Die Umfrage unter mehr als 1.400 Entscheidungsträgern für Cybersicherheit und Risikomanagement in einigen der weltweit größten und angesehensten Unternehmen mit einem Umsatz von weniger als USD 10 Mio. bis über USD 10 Mrd. untersucht einige der dringendsten Anliegen im Hinblick auf Cybersicherheit sowie die Bemühungen der Unternehmen, diese zu beherrschen.

Aus der Umfrage geht hervor, dass 87% der Unternehmen nur ein begrenztes Budget einsetzen, um das erforderliche Maß an Cybersicherheit und Cyberresilienz zu gewährleisten. Für 55% der Unternehmen ist der Schutz des Unternehmens nicht integraler Bestandteil ihrer allgemeinen Geschäftsstrategie und ihrer planmässigen Umsetzung. Erstaunlicherweise scheitern größere Unternehmen in diesem Punkt eher als 

kleinere Unternehmen (58% gegenüber 54%). Allerdings steigen die Etats für Cybersicherheit, wobei größere Unternehmen in diesem Jahr (63%) und im nächsten Jahr (67%) höhere Budgets haben als kleinere Unternehmen (50% bzw. 66%).

Die Mehrheit der Unternehmen (77%) versucht nunmehr, über die grundlegenden Cybersicherheitsmaßnahmen hinauszugehen und ihre Möglichkeiten mit fortschrittlichen Technologien wie z.B. künstlicher Intelligenz, robotergesteuerter Prozessautomatisierung und Analytik besser aufeinander abzustimmen. Diese Unternehmen arbeiten weiterhin an ihren grundlegenden Cybersicherheitsmaßnahmen, überdenken allerdings auch ihren Cybersicherheitsrahmen und ihre Cybersicherheitsarchitektur, um das Unternehmen wirksamer und effizienter zu unterstützen. Die Umfrage ergab jedoch, dass 8% der Befragten der Ansicht sind, dass ihre Funktion der Informationssicherheit ihren Bedürfnissen derzeit voll entspricht, wobei 78% und 65% der größeren bzw. kleineren Unternehmen angaben, dass ihre Funktion der Informationssicherheit zumindest teilweise ihren Bedürfnissen entspricht.

Alle befragten Unternehmen durchlaufen digitale Transformationsprojekte und erhöhen ihre Ausgaben für neue Technologien. Die Studie macht deutlich, dass Cloud Computing (52%), Cybersicherheitsanalysen (38%) und Mobile Computing (33%) in diesem Jahr die höchste Priorität für Investitionen in neue Technologien zur Cybersicherheit einnehmen.

Paul van Kessel, EY Global Advisory Cybersecurity Leader, sagt:

„Unternehmen investieren heute zunehmend in neue Technologien als Teil ihrer digitalen Transformationsprogramme. Obwohl Unternehmen zahlreiche neue Möglichkeiten geschaffen haben, entstehen auch neue Schwachstellen und Bedrohungen. Unternehmen sollten sich bewusst sein, dass es für den Erfolg ihrer Transformationsprogramme entscheidend ist, eine Vertrauensbasis mit den Mandanten aufzubauen. Dafür muss Cybersicherheit in die DNA des Unternehmens eingebettet und von Beginn an zu einem integralen Bestandteil der Geschäftsstrategie werden.“

Unachtsame/Unwissende Mitarbeiter stellen die größte Gefahrenquelle dar; die meisten Unternehmen identifizieren möglicherweise nicht alle Verstöße und Vorfälle

Unternehmen räumen ein, dass sie ihre Cybersicherheitspraktiken wahrscheinlich weder verstärken noch mehr Geld ausgeben, es sei denn, sie würden sich mit irgendeinem Verstoß oder Vorfall konfrontiert sehen, der sehr negative Auswirkungen hatte. Die Umfrage ergab, dass die riskantesten Schwachstellen unachtsame/unwissende Mitarbeiter (34%), veraltete Sicherheitskontrollen (26%), unbefugter Zugriff (13%) und die Nutzung von Cloud-Computing (10%) sind. Nur 8% geben an, dass ihre Sicherheitsfunktionen ihren 

Bedürfnissen voll entsprechen. Für 38% der Befragten ist es unwahrscheinlich, einen ausgeklügelten Verstoß zu erkennen und weniger als 10% der Befragten sind der Auffassung, dass sie über ausgereifte Sicherheitssysteme verfügen. Viele Unternehmen (82%) sind sich jedoch nicht sicher, ob sie Verstöße und Vorfälle erfolgreich identifizieren können. Unter den Unternehmen, die im vergangenen Jahr von einem Vorfall betroffen waren, sagen weniger als ein Drittel (31%), dass die Gefährdung von ihrer Sicherheitszentrale erkannt wurde.

Cybersicherheit hat keinen umfassenden Einfluss auf die strategischen Pläne von Unternehmen, der Verantwortliche ist kein Vorstandsmitglied

Unternehmen sind heute davon überzeugt, dass die Überwachung von Cyberrisiken und der Aufbau von Cybersicherheit von Anfang an unerlässlich für den Erfolg im digitalen Zeitalter sind. Laut der Umfrage geben nur 18% der Unternehmen an, dass die Informationssicherheit die Unternehmensstrategie in vollem Umfang beeinflusst, während 60% der Unternehmen angeben, dass die für die Informationssicherheit verantwortliche Person kein Vorstandsmitglied ist. Allerdings geben 70% aller Unternehmen (73% bzw. 68% der größeren und kleineren Unternehmen) an, dass ihre Führungskräfte ein umfassendes Verständnis von Sicherheit haben oder positive Schritte unternehmen, ihr Verständnis dafür zu verbessern.

Thomas Koch, Cybersecurity Leader bei EY Luxemburg, sagt: „Cybersicherheit erhält zunehmend die Aufmerksamkeit, die sie verdient, da Cyberrisiken in zunehmendem Maße zu einem integralen Bestandteil der strategischen Entscheidungen von Unternehmen werden. Ein auf konzeptionsintegrierter Sicherheit (Security-by-Design) und erprobtem Cyber-Krisenmanagement basierender Ansatz bestimmt die Fähigkeit eines Unternehmens, einem Cyberangriff standzuhalten und angemessen darauf zu reagieren. Diese Cyberresilienz wird ein wichtiger Faktor für die Nutzung neuer Technologien und neuer Möglichkeiten sein.“

Weitere Informationen sowie die Möglichkeit zum Download des Berichts finden Sie unter ey.com/giss