökonomie wie Industrie 4.0 und Industrial Internet of Things (IIoT) führen dazu, dass 59 Prozent der befragten Unternehmen ihre IT-Security-Strategie auf das gesamte Ökosystem beziehen.

Dies gilt insbesondere für Unternehmen aus den Branchen Automotive, Manufacturing und Handel. Bei Konsumgüterherstellern und bei Unternehmen aus Chemie/Pharma und Telekommunikation/Medien/Verlage findet IT-Sicherheit dagegen häufig noch innerhalb der eigenen Unternehmensgrenzen statt.

Mehr als 40 Prozent der Befragten sehen bei ihrer IT-Sicherheit einen hohen Bedarf an externer Unterstützung, da sie die Vielzahl an Aufgaben nicht aus eigener Kraft bewältigen können. Vor allem die Nachfrage nach Managed Security Services wird deutlich steigen. 

„Von Cyber Security zur Cyber Resilience  – mehr Digitalisierung, mehr Cyber-Bedrohung?“ gibt einen detaillierten Überblick über den Stand der Cyber-Resilienz von großen mittelständischen Unternehmen und Konzernen unterschiedlicher Branchen. Die Studie zeigt: Ein Teil der Unternehmen ist angesichts der steigenden Anforderungen noch nicht optimal aufgestellt. Insbesondere gilt, Cybersicherheit viel stärker ganzheitlich zu denken.