Europäische Unternehmen sind schlecht auf Cyber-Angriffe vorbereitet
Bei Investitionen in Cybersicherheit tun sich viele Unternehmen, gerade auch in Deutschland, noch schwer. Bild: Lancom
Nur die Hälfte (52 Prozent) der europäischen Unternehmen verfügen über eine umfassende Cyber-Sicherheitsstrategie. Im Vergleich liegen sie damit auf dem vorletzten Platz: Hinter Asien, Nord- und Südamerika und vor dem Nahen Osten. Die aktuelle PwC-Studie „The Global State of Information Security 2018“ untersucht sechs Felder zur Abwehrfähigkeit von Unternehmen. Europa landet in allen auf dem vierten Platz. Insgesamt wurden mehr als 9.500 Unternehmen analysiert, davon 2.416 in Europa.
„Das Delta von Europa zum Bestplatzierten liegt pro Kategorie unter zehn Prozentpunkten“, kommentiert Jörg Asma, Senior Partner und Cyber Security Leader Europe bei PwC. „Und es ist festzustellen, dass die Studienergebnisse insgesamt nicht zufrieden stellen können. Denn in den meisten Bereichen haben 40 bis mehr als 50 Prozent der Unternehmen pro Region keine ausreichenden Maßnahmen ergriffen“. Hinsichtlich der ständig zunehmenden Gefahr von Cyber-Angriffen stelle das ein hohes Risiko für die Wettbewerbsfähigkeit der einzelnen Unternehmen und je nach Relevanz dieser auch für die jeweiligen Volkswirtschaften dar. Insgesamt bleibe aber zu konstatieren: Europa gelinge es nicht, in einem der sechs untersuchten Bereiche besser abzuschneiden als Asien und Amerika.
Und so haben 53 Prozent der 2.416 europäischen Unternehmen angegeben, dass sie ihre Mitarbeiter noch nicht intensiv hinsichtlich Datenschutz und Cybersicherheit trainieren würden (vgl. Asien: 43 Prozent; vgl. Nordamerika: 42 Prozent). Die gleiche Anzahl verfügt über keine präzise Übersicht persönlicher Daten in ihren Unternehmen (A: 45 Prozent, NA: 47 Prozent). Nur 44 Prozent haben die Aussage getroffen, dass man das Sammeln, Archivieren und den Zugang zu Daten auf ein Minimum reduzieren würde (A & NA: beide 53 Prozent). 42 Prozent lassen sich von Dritten auditieren (A: 49 Prozent, NA: 47 Prozent) und 44 Prozent setzen durch Dritte spezifisch definierte Compliance-Vorschriften um (A & NA: beide 47 Prozent). Einzig der Nahe Osten belegt immer mit Abstand den letzten Platz. Dort verfügen nur 31 Prozent der Unternehmen über eine Sicherheitsstrategie und nur 19 Prozent limitieren das Datensammeln. „Allerdings gibt es keine Region der Welt, die nach eigener Angabe so umfangreich in das Thema Cybersicherheit investiert wie der Nahe Osten“, erklärt Jörg Asma.
Keine Regeln in der Welt
Bei einer Befragung von rund 1.300 CEOs in der ersten Jahreshälfte 2018 (PwC 21st Global CEO Survey) haben fast zwei Drittel (62 Prozent) der Firmenlenker im Nahen Osten angegeben, umfassend in Cybersicherheit zu investieren, um Vertrauen bei Kunden aufzubauen. In den USA hat dies jeder zweite CEO (52 Prozent) angegeben, in Westeuropa 47 Prozent und in den zentralen und osteuropäischen Ländern 43 Prozent.
„Bei Investitionen in Cybersicherheit tun sich viele Unternehmen, gerade auch in Deutschland, noch schwer“, resümiert Jörg Asma, Senior Partner und Cyber Security Leader Europe bei PwC. „Dafür sehen wir vor allem immer wieder drei Gründe. Der erste Grund ist das Fehlen von subjektiv empfundener Notwendigkeit. Viele Cyber-Programme werden erst aufgelegt, wenn das erste Mal etwas schiefgeht“. Da gebe es nach wie vor keinen ausreichenden Präventiv-Gedanken. Der zweite Grund: Unternehmen, die investierten, merkten rasch, dass diese Investition nicht beim Geld endete. „Security by Design“ bedeute intensives Verweben von Sicherheit in Prozessen und Kultur. Das fordere Unternehmen nach wie vor viele Ressourcen ab. Und das in einer Zeit, in der sie am liebsten alles in Innovation investieren würden. Der Anbietermarkt für Cyber-Sicherheit in Deutschland und Europa sei zerklüftet zwischen Einzelberatern, internationalen Großanbietern und mittelständischen Anbietern, die teils exzellente Technologien besäßen, aber unbekannt seien. Wer sich zum ersten Mal mit dem Thema Cybersicherheit auseinandersetze werde damit konfrontiert sein, dass er die Qualität von Beratung, Software und Betrieb kaum evaluieren könne. Darum bedürfe es einer besonders hohen Zuwendung des Top-Managements. Denn es gebe kaum belastbare Standards und Marken.
Cyber-Bedrohungen vorn auf der CEO-Agenda der weltweit größten Risiken
Das Risikopotenzial der Cyber-Bedrohung ist allerdings so weit vorne auf der Agenda der CEOs wie noch nie. Im diesjährigen Global CEO Survey ist es von Platz zehn auf Platz drei gestiegen, gemeinsam mit geopolitischen Risiken. Nur Überregulierung und Terrorismus machen den CEOs weltweit mehr Sorgen.