ESI ThoughtLab veröffentlicht Analyse und Richtwerte von 1.300 Unternehmen
Der umfangreiche Bericht zur Cybersicherheit wurde von der führenden Forschungsfirma ESI ThoughtLab zusammen mit einer Anzahl von branchenübergreifenden Unternehmen durchgeführt. Unter den Sponsoren sind Baker McKenzie, CyberCube, HP Inc., KnowBe4, Opus, Protiviti, Security Industry Association, Willis Towers Watson und WSJ Pro Cybersecurity. Die Studie zeigt, dass die digitale Transformation Unternehmen größeren und weitaus kostspieligeren Cyberrisiken aussetzt. In Übereinstimmung mit einer globalen Vergleichsstudie mit 1.300 befragten Unternehmen lässt sich feststellen, dass die Unternehmen, deren Cybersicherheitspraxis nicht mit ihren Projekten der digitalen Transformation mithalten kann, eher Gefahr laufen durch eine Cyberattacke einen Schaden in Höhe von 1 Million US-Dollar zu erleiden.
Die Studie zeigt, dass Cyberrisiken dramatisch steigen, wenn Unternehmen neue Technologien und offene Plattformen einführen oder Ökosysteme von Partnern und Lieferanten nutzen. Während Unternehmen heute die größten Auswirkungen von Malware (81%), Phishing (64%) und Ransomware (63%) melden, erwarten sie in zwei Jahren ein massives Wachstum bei Angriffen über Partner, Kunden und Anbieter (247% Wachstum); Lieferketten (+146%); Denial of Service (+144%); Apps (+85%); und Embedded Systems (84%).
Die befragten Unternehmen sehen hohe Risiken durch externe Bedrohungsakteure wie versierte Hacker (von 59% der Unternehmen genannt), Cyberkriminelle (57%) und Social Engineers (44%), aber die größte Bedrohung liegt bei ungeschulten Mitarbeitern (87%). Weitere 57 Prozent der Unternehmen sehen den Datenaustausch mit Partnern und Anbietern als ihre größte IT-Schwachstelle. Dennoch haben nur 17 Prozent der Unternehmen signifikante Fortschritte bei der Schulung von Mitarbeitern und Partnern im Bereich Cybersicherheit gemacht.
„Unternehmen müssen sicherstellen, dass ihre Cybersicherheitsprogramme mit ihren Bemühungen zur digitalen Transformation Schritt halten“, sagt Lou Celi, CEO von ESI ThoughtLab und Leiter der Studie. „Cybersicherheit sollte kein sekundärer Gedanke sein. Sie muss in das Gefüge der Wachstumsstrategie eines Unternehmens integriert werden.“
Um das Wettrüsten mit den Hackern zu gewinnen, müssen Unternehmen ihre Investitionen in die Cybersicherheit verstärken
Um den steigenden Cyberrisiken zu begegnen, erhöhen die befragten Unternehmen ihre Investitionen in die Cybersicherheit in diesem Jahr um 7 Prozent und im nächsten Jahr um 14 Prozent. Der größte Anstieg wird von „Plattformunternehmen“ ausgehen, die ihre Ausgaben in diesem Jahr um 59 Prozent und im nächsten Jahr um 64 Prozent erhöhen. Im Durchschnitt werden Unternehmen mit einem Umsatz zwischen 250 Mio. – 1 Mrd. US-Dollar im nächsten Jahr 2,9 Mio. US-Dollar, 1 Mrd. – 5 Mrd. US-Dollar (5,7 Mio. US-Dollar), 5 Mrd. – 20 Mrd. US-Dollar (10,7 Mio. US-Dollar) und 20 Mrd. US-Dollar und mehr (16,8 Mio. US-Dollar) ausgeben.
Im nächsten Jahr planen diese Unternehmen, 39,3 Prozent ihrer Cybersicherheitsbudgets für Technologie, 30,7 Prozent für Prozesse und 30 Prozent für Mitarbeiter bereitzustellen. Unternehmen nutzen heute eine Vielzahl von Technologien zur Verbesserung der Cybersicherheit, wie Multifaktor-Authentifizierung (90%), Blockchain (68%), IoT (62%) und KI (44%). In den nächsten zwei Jahren wollen sie den Einsatz von Verhaltensanalyse (+1735%), Smart Grid-Technologien (+831%), Deception Technology (+684%) und Hardware-Sicherheit sowie -Resilienz (+114%) deutlich ausbauen.
Cybersicherheit entwickelt sich noch immer
ESI ThoughtLab teilt Unternehmen in die Rollen der Unternehmen, die als Cybersicherheits-Anfänger, -Fortgeschrittene und -Leader eingestuft werden, basierend auf ihren Antworten auf eine Reihe von Detailfragen zu ihren Fortschritten in einer Reihe von Cybersicherheitsdimensionen. Die Ergebnisse zeigen, dass Unternehmen in Bezug auf die Cybersicherheit noch einen langen Weg vor sich haben: nur 20 Prozent der Unternehmen gelten als führend, während 31 Prozent der Unternehmen ganz am Anfang stehen und 49 Prozent der Unternehmen befinden sich in der fortgeschrittenen Zwischenphase in ihrer Cybersicherheitsreife.
Interessanterweise sind Technologieunternehmen die, die bezüglich der IT-Sicherheit am weitesten zurückliegen, „Plattformunternehmen“ liegen dagegen am weitesten vorn. Finanzunternehmen und Versicherungsfirmen tendieren ebenfalls dazu, ein Stück weiter oben auf der Reifekurve zu sein, als andere durchschnittliche Unternehmen.
Laut der Studie haben Unternehmen bei der Risikoprävention mehr Fortschritte gemacht als bei der Resilienz. Im nächsten Jahr werden die Unternehmen weiterhin den größten Teil ihrer Investitionen in den Schutz investieren (26,5%), aber sie werden es auch tun, um eine bessere Reaktion zu zeigen (19,2%) und die Wiederherstellung zu gewährleisten, bzw. Kontrolle über die Systeme zu erlangen (18,1%), um ihre Widerstandsfähigkeit gegen die ausgefeilteren Angriffe zu erhöhen.
Die Reife der Cybersicherheit variiert auch von Land zu Land: Unternehmen, die in der Studie mit den höchsten Reifegrad beweisen, haben ihren Sitz in den USA (107,2), Südkorea (104,7), Japan (102,6), Frankreich (101,9) und Australien (101,3). Die am schlechtesten bewerteten Unternehmen hatten ihren Sitz in den Schwellenländern, darunter Brasilien (88,6), Argentinien (93,6) und Indien (93,7), obwohl auch Unternehmen in Deutschland (97,3) und der Schweiz (96,3) relativ niedrig bewertet wurden.
Die Rendite der Cybersicherheitsreife
Die Studie zeigt, dass mit zunehmender Reife der Cybersicherheitssysteme von Unternehmen die Wahrscheinlichkeit kostspieliger Cyberangriffe aus dem Internet sinkt. Unternehmen, die eher als Cybersicherheitsanfänger eingestuft werden, haben eine Wahrscheinlichkeit von 21,1 Prozent, dass sie Opfer von Cyberangriffen mit einem Schaden von über 1 Million US-Dollar werden. Das gleiche gilt für 16,1 Prozent der Unternehmen, die sich in der Zwischenphase befinden und für 15,6 Prozent für in Sachen Cybersicherheit eher führende Unternehmen. Die Folgekosten von erfolgreichen Cyberangriffe sinken darüber hinaus, weil sich die Cybersicherheit mit der Zeit verbessert: Die Kosten für Unternehmen, die eher als Cybersicherheitsanfänger eingestuft werden, betragen 0,039 Prozent des Umsatzes (3,9 Mio. US-Dollar für ein 10 Mrd. US-Dollar-Unternehmen) gegenüber 0,012 Prozent des Umsatzes der Kosten für führende Unternehmen (1,2 Mio. US-Dollar für ein 10 Mrd. US-Dollar-Unternehmen). Allerdings sind diese Kosten – und die Anzahl der erfolgreichen Angriffe – für Anfänger-Unternehmen aufgrund ihrer unzureichenden Erkennungssysteme schwieriger zu messen. Trotz besserer Überwachungsmethoden und -kennzahlen kennen die meisten Unternehmen den ROI ihrer Cybersicherheitsinvestitionen noch nicht. Ein Stolperstein ist, dass Unternehmen oft keine indirekten Kosten messen, z. B. Produktivitätsverlust, Reputationsschäden und Opportunitätskosten, die das Ergebnis beeinträchtigen können. Darüber hinaus besteht die Schwierigkeit bei der Messung von Risikowahrscheinlichkeiten und bei der Nichtberücksichtigung der positiven Auswirkungen einer Verbesserung der Produktivität (angegeben von 35% der Unternehmen), Rentabilität (22%), Unternehmensreputation (18%), Wettbewerbsfähigkeit (16,2%) und Kundenbindung (11%).
„Während Cybersicherheit immer mehr eine Kunst als eine Wissenschaft sein wird, müssen Unternehmen ein besseres Ergebnis erzielen, um ihre vollen direkten und indirekten Kosten-Nutzen-Verhältnisse zu messen, um zu verstehen, wo sie investieren müssen, um ihre digitale Zukunft zu sichern“, sagt Celi. „ Diese Studie ist ein wichtiger Schritt in diese Richtung.“
Über das Forschungsprogramm
Das Forschungsprogramm mit dem Titel The Cybersecurity Imperative basiert auf einer globalen Umfrage unter 1.300 Unternehmen aus verschiedenen Branchen und Regionen; Forschungsbeiträge eines hochkarätigen Beratungsgremiums; fundierten Interviews mit CISOs und führenden Experten sowie rigorose Benchmarking-Analysen. Die Forschung wurde im zweiten Quartal 2018 in Zusammenarbeit mit den Sponsoren Baker McKenzie, CyberCube, HP Inc., KnowBe4, Opus, Protiviti, Security Industry Association und Willis Towers Watson durchgeführt.
Für weitere Informationen über die Studie und den Zugang zu einem kostenlosen eBook für Thought Leadership, Whitepaper und Cybersicherheits-Benchmarking-Tools, bitte besuchen Sie: www.esithoughtlab.com.