Nur ein wenig mehr als die Hälfte - genau 52 Prozent - der europäischen Unternehmen verfügen über eine umfassende Cyber-Sicherheitsstrategie. Das ist das Ergebnis der PwC-Studie 'Global State of Information Security 2018'. Insgesamt wurden sechs Felder zur Abwehrfähigkeit von Unternehmen untersucht. Europa landet in allen auf dem vierten Platz, stets hinter Nord- und Südamerika sowie Asien. Insgesamt wurden 9.500 Unternehmen untersucht, davon 2.416 in Europa.
Die Defizite liegen im Training von Mitarbeitern hinsichtlich Cyber-Gefahren und Datenschutz - das machen nur 47 Prozent der europäischen Unternehmen. Der gleiche prozentuale Anteil verfügt heute über eine präzise Übersicht persönlicher Daten in ihren Unternehmen. Nur 44 Prozent haben die Aussage getroffen, dass man das Sammeln, Archivieren und den Zugang zu Daten auf ein Minimum reduzieren würde sowie durch Dritte spezifisch definierte Compliance-Vorschriften umsetze. Und gerade einmal 42 Prozent lassen sich von Dritten auditieren.
Die Gründe für mangelnde Cyber-Security
Angesichts der Vielzahl an Attacken der letzten Jahre erstaunen diese geringen Anzahlen. Denn anders herum bedeutet das: In der Mehrheit der Fälle fehlt europäischen Unternehmen das notwendige Rüstzeug, um im Digitalzeitalter eine ausreichende Abwehrfähigkeit entwickeln zu können.
Doch was sind die Gründe? In meinem Beratungsalltag fallen mir da vor allem immer die folgenden Punkte auf:
Fehlen von subjektiver Betroffenheit
Viele Vorstände und Geschäftsführungen wissen um die Gefahr - ihnen ist bisher selbst jedoch noch nichts passiert. Zumindest vermuten sie das, weil Sabotage noch nicht offen zutage getreten ist. Ob sie längst von Dritten heimlich ausgespäht werden, das wissen die meisten heute nicht. Mit Cyber-Sicherheit verhält es sich heute psychologisch wie mit Versicherungen: Die organisatorisch aufwändigen und teils sehr kostspieligen Maßnahmen machen sich erst 'bezahlt', wenn es überhaupt zu einem Schaden kommt. Dabei wird jedoch nach wie vor übersehen, dass wenn der Schaden eintritt, dieser in einer Größe auftreten kann, die nur schwer beherrschbar ist und deutliche höhere Kosten als gute Prävention nach sich zieht.Fokussierung auf Wachstum
Aufgrund der guten Wirtschaftslage, insbesondere in Deutschland und den nördlicheren EU-Staaten, haben Vorstände und Geschäftsführungen in den vergangenen Jahren vor allem auf Wachstum und Business-Opportunitäten gesetzt. Nicht nur, dass einem Umsatzwachstum ein ausbleibendes Margen-Wachstum nicht gut gestanden hätte: Faktisch hat das Management ausgesprochen stark auf genau diesen Kernbereich fokussiert und dabei lästige Themen wie Cyber-Sicherheit vor allem den nachgeordneten Hierarchieebenen überlassen. Das führt dazu, dass viele Geschäftsführungen die wir heute treffen, zwar um die Relevanz des Themas wissen. Selbst aber noch nicht ausreichend eingearbeitet sind, um ein wirklich umfassendes Verständnis für das vielleicht größte Risiko des 21. Jahrhunderts zu besitzen.Cyber gilt als 'Nerdie
Digitale Transformation ist in den Chef-Etagen angekommen. Es gibt bereits Vorstände, die den ersten Chief Digital Officer aufweisen. Allen ist klar: Der Digitalisierung von Produkten, Geschäftsprozessen, Produktion und Organisation ist nicht zu entgehen. Die Unternehmen müssen digital ausgerichtet werden. Digital-Evangelisten ist es in den letzten fünf Jahren gelungen, das Image vom Hoodie-tragenden Nerd zu korrigieren und digital 'hip' zu machen - inklusive der Kleidungskultur. Anders sieht es bei Cyber-Spezialisten aus: Viele verbinden sie mit den gängigen Klischee-Bildern von Hackern, die im stillen Kämmerlein für die gute oder die böse Seite in die Cyber-Schlacht ziehen. Mit Begriffen wie Spear Fishing, DDOS und Penetration Tests tut sich mancher Top-Manager noch schwer, zu technisch ist ihm die Materie. Insgesamt haftet dem Hacker nach wie vor ein Mythos an, der eher für eine Business-Ferne als -Nähe sorgt.Fehlender Anbietermarkt in Europa
Die Weltzentren für Cyber-Sicherheit liegen überall - aber nicht in Europa. Kalifornien, Israel, Südchina, Russland, Iran, Korea: Aber ein europäisches Zentrum für Cyber-Sicherheit fehlt. Weit entwickelt haben sich heute die baltischen Staaten. Schaut man insbesondere in Deutschland auf den Anbietermarkt ergibt sich folgendes Bild: Der Markt ist zerklüftet zwischen Einzelberatern, internationalen Großanbietern und mittelständischen Anbietern, die teils exzellente Technologien besitzen, aber unbekannt sind. Wer sich zum ersten Mal mit dem Thema Cybersicherheit auseinandersetzt wird damit konfrontiert sein, dass er die Qualität von Beratung, Software und Betrieb kaum evaluieren kann. Es gibt kaum belastbare Standards und Marken. Gerade aber darum bedürfte es einer besonders hohen Zuwendung des Top-Managements.Cyber-Sicherheit kostet mehr als Geld
Unternehmen, die investieren, merken rasch, dass diese Investition nicht beim Geld endet. 'Security by Design' bedeutet intensives Verweben von Sicherheit in Prozessen und Kultur. Der Faktor Mensch ist nach wie vor die größte Schwachstelle auch bei Cyber-Angriffen. Die Implementierung einer Sicherheitsstrategie geht mit umfassenden Schulungsmaßnahmen der ganzen Belegschaft einher. All das bindet Zeit und viele (interne) Ressourcen. Und das in einer Zeit, in der am liebsten alle vor allem in Innovation investieren würden.
Ratschläge für CIOs - Alles beginnt mit der Sprache
In den meisten deutschen Unternehmen ist heute der CIO für die Cyber-Sicherheit verantwortlich, gegebenenfalls gibt es einen eigenen CISO (Chief Information Security Officer). Was können diese tun, um die oben dargelegten Probleme zu lösen und europäische Unternehmen sicherer zu machen?
Alles beginnt bei der Sprache. Spezialisten tendieren dazu, vor allem Risiko, Investition und technische Notwendigkeiten in der Kommunikation nach vorn zu stellen. Anstatt von Wettbewerbsvorteilen, Wertsteigerung und Vertrauensaufbau zu sprechen - also positiven Attributen, die mit Cyber-Sicherheit einher gehen. Denn gerade Vertrauen in Produkte und Dienstleistungen ist eine Zukunftswährung, die schon heute nicht genug betont werden kann. Die mit abnehmendem Verständnis von Produktdetails aber künftig noch viel wichtiger wird. Unternehmen, die das Thema Cyber-Sicherheit ernst nehmen, schließen darum nicht (nur) eine Quasi-Lebensversicherung ab. Sie investieren vor allem in den langfristigen Wert ihres Unternehmens.
Gleichzeitig gilt es, das Management nicht mit Fachvokabular zu überfrachten. Jeder Cyber-Spezialist schafft es binnen fünf Minuten, seine bisher fachfremden Zuhörer inhaltlich komplett abzuhängen, wenn er nur in Fachtermini spricht. Management aber spricht nicht Cyber, sondern Business. Es gilt in Business zu übersetzen, um auf Chancen genauso wie auf Dringlichkeiten hinzuweisen. Und damit ein echter Sparring-Partner für das Management zu werden, mit dem es einen Ansprechpartner für dieses komplexe Thema findet.
IT-Sicherheit früh bei Projekten implementieren
Zuletzt rate ich, bei Transformationsprojekten von heute das Thema Cyber-Sicherheit direkt zu implementieren. Nichts andere bedeutet 'Security by Design': Schon im Vorfeld zu überlegen, zu welchen Sicherheitsrisiken es kommen kann und wie diese minimiert werden können. Wichtige Ansprechpartner für CIOs und CISOs sind darum die Chef-Transformierer in ihren Unternehmen. Je häufiger Security als ganz normaler Geschäftsprozess mitgedacht wird, desto eher setzt es sich auch in der Wahrnehmung des Managements fest.