Laut der Global Information Security Survey (GISS) 2018-19 (PDF) von Ernst & Young machen mehr als die Hälfte der Unternehmen Cybersicherheit nicht zu einem integralen Bestandteil ihrer Strategie und Geschäftspläne. Die Wirtschaftsprüfungsgesellschaft befragte weltweit rund 1.400 Führungskräfte der C-Suite. Erstaunlicherweise schneiden größere Unternehmen in diesem Punkt sogar schlechter ab als kleinere (58 Prozent gegenüber 54 Prozent).

Ganzen 77 Prozent der Unternehmen fehlt es an Cybersicherheit und Widerstandskraft, so das Fazit der Untersuchung. Viele Unternehmen hätten kein klares Bild davon, was und wo ihre wichtigsten Informationen und Vermögenswerte sind. Ferner mangele es an den Fähigkeiten, diese effektiv zu schützen.

Die gute Nachricht ist, dass die Budgets für Cybersicherheit steigen, um dem Thema mehr Stellenwert einzuräumen. Größere Unternehmen werden tendenziell eher in diesem Jahr (63 Prozent) und im nächsten (67 Prozent) die Budgets erhöhen als kleinere Unternehmen (50 und 66 Prozent).

Systemausfälle gewinnen an Aufmerksamkeit

Sei es durch die Konvergenz von Operational Technology (OT) und IP-basierten IT-Netzwerken oder den zunehmenden Einsatz von Cloud Computing im Zuge der digitalen Transformation, für Systemausfälle ist heutzutage kein Platz. Cyberangriffe, die das operative Geschäft unterbrechen, werden heute als die drittgrößte Bedrohung eingestuft, direkt nach Phishing (Platz 1) und Malware (Platz 2). Dies ist nicht verwunderlich, da beispielsweise Distributed-Denial-of-Service (DDoS)-Angriffe zu Betriebsunterbrechungen führen können, die das Unternehmen zum Stillstand bringen. Ausfälle waren schon immer schmerzhaft, aber mit der Migration von Workloads und Anwendungen in die Cloud kommt der Geschäftsbetrieb praktisch zum Erliegen, wenn die Datenleitung zum Flaschenhals wird und kollabiert.

"Immer mehr Unternehmen beginnen, die Vielfalt in der Bedrohung[slandschaft] zu erkennen", sagt Richard Watson, Leiter Cybersicherheit bei EY Asia-Pacific. "Ein Aspekt, der sich in den letzten zwölf Monaten zum Besseren gewendet hat - zum Teil wegen großer Cyber-Angriffe, die wir auf globaler Ebene erlebt haben - ist die wachsende Erkenntnis, dass es bei der Sicherheit auch darum geht, die Kontinuität des Geschäftsbetriebs zu wahren - und nicht nur um die Sicherheit von Daten und Datenschutz."

Es hapert bei der Prävention

Leider räumen viele Unternehmen ein, auf Zeit zu spielen. Ohne einen konkrete Sicherheitspanne, die negative Auswirkungen hat, neigen 63 Prozent dazu, ihre Ausgaben nicht erhöhen zu wollen. Viele Unternehmen sind sich zudem unsicher, ob sie Angriffe und Vorfälle denn überhaupt erfolgreich identifizieren können. Mitunter wähnen sie sich in einer trügerischen Sicherheit und sind sich der Folgen überhaupt nicht bewusst.

Wie in der EY-Studie erwähnt, quantifiziert das Ponemon Insitute die durchschnittlichen Kosten eines Sicherheitsverstoßes mit 3,62 Millionen Dollar pro Vorfall. Zugleich sind mittel- bis langfristige Reputationsschäden aufgrund eines Vertrauensverlustes nur schwer ermittelbar und können den vorgenannten Betrag schnell übertreffen. Ebenso blieben etwaige DSGVO-Bußgelder in der Ermittlung dieses Betrages noch völlig unberücksichtigt.

Unternehmen sollten daher der Prävention mehr Stellenwert einzuräumen, statt hinterher Besserung zu geloben, nachdem Schäden entstanden sind.