Cyberbedrohungen: Vorstände zu optimistisch

Das Thema Cybersicherheit ist auf der Vorstandsebene angekommen, allerdings gibt es immer noch viele falsche Vorstellungen. Proofpoint, Inc. und Cybersecurity at MIT Sloan (CAMS), ein interdisziplinäres Forschungskonsortium, haben ihre Studie „Cybersecurity: The 2022 Board Perspective“ veröffentlicht. Der Report erfasst, was die Führungsriege in Unternehmen als die größten Herausforderungen und Risiken für ihr Unternehmen wahrnimmt.

Das Thema Cybersicherheit steht ganz oben auf der Tagesordnung der Unternehmensleitung. 77 Prozent der Teilnehmer bestätigen, dass Cybersicherheit im Management ihres Unternehmens oberste Priorität hat. 76 Prozent diskutieren das Thema mindestens einmal im Monat. 75 Prozent der Teilnehmer sind der Meinung, dass sie die systemischen Risiken, mit denen ihre Unternehmen konfrontiert sind, genau verstehen, und 76 Prozent versichern, dass sie angemessene Investitionen in die Cybersicherheit getätigt haben.

Dieser Optimismus scheint in vielen Fällen unangemessen bzw. auf Fehleinschätzungen zu basieren. So gehen fast zwei Drittel (65 %) der Teilnehmer davon aus, dass ihre Organisation in den nächsten 12 Monaten dem Risiko eines schwerwiegenden Cyberangriffs ausgesetzt ist. Fast die Hälfte (47 %) ist der Meinung, dass ihre Organisation nicht auf einen gezielten Angriff vorbereitet ist.

Und nur zwei Drittel der Führungsriege halten menschliches Versagen für die größte Schwachstelle der Cybersicherheit, obwohl das Weltwirtschaftsforum festgestellt hat, dass dieser Faktor zu 95 Prozent aller Cybersicherheitsvorfälle führt. In der Bewertung des Risikos, das von menschlichem Versagen ausgeht, schneiden deutsche Führungskräfte am besten ab. 80 Prozent von ihnen beurteilen diesen Faktor als ihre größte Cyberschwachstelle. Das ist der höchste Wert in allen untersuchten Ländern.

Der Bericht untersucht drei zentrale Bereiche: die Cyber-Bedrohungen und -Risiken, mit denen das Management konfrontiert ist, den Grad seiner Vorbereitung auf die Bekämpfung dieser Bedrohungen und seine Übereinstimmung mit den CISOs (Chief Information Security Officers), verglichen mit deren Einschätzungen, die Proofpoint in seinem Bericht „Voice of the CISO 2022“ analysiert hat. Es besteht eine erhebliche Diskrepanz zwischen den beiden Perspektiven, wenn es um die Einschätzung von Cyberrisiken, Konsequenzen und Bedrohungen geht.

„Es ist ermutigend festzustellen, dass das Thema Cybersicherheit endlich ein Schwerpunkt der Gespräche in den Vorstandsetagen ist. Unser Bericht zeigt jedoch, dass die Führungsriege noch einen weiten Weg vor sich hat, wenn es darum geht, die Bedrohungslandschaft zu verstehen und ihre Organisationen auf Cyberangriffe vorzubereiten“, kommentiert Lucia Milică, Vice President und Global Resident CISO bei Proofpoint. „Eine der Möglichkeiten, wie das Management seine Vorbereitung verbessern kann, besteht darin, sich mit seinen CISOs ins Einvernehmen zu setzen. Die Beziehung zwischen Unternehmensleitung und CISOs ist entscheidend für den Schutz von Menschen und Daten, und beide Seiten müssen sich um eine effektivere Kommunikation und Zusammenarbeit bemühen, um den Erfolg des Unternehmens sicherzustellen.“

Die Cybersecurity-Studie von Proofpoint und CAMS beleuchtet globale Trends sowie branchen- und regionsspezifische Unterschiede zwischen den Führungskräften von Unternehmen. Zu den wichtigsten Ergebnissen gehören:

• Bei der Bewertung des Risikos, das von Cyberkriminellen ausgeht, besteht eine Diskrepanz zwischen der Führungsebene und den CISOs: 65 Prozent der Führungsriege sind der Meinung, dass ihr Unternehmen in den nächsten 12 Monaten dem Risiko eines schwerwiegenden Cyberangriffs ausgesetzt ist, verglichen mit 48 Prozent der CISOs. In Deutschland gehen sogar 70 Prozent des Managements davon aus, dass sein Unternehmen in den nächsten 12 Monaten dem Risiko eines signifikanten Cyberangriffs ausgesetzt ist, verglichen mit 40 Prozent der deutschen CISOs.
• Trotz gestiegenem Gefahrenbewusstsein und entsprechender Budgets sind Organisationen unzureichend vorbereitet: 75 Prozent der Befragten weltweit sind der Meinung sind, dass sie die systemischen Risiken ihres Unternehmens kennen, 76 Prozent glauben, dass sie angemessen in die Cybersicherheit investiert haben, 75 Prozent gehen davon aus, dass ihre Daten angemessen geschützt sind, und 76 Prozent diskutieren mindestens einmal im Monat über Cybersicherheit. Und doch scheinen diese Bemühungen unzureichend: 47 Prozent der Befragten sind nämlich der Ansicht, dass ihr Unternehmen nicht darauf vorbereitet ist, in den nächsten 12 Monaten einen Cyberangriff zu bewältigen. In Deutschland sind dies sogar 50 Prozent.
• Im Gegensatz zu ihren Kollegen weltweit schätzt die Führungsriege deutscher Organisationen die schwerwiegendsten Folgen eines erfolgreichen Cyberangriffs ähnlich ein wie ihre CISOs: Die Veröffentlichung interner Daten steht ganz oben auf der Liste der Bedenken im Management von Organisationen weltweit (37 %), dicht gefolgt von Rufschädigung (34 %) und Umsatzverlust (33 %). Diese Bedenken stehen in scharfem Kontrast zu denen der CISOs, die sich mehr Sorgen über erhebliche Ausfallzeiten, Betriebsunterbrechungen und Auswirkungen auf die Unternehmensbewertung machen. In Deutschland hingegen sind sich Management und CISOs einiger: Für beide stehen erhebliche Ausfallzeiten ganz oben auf der Liste der Bedenken.
• Die Beziehung zwischen Vorständen und CISOs ist verbesserungsbedürftig: Es gibt eine große Diskrepanz zwischen den Perspektiven von Führungskräften und CISOs weltweit: Während 69 Prozent der Führungskräfte sagen, dass sie mit ihrem CISO auf Augenhöhe kommunizieren, sind nur 51 Prozent der CISOs der gleichen Meinung. In Deutschland ist diese Diskrepanz noch ausgeprägter: 89 Prozent der Führungskräfte sehen sich mit ihrem CISO auf Augenhöhe (der höchste Wert unter allen untersuchten Ländern), jedoch sind nur 48 Prozent der CISOs in Deutschland derselben Meinung.
• Zwischen Führungsriege und CISOs besteht weitgehende Einigkeit über verschiedene Arten von Bedrohungen: Weltweit nannten Mitglieder des Managements E-Mail-Betrug/Business-E-Mail-Compromise (BEC) als ihre größte Sorge (41 %), gefolgt von der Kompromittierung von Cloud-Konten (37 %) und Ransomware (32 %). Während E-Mail-Betrug/BEC und die Kompromittierung von Cloud-Konten auch CISOs Sorgen bereiten, sehen sie im Gegensatz zur Führungsebene Insider als die größte Bedrohung an. Führungskräfte in Deutschland nannten die Kompromittierung von Cloud-Konten als ihre größte Sorge (50 %), gefolgt von Distributed Denial of Service (DDoS, 44 %) und Ransomware (40 %). Auch die deutschen CISOs stuften diese Bedrohungen als ihre drei größten Sorgen ein.
• Führungskräfte freunden sich zunehmend mit Vorgaben der Aufsichtsbehörden an: 80 Prozent der Befragten weltweit sind der Meinung, dass Unternehmen verpflichtet sein sollten, einen schwerwiegenden Cyberangriff innerhalb eines angemessenen Zeitrahmens an die Aufsichtsbehörden zu melden, und nur 6 Prozent sind anderer Meinung. In Deutschland beurteilen 78 Prozent eine solche Berichtspflicht positiv, und keiner der Befragten sprach sich dagegen aus.

„Führungskräfte spielen eine Schlüsselrolle für die Cyber-Sicherheitskultur und die Cyber-Sicherheitslage ihrer Organisationen. Sie tragen die treuhänderische und aufsichtsrechtliche Verantwortung für ihre Organisationen. Daher müssen sie die Cybersecurity-Bedrohungen, denen ihre Organisationen ausgesetzt sind, ebenso verstehen wie die Strategie, die ihre Organisationen verfolgen, um cyberresilient zu werden“, erläutert Dr. Keri Pearlson, Executive Director bei Cybersecurity at MIT Sloan (CAMS). „Eine bessere Abstimmung der Cybersecurity-Prioritäten von CISOs und Führungskräften wird wesentlich dazu beitragen, den Schutz und die Widerstandsfähigkeit ihrer Organisationen zu verbessern.“