CEOs sehen ihre Unternehmen nicht gewappnet gegen Cyberangriffe

Die Ergebnisse zeigen deutlich, dass das Thema Cybersicherheit zwar erkannt, nach wie vor aber nicht proaktiv angegangen wird. Die Risiken von Angriffen und höheren Kosten für die Reaktion und Problembehebung steigen dadurch. 60 Prozent der insgesamt 1.000 befragten CEOs weltweit geben an, dass ihre Unternehmen Cybersicherheit nicht von Anfang an in ihre Geschäftsstrategien, Dienstleistungen oder Produkte einbeziehen. Und mehr als vier von zehn (44 %) der CEOs sind der Ansicht, dass Cybersicherheit mehr punktuelle, kurzfristige Aktionen statt eines kontinuierlichen Engagements erfordert.
 
Zu dieser reaktiven Haltung kommt hinzu, dass mehr als die Hälfte der CEOs (54 %) fälschlicherweise davon ausgeht, dass die Kosten für die Implementierung von Cybersicherheit höher sind, als die Kosten eines Cyberangriffs. Die bisherigen Erfahrungen zeigen jedoch das Gegenteil: Der Angriff auf ein weltweit tätiges Transport- und Logistikunternehmen führte zu einem Rückgang des Geschäftsvolumens um 20 Prozent und zu Verlusten in Höhe von 300 Millionen US-Dollar. Ein deutscher Fahrradhersteller rutschte in Folge eines Cyberangriffs sogar in die Insolvenz.
 
Obwohl 90 Prozent angeben, dass Cybersicherheit ein Differenzierungsfaktor für angebotene Produkte oder Dienstleistungen ist, der für mehr Vertrauen und Neukundenakquise sorgt, diskutieren nur 15 Prozent der CEOs Fragen der Cybersicherheit in spezifischen Vorstandssitzungen. Ein Grund für diese Diskrepanz könnte sein, dass die überwiegende Mehrheit der CEOs (91 %)  Cybersicherheit als eine rein technische Funktion betrachtet, die in die Zuständigkeit des CIO oder des Chief Information Security Officer (CISO) fällt.

Generative KI hat laut Umfrage das Potenzial, die Sicherheitslage noch zu verschärfen. Neue Herausforderungen können entstehen, denen selbst bislang bewährte Cyberabwehrsysteme möglicherweise nicht mehr vollständig gerecht werden. Fast zwei Drittel der befragten CEOs (64 %) gehen davon aus, dass Cyberkriminelle generative KI nutzen könnten, um ausgefeilte und schwer zu entdeckende Cyberangriffe wie Phishing-Attacken, Social-Engineering-Angriffe und automatisierte Hacks zu entwickeln.

„Die Fortschritte im Bereich der generativen KI setzen Unternehmen noch stärker als bisher unter Druck. Es wird für sie noch wichtiger, die Sicherheit Ihrer Produkte, Daten und Prozesse von Anfang an zu berücksichtigen und die richtigen Maßnahmen zu ergreifen“, erläutert Thomas Schumacher, Leiter für den Geschäftsbereich Security in DACH „Leider wird das Thema Cybersecurity oft erst nach einem Cyberangriff zur Priorität auf Vorstands- und Geschäftsführungsebene. Dabei ist es essentiell, dass Cybersicherheit nicht nur in Silos steigt. Die Integration in ein unternehmensweites Risikomanagement ist der Schlüssel zu verbesserter Sicherheit, zur Einhaltung von regulatorischen Standards, zum Schutz des eigenen Geschäfts und letztlich zu mehr Kundenvertrauen.“
 
Eine kleine Gruppe von CEOs (5 %) zeichnet sich bereits durch eine hohe Maturität in Hinblick auf Cyberresilienz aus. Diese Gruppe erfasst das Thema Cybersicherheit in all seinen Facetten und schätzt die Auswirkungen für ihr eigenes Unternehmen richtig ein. Unternehmen aus dieser Riege erkennen, begrenzen und beheben Cyberbedrohungen schneller als andere. Infolgedessen sind ihre Kosten deutlich niedriger und ihre finanzielle Leistungsfähigkeit deutlich besser als die anderer Unternehmen. Im Durchschnitt erzielen sie ein um 16 Prozent höheres Umsatzwachstum, 21 Prozent mehr Kostensenkungen und 19 Prozent solidere Bilanzen.
 
Auf der anderen Seite stehen die „Nachzügler“ in puncto Cybersicherheit. Sie machen fast die Hälfte (46 %) der befragten CEOs aus. Überwiegend setzen sie keine der Maßnahmen der cyberresilienten CEOs konsequent um und verharren primär im reaktiven Modus. Zu den besagten Maßnahmen zählen:

Verankerung von Cyberresilienz in der Unternehmensstrategie – von Anfang an. 

Sicherheitsaffine CEOs betrachten oftmals ihre Cybersicherheitsperformance genauso intensiv wie die Unternehmensbilanzen (60 % gegenüber 33 %).

Die Verantwortung für Cybersicherheit im gesamten Unternehmen wird geteilt.

Cyberresiliente CEOs teilen eher die Verantwortung mit der gesamten Führungsetage. Sie motivieren Führungskräfte dazu, sich für Cybersecurity als Wettbewerbsvorteil einzusetzen und Innovationen voranzutreiben (68 % gegenüber 37 %), und arbeiten außerdem eng mit ihren CISOs zusammen. Gemeinsam bewerten sie beispielsweise „neue“ Risiken durch generative KI,  managen und stellen sicher, dass diese Technologie sicher und effektiv eingesetzt wird (54 % gegenüber 33 %).

Den digitalen Kern des Unternehmens schützen. 

Cyberresiliente CEOs geben mehr als doppelt so häufig an, dass sie planen, ihr Budget für Cybersicherheit zu erhöhen – insbesondere im Hinblick auf die zunehmende Etablierung neuer Technologien (76 % gegenüber 35 %).

Ausweitung der Cyberresilienz über Unternehmensgrenzen und -silos hinweg.  

Cyberresiliente CEOs setzen mit einer um 40 Prozent höheren Wahrscheinlichkeit spezifische Richtlinien und Kontrollen für die Lieferkette und weitere Drittunternehmen ein und fördern sogar mit einer noch höheren Wahrscheinlichkeit einen unternehmensweiten Ansatz zur Risikobewertung, der sich über Geschäftsbereiche und Funktionen erstreckt (64 % gegenüber 41 %).

Der Zeit voraus sein: Cyberresilienz kontinuierlich ausbauen.

Cyberresiliente CEOs passen häufiger ihre Maßnahmen der sich verändernden Risikolandschaft an und adaptieren diese entsprechend der Prioritäten des Management  Dadurch schützen sie das Unternehmen , erkennen und reagieren effektiver auf Cyberattacken (60 % gegenüber 34 %). 

„Die sich ständig weiterentwickelnde Risikolandschaft schafft eine große Kluft zwischen dem wachsenden Bewusstsein der CEOs für die Auswirkungen von Cyberangriffen auf ihr Geschäft und dem mangelnden Vertrauen, darauf angemessen reagieren zu können“, so Schumacher. „Das sollte ein Weckruf für alle Führungskräfte sein. Um die Lücke in der Cyberresilienz zu schließen, muss Cybersecurity als unternehmensweite Priorität betrachtet werden. Das beinhaltet entsprechende Prozesse für das Reporting, die Einbeziehung von Mitarbeitenden auf allen Ebenen, einem insgesamt stärkeren Engagement und einem größeren Verantwortungsbewusstsein des Top-Managements und des Vorstands.“