+49 (0)40 - 47 35 00 | Kontakt | Über uns

Kaum Fortschritte bei der Cybersicherheit

1. August 2024

Cyberrisiken sind – nicht zuletzt wegen der verschärften Bedrohungslage durch mehr Attacken aus dem Ausland – in aller Munde, spektakuläre Schadenfälle an der Tagesordnung. Trotzdem scheint es kaum Fortschritte bei der Cybersicherheit zu geben. Im Vergleich zum Jahr 2023 ist der Reifegrad der Cybersicherheit großer, international agierender Unternehmen um lediglich ein Prozent auf nun 53% gestiegen. Das ist das Ergebnis der Wavestone Cyber Benchmark 2024.

In einer umfassenden Analyse hat das internationale Beratungsunternehmen dabei fast 200 Sicherheitsmaßnahmen von mehr als 150 Unternehmen unter die Lupe genommen. (Die Werte beziehen sich auf die Anforderungen der internationalen Standards NIST CSF & ISO 27001/2.) Das Fazit: Alle Unternehmen hätten in Sachen Cybersicherheit noch einen weiten Weg zurückzulegen.

Finanzsektor schneidet am besten ab

Der allgemeine Reifegrad ist mit 53% gestiegen, die Studie zeigt jedoch eine Heterogenität zwischen den einzelnen Sektoren. Der Finanzsektor schneidet mit einem Wert von 60% am besten ab, wobei es jedoch deutliche Unterschiede im Reifegrad zwischen den großen Banken und Versicherern gibt, die im Durchschnitt einen geringeren Reifegrad aufweisen.

Die Akteure der Luxusgüterbranche und des Einzelhandels folgen mit einem durchschnittlichen Reifegrad von 52,7%, was in erster Linie auf den Einsatz umfangreicher Ressourcen der Luxusgüterbranche zurückzuführen ist. Es folgt der Industriesektor mit einem Reifegrad von 51,3%, was zeigt, dass die Unternehmen sich bemühen, ihren Rückstand aufzuholen und die digitale Transformation voranzutreiben. Mit 50,9% liegt der Energiesektor nur leicht über dem Durchschnitt.

Die positiven Auswirkungen der Regulierung sind nach dieser Studie erkennbar: Unternehmen, die den Sicherheitsbestimmungen für kritische Infrastrukturen (NIS/LPM) unterliegen, zeichnen sich durch eine höhere Reife aus (57,5% vs. 51,7%).

Risiko Olympia

In einem angespannten geopolitischen Umfeld sind Unternehmen aktuell mit Cyberspionage und Cyberangriffen durch eine Vielzahl gefährlicher Akteure konfrontiert. Dazu gehören Cyberkriminelle, Hacktivisten und sogar Staaten. Gerade im Zusammenhang mit internationalen Großereignissen wie den Olympischen und Paralympischen Spielen in Frankreich müssen die Organisatoren und der Staat kritische Strukturen besonders schützen. Diese werden im Fokus der üblichen Attacken stehen, die darauf abzielen, das Image des Landes zu schädigen und Aufmerksamkeit rund um die Spiele zu erzeugen.

Die Chancen dafür stehen nach Ansicht von Wavestone leider nicht schlecht: Nur 39% der großen Unternehmen verfügen über Lösungen zum Schutz vor Denial-of-Service-Angriffen (Überlastung von Websites, die zu deren Ausfall führen) auf allen ihren Websites (27% bei den kleinsten Unternehmen), und 47% haben fortgeschrittene Lösungen zum Schutz ihrer im Internet veröffentlichten Anwendungen vor Defacement, d. h. der unkontrollierten Veränderung von Websites (27% bei den kleinsten Unternehmen).

Durch die Olympischen Spiele in Frankreich werden vor allem französische Großunternehmen Denial-of-Service-Angriffen ausgesetzt sein. Nur 39% sind ausreichend geschützt.

Mehr als die Hälfte (54%) der kleinen und mittleren untersuchten Unternehmen im Panel werden als kritisch eingestuft, da sie nicht die notwendigen Grundlagen und Kenntnisse beherrschen, um sich gegen diese Art von Angriffen zu wehren. Dieses Phänomen betrifft hauptsächlich den Dienstleistungssektor, auch wenn einzelne Finanz- und Industrieunternehmen ebenfalls nicht immun gegen Angriffe sind. Große Unternehmen gehören aufgrund ihres Reifegrads von 56,9% nicht zu den leichtesten Zielen für Cyberkriminelle.

Nachholdbedarf beim Sicherheits-Budget

Die Budgets für Cybersicherheit machen sektorübergreifend 6,6% der IT-Budgets aus und liegen damit am unteren Ende der empfohlenen Spanne (zwischen 5 und 10%). Ein Experte/eine Expertin kümmert sich um die Cybersicherheit für durchschnittlich 1086 Mitarbeitende. Immer mehr Unternehmen haben Initiativen zur Bindung von Talenten an das Unternehmen gestartet.

Zwei Bereiche haben in diesem Jahr besonders stark zugelegt: die Cloud-Sicherheit (+5%), die von den Fortschritten bei der Sicherheit der Verwaltung dieser Plattformen profitiert, und die Datensicherheit (+4%), die untrennbar mit den wachsenden Herausforderungen der Künstlichen Intelligenz verbunden ist. Einige Bereiche der Cybersicherheit sind nach wie vor ausbaufähig: insbesondere die Sicherheit von Drittparteien (z.B. Partner und Lieferanten, die zunehmend vernetzt sind und Einfallstore für Angriffe darstellen) mit einem Reifegrad von 48,9% und die Sicherheit von Industriesystemen mit 39,9%.

Die NIS-2-Richtlinie wird die Cybersicherheitsstrategien stark beeinflussen, da sie für eine wachsende Zahl von Unternehmen und ihre gesamten Systeme gilt. Sie wird erhebliche Investitionen erfordern, um den Rückstand von 20% bis 40% gegenüber den erwarteten Anforderungen aufzuholen.

Cloud-Sicherheit verbessert

Die Cloud-Sicherheit verzeichnete in diesem Jahr mit einem Anstieg von über 5% einen der größten Reifegradzuwächse bei den Großunternehmen, wenngleich der Reifegrad insgesamt nach wie vor zu den niedrigsten im Cyber Benchmark zählt. Dieses Wachstum ist vor allem auf den Aufschwung spezieller Lösungen wie CNAPP (Cloud-Native Application Protection Platform) zurückzuführen, welche die notwendigen Tools zur Absicherung von nativen Cloud-Anwendungen zentralisieren.

Auch die zunehmende Akzeptanz von CSPM-Lösungen (Cloud Security Posture Management), mit denen Konfigurationsfehler und Schwachstellen erkannt und behoben werden können, trägt zu der positiven Entwicklung bei. Allerdings greifen noch immer 6% der Großunternehmen mit einem einfachen Benutzernamen und Passwort auf ihre Konsole zu, was die Dringlichkeit zur Einführung von Multi-Faktor-Authentifizierung oder zur Verwendung von Bastions unterstreicht. Beides sind Lösungen, die bereits von 65% der Unternehmen angewandt werden.

Der Schutz von Daten hat 2024 vor dem Hintergrund, dass Künstliche Intelligenz die Cybersicherheitsbranche aufmischt, erhebliche Fortschritte erzielt: 39% der Großunternehmen sind dank ihrer Tools zur Datenklassifizierung und Desensibilisierung in der Lage, ihre KI-Modelle sicher zu trainieren. 49% der großen Organisationen sind bereit, KI einzusetzen, um den Zugang zu Daten zu erleichtern und gleichzeitig deren Vertraulichkeit zu wahren, indem sie Tools zur Identifizierung, Inventarisierung und Klassifizierung von Daten einsetzen. Fast 50% der Wavestone-Kunden starten oder haben bereits Projekte gestartet, um ihre generativen KI-Lösungen abzusichern.

Die Personalbeschaffung im Bereich der Cybersicherheit stellt eine besondere Herausforderung dar. Nach Erhebungen des ISC2 aus dem Jahr 2023 sind weltweit 4 Mio. Stellen aus Mangel an Bewerbern nicht besetzt. Nur 25% der Belegschaft in Cybersicherheitsabteilungen sind Frauen, und die Mehrheit der Fachleute (92%) gibt an, dass ihre Organisation mit Fachkräftemangel zu kämpfen hat. Um diesen Herausforderungen zu begegnen, setzen Unternehmen auf die individuelle Entwicklung durch Initiativen wie die Einführung eines Weiterbildungskatalogs, die Schaffung von neuen Karrierewegen im Cyber-Bereich oder interne Umschulungen.

Bezogen auf die Anzahl der Mitarbeitenden in den beurteilten Organisationen kommt auf rund 1100 Mitarbeitende etwa eine Person, die sich der Cybersicherheit widmet. Hinter diesem Durchschnittswert verbergen sich jedoch sehr individuelle Ergebnisse. Der Finanzsektor zum Beispiel hat begonnen, interessante Verhältnisse zu erreichen (1/267 oder besser in großen Organisationen). Dennoch ist dieses Verhältnis noch immer zu niedrig, um die aktuellen Herausforderungen zu bewältigen. Dies gilt erst recht für Sektoren wie die Industrie.

Von den gesamten IT-Budgets der Unternehmen werden 6,6% für Security ausgegeben. Diese Zahl mag auf den ersten Blick gering erscheinen, steigt aber im Falle eines Cyberangriffs deutlich an und erreicht fast 15%. Nach Sektoren betrachtet investiert der Finanzsektor am meisten (7,8%). Dies ist vor dem Hintergrund der Einhaltung der DORA-Bestimmungen nachvollziehbar.

Problem Drittparteien

Die Verwaltung von Drittparteien bleibt eine Herausforderung, zumal ein Großteil der Angriffe über diesen Kanal erfolgt: 67% der Großunternehmen haben als Rahmen für die Zusammenarbeit mit Drittparteien Sicherheitsklauseln eingeführt, aber nur 38% überprüfen diese regelmäßig. Nur 16% der großen Unternehmen testen ihre Notfall- und Wiederherstellungspläne mit ihren Drittparteien in allen kritischen Bereichen. Die größte Herausforderung für große Organisationen besteht heute darin, ein effizientes Betriebsmodell für die Verwaltung ihrer Drittparteien (mehrere zehn- oder sogar hunderttausend) einzurichten, das dediziertes Personal, effiziente Beziehungen zum Einkauf und zu den Geschäftsbereichen sowie leistungsfähige Tools für die Inventarisierung und Verfolgung aller Drittparteien umfasst.

Im Industriesektor bleibt die Sicherheit von industriellen Kontrollsystemen (39,9% Reifegrad) die größte Herausforderung. Legacy-Systeme wurden ohne den Fokus auf Sicherheit entwickelt und öffnen sich nun im Zuge der digitalen Transformation. Während die Bemühungen zur Isolierung der Systeme fortgesetzt werden (+4% im Jahr 2024), bleibt die Ausfallsicherheit eine Herausforderung: Nur 36% der Großunternehmen verfügen über sichere Backups dieser Umgebungen.+

Ferner ist eine wachsende Diskrepanz zwischen den am stärksten regulierten Akteuren (Energie, Pharma, Verteidigung …) und den anderen Sektoren (Bau, Textil, Lebensmittel …) festzustellen: Stark regulierte Sektoren weisen einen durchschnittlichen Reifegrad von 50% auf. Weniger regulierte Sektoren erreichen hier nur einen Wert von 37%. Diese Tendenz dürfte sich mit der Einführung der NIS-2-Richtlinie abschwächen.

NIS-2-Ready?

Wo stehen große Organisationen wenige Monate vor der Einführung der Richtlinie? Betrachtet man einige der in der NIS-2-Richtlinie behandelten Themen, so zeigen sich deutliche Unterschiede zwischen großen und kleineren Unternehmen:

  • Sicherheitspolitik (ISSP): Große Unternehmen erreichen einen Reifegrad von 80% gegenüber 52% bei kleinen Unternehmen.
  • Geschäftskontinuität und Krisenmanagement: Der Reifegrad von Großunternehmen liegt bei 49% gegenüber 36% bei kleinen Unternehmen.
  • Audits: Große Unternehmen zeigen eine Reife von 72% gegenüber 42% bei kleinen Unternehmen.
  • Incident Response: Große Unternehmen besitzen einen Reifegrad von 57%, während kleine Unternehmen nur zu 41% ausreichend vorbereitet sind.

Kategorisiert in:


Abo

Zweimal im Monat fundierte Informationen über das Versicherungsgeschäft

Probeabo

Abonnement - Zeitschrift für Versicherungswesen
  • AboPlus Digital kostenfrei mitnutzen
  • 3 Ausgaben zum Kennenlernen
  • 30% Ersparnis

37,00 EUR

Auswählen

AboClassic

Abonnement - Zeitschrift für Versicherungswesen
  • Gedrucktes Heft
  • Erscheinungsweise: monatlich
  • 20% Ersparnis gegenüber Einzelpreis

162,00 EUR

Auswählen

AboDigital

Abonnement - Zeitschrift für Versicherungswesen
  • Digitale Ausgabe und Onlinebeiträge
  • Erscheinungsweise: monatlich
  • Zugriff auf komplettes Online-Archiv

162,00 EUR

Auswählen

AboPlus Digital

Abonnement - Zeitschrift für Versicherungswesen
  • Upgrade für AboClassic-Abonnenten
  • Digitale Ausgabe und Onlinebeiträge
  • Zugriff auf komplettes Online-Archiv

66,00 EUR

Auswählen

AboKombi

Abonnement - Zeitschrift für Versicherungswesen
  • Kombinieren Sie Print mit Digital
  • Gedrucktes Heft und digitale Ausgabe
  • Zugriff auf komplettes Online-Archiv

228,00 EUR

Auswählen

Weitere Produkte

Abonnement - Zeitschrift für Versicherungswesen
  • Einzelhefte
  • Sonder-/Schwerpunkthefte
  • Einbanddecken
  • Sonderdrucke


Auswählen