Kaum Fortschritte bei der Cybersicherheit: Im Vergleich zum Jahr 2023 ist der Reifegrad der Cybersicherheit großer, international agierender Unternehmen um lediglich ein Prozent auf nun 53 Prozent gestiegen. Das ist das Ergebnis der Wavestone Cyber Benchmark 2024. In einer umfassenden Analyse hat Wavestone fast 200 Sicherheitsmaßnahmen von mehr als 150 Unternehmen unter die Lupe genommen. Die Ergebnisse verdeutlichen den langen Weg, der für alle Unternehmen und insbesondere für große Organisationen mit mehr als 1 Mrd. $ Umsatz noch zurückzulegen ist.

Die wichtigsten Erkenntnisse in Kürze:

Der Finanzsektor schneidet mit einem Reifegrad von 60 % am besten ab, wobei es deutliche Unterschiede im Reifegrad zwischen den großen Banken und Versicherern gibt.
Der Dienstleistungssektor bildet mit einem Reifegrad von 50 % das Schlusslicht.
Die Budgets für Cybersicherheit machen sektorübergreifend 6,6 % der IT-Budgets aus und liegen damit am unteren Ende der empfohlenen Spanne (zwischen 5 und 10 %).
Im Schnitt kommt auf rund 1.100 Mitarbeitende nur ein Experte/eine Expertin für Cybersicherheit. Immer mehr Unternehmen haben deshalb Initiativen zur Bindung von Talenten an das Unternehmen gestartet.
Zwei Bereiche haben in diesem Jahr besonders stark zugelegt: die Cloud-Sicherheit (+5 %), die von den Fortschritten bei der Sicherheit der Verwaltung dieser Plattformen profitiert, und die Datensicherheit (+4 %), die untrennbar mit den wachsenden Herausforderungen der künstlichen Intelligenz verbunden ist.
Vergleicht man große Unternehmen mit kleineren Organisationen mit weniger als 1 Mrd. $ Umsatz fällt auf: Die Mehrheit der Großunternehmen hat die Grundlagen im Griff. Im Gegensatz zu den kleineren Unternehmen, von denen 54 % immer noch dem Risiko von Ransomware-Angriffen ausgesetzt sind.

Plus von 1 %: Fortschritte gehen weiter, aber mit geringerem Tempo

Der allgemeine Reifegrad ist mit 53 % gestiegen, die Studie zeigt jedoch eine Heterogenität zwischen den einzelnen Sektoren. Der Finanzsektor schneidet mit einem Wert von 60 % am besten ab, wobei es jedoch deutliche Unterschiede im Reifegrad zwischen den großen Banken und Versicherern gibt, die im Durchschnitt einen geringeren Reifegrad aufweisen. Die Akteure der Luxusgüterbranche und des Einzelhandels folgen mit einem durchschnittlichen Reifegrad von 52,7 %, was in erster Linie auf den Einsatz umfangreicher Ressourcen der Luxusgüterbranche zurückzuführen ist. Es folgt der Industriesektor mit einem Reifegrad von 51,3 %, was zeigt, dass die Unternehmen sich bemühen, ihren Rückstand aufzuholen und die digitale Transformation voranzutreiben. Mit 50,9 % liegt der Energiesektor nur leicht über dem Durchschnitt. Der Dienstleistungssektor (50 %) bildet das Schlusslicht.

Auch die positiven Auswirkungen der Regulierung sind erkennbar: Unternehmen, die den Sicherheitsbestimmungen für kritische Infrastrukturen (NIS/LPM) unterliegen, zeichnen sich durch eine höhere Reife aus (57,5 % vs. 51,7 %).

Angesichts der häufigsten Angriffsrisiken (Ransomware) beherrschen große Unternehmen die Grundlagen, haben aber noch Optimierungspotenzial; kleinere Organisationen sind gefährdet.

Wavestone bewältigt mithilfe seines Incident-Response-Teams, dem CERT-Wavestone, zahlreiche Cyberangriffe im Auftrag seiner Kunden. Dabei wurden die wichtigsten Schwachstellen, die von Cyberkriminellen ausgenutzt werden, identifiziert und eine spezielle Reifegradanalyse durchgeführt. Aus dieser Analyse geht hervor, dass:

Mehr als die Hälfte (54 %) der kleinen und mittleren Unternehmen in unserem Panel werden als kritisch eingestuft, da sie nicht die notwendigen Grundlagen und Kenntnisse beherrschen, um sich gegen diese Art von Angriffen zu wehren. Dieses Phänomen betrifft hauptsächlich den Dienstleistungssektor, auch wenn einzelne Finanz- und Industrieunternehmen nicht immun gegen Angriffe sind.

Große Unternehmen (> 1 Mrd. € Umsatz) gehören aufgrund ihres Reifegrads von 56,9 % nicht zu den leichtesten Zielen für Cyberkriminelle.

Besondere Bedrohungslage im Kontext internationaler Großereignisse

In einem angespannten geopolitischen Umfeld sind Unternehmen mit Cyberspionage und Cyberangriffen durch eine Vielzahl böswilliger Akteure konfrontiert. Dazu gehören Cyberkriminelle, Hacktivisten und sogar Staaten. Gerade im Zusammenhang mit internationalen Großereignissen wie den Olympischen und Paralympischen Spielen in Frankreich müssen die Organisatoren und der Staat kritische Strukturen besonders schützen. Diese werden im Fokus der üblichen Attacken stehen, die darauf abzielen, das Image des Landes zu schädigen und Aufmerksamkeit rund um die Spiele zu erzeugen.

Die Chancen dafür stehen leider nicht schlecht: Nur 39 % der großen Unternehmen verfügen über Lösungen zum Schutz vor Denial-of-Service-Angriffen (Überlastung von Websites, die zu deren Ausfall führen) auf allen ihren Websites (27 % bei den kleinsten Unternehmen), und 47 % haben fortgeschrittene Lösungen zum Schutz ihrer im Internet veröffentlichten Anwendungen vor Defacement, d. h. der unkontrollierten Veränderung von Websites (27 % bei den kleinsten Unternehmen).

Trotz Fachkräftemangel wachsen die Cybersicherheitsabteilungen weiter und stoßen auf neue Probleme …

Die Personalbeschaffung im Bereich der Cybersicherheit stellt eine besondere Herausforderung dar. Nach Erhebungen des ISC2 aus dem Jahr 2023 sind weltweit 4 Millionen Stellen aus Mangel an Bewerber:innen nicht besetzt. Nur 25 % der Belegschaft in Cybersicherheitsabteilungen sind Frauen und die Mehrheit der Fachleute (92 %) gibt an, dass ihre Organisation mit Fachkräftemangel zu kämpfen hat. Um diesen Herausforderungen zu begegnen, setzen Unternehmen auf die individuelle Entwicklung durch Initiativen wie die Einführung eines Weiterbildungskatalogs, die Schaffung von neuen Karrierewegen im Cyber-Bereich oder interne Umschulungen.

Bezogen auf die Anzahl der Mitarbeitenden in den beurteilten Organisationen kommt auf rund 1100 Mitarbeitende etwa eine Person, die sich der Cybersicherheit widmet. Hinter diesem Durchschnittswert verbergen sich jedoch sehr individuelle Ergebnisse. Der Finanzsektor zum Beispiel hat begonnen, interessante Verhältnisse zu erreichen (1/267 oder besser in großen Organisationen). Dennoch ist dieses Verhältnis noch immer zu niedrig, um die aktuellen Herausforderungen zu bewältigen. Dies gilt erst recht für Sektoren wie die Industrie.

… während die Finanzinvestitionen von der Geschäftsleitung genauestens überwacht werden

Von den gesamten IT-Budgets der Unternehmen werden 6,6 % für Security ausgegeben. Diese Zahl mag auf den ersten Blick gering erscheinen, steigt aber im Falle eines Cyberangriffs deutlich an und erreicht fast 15 %.

Nach Sektoren betrachtet investiert der Finanzsektor am meisten (7,8 %). Dies ist vor dem Hintergrund der Einhaltung der DORA-Bestimmungen nachvollziehbar.

Mehr Informationen dazu finden Sie in der Studie: Cyber Benchmark 2024.

https://www.wavestone.com/de/insight/cyber-benchmark-2024-cyber-reifegrad-nimmt-trotz-neuer-herausforderungen-nur-langsam-zu/

2930 Artikel zu „Cybersicherheit „

NEWS | DIGITALISIERUNG | INDUSTRIE 4.0 | IT-SECURITY | STRATEGIEN

Was ist OT-Cybersicherheit und wie unterscheidet sie sich von IT-Cybersicherheit?

10. Juli 2024

Die fortschreitende Digitalisierung und Vernetzung verändern den Betrieb kritischer Infrastrukturen grundlegend. Herkömmliche Systeme werden zunehmend durch moderne Technologien erweitert, wodurch sie jedoch auch anfälliger für neuartige Cyberangriffe werden. Bisher haben sich Unternehmen auf die IT-Cybersicherheit verlassen, um ihre Daten und IT-Netzwerksysteme vor Cyberangriffen zu schützen. IT-Netzwerke werden in Bereichen wie Finanzen, Gesundheit und Bildung zur…