Der umfangreiche Bericht zur Cybersicherheit von der führenden Forschungsfirma ESI ThoughtLab, zusammen mit einer Anzahl von branchenübergreifenden Unternehmen durchgeführt, zeigt, dass die digitale Transformation Unternehmen größeren und weitaus kostspieligeren Cyberrisiken aussetzt. In Übereinstimmung mit einer globalen Vergleichsstudie mit 1.300 befragten Unternehmen lässt sich feststellen, dass die Unternehmen, deren Cybersicherheitspraxis nicht mit ihren Projekten der digitalen Transformation mithalten kann, eher Gefahr laufen durch eine Cyberattacke einen Schaden in Höhe von 1 Million Dollar zu erleiden.
Die Studie zeigt, dass Cyberrisiken dramatisch steigen, wenn Unternehmen neue Technologien und offene Plattformen einführen oder Ökosysteme von Partnern und Lieferanten nutzen. Während Unternehmen heute die größten Auswirkungen von Malware (81%), Phishing (64%) und Ransomware (63%) melden, erwarten sie in zwei Jahren ein massives Wachstum der Angriffe über Partner, Kunden und Anbieter (247% Wachstum); Lieferketten (+146%); Denial of Service (+144%); Apps (+85%); und Embedded Systems (84%).
Die befragten Unternehmen sehen hohe Risiken durch externe Bedrohungsakteure wie versierte Hacker (von 59% der Unternehmen genannt), Cyberkriminelle (57%) und Social Engineers (44%), aber die größte Bedrohung liegt bei ungeschulten Mitarbeitern (87%). Weitere 57 Prozent der Unternehmen sehen den Datenaustausch mit Partnern und Anbietern als ihre größte IT-Schwachstelle. Dennoch haben nur 17 Prozent der Unternehmen signifikante Fortschritte bei der Schulung von Mitarbeitern und Partnern im Bereich Cybersicherheit gemacht.
„Unternehmen müssen sicherstellen, dass ihre Cybersicherheitsprogramme mit ihren Bemühungen um digitale Transformation Schritt halten“, sagt Lou Celi, CEO von ESI ThoughtLab und Leiter der Studie. „Cybersicherheit sollte kein sekundärer Gedanke sein. Sie muss in das Gefüge der Wachstumsstrategie eines Unternehmens integriert werden.“
Um das Wettrüsten mit den Hackern zu gewinnen, müssen Unternehmen ihre Investitionen in die Cybersicherheit verstärken
Um den steigenden Cyberrisiken zu begegnen, erhöhen die befragten Unternehmen ihre Investitionen in die Cybersicherheit in diesem Jahr um 7 Prozent und im nächsten Jahr um 14 Prozent. Der größte Anstieg wird von „Plattformunternehmen“ ausgehen, die ihre Ausgaben in diesem Jahr um 59 Prozent und im nächsten Jahr um 64 Prozent erhöhen. Im Durchschnitt werden Unternehmen mit einem Umsatz zwischen 250 Mio. – 1 Mrd. US-Dollar im nächsten Jahr 2,9 Mio. US-Dollar, 1 Mrd. – 5 Mrd. US-Dollar (5,7 Mio. US-Dollar), 5 Mrd. – 20 Mrd. US-Dollar (10,7 Mio. US-Dollar) und 20 Mrd. US-Dollar und mehr (16,8 Mio. US-Dollar) ausgeben.
Im nächsten Jahr planen diese Unternehmen, 39,3 Prozent ihrer Cybersicherheitsbudgets für Technologie, 30,7 Prozent für Prozesse und 30 Prozent für Mitarbeiter bereitzustellen. Unternehmen nutzen heute eine Vielzahl von Technologien zur Verbesserung der Cybersicherheit, wie Multifaktor-Authentifizierung (90%), Blockchain (68%), IoT (62%) und KI (44%). In den nächsten zwei Jahren wollen sie den Einsatz von Verhaltensanalyse (+1735%), Smart Grid-Technologien (+831%), Deception Technology (+684%) und Hardware-Sicherheit sowie -Resilienz (+114%) deutlich ausbauen.
Cybersicherheit entwickelt sich immer noch
ESI ThoughtLab teilt Unternehmen in die Rollen der Cybersicherheits-Anfänger, -Fortgeschrittenen und -Leader ein, basierend auf ihren Antworten auf eine Reihe von Detailfragen zu ihren Fortschritten in einer Reihe von Cybersicherheitsdimensionen. Die Ergebnisse zeigen, dass Unternehmen in Bezug auf die Cybersicherheit noch einen langen Weg vor sich haben: nur 20 Prozent der Unternehmen gelten als führend, während 31 Prozent der Unternehmen ganz am Anfang stehen und 49 Prozent der Unternehmen befinden sich in der fortgeschrittenen Zwischenphase der Cybersicherheitsreife.
Interessanterweise sind Technologieunternehmen die, die am weitesten zurückliegen, Plattformunternehmen liegen am weitesten voran. Finanzunternehmen und Versicherungsfirmen tendieren ebenfalls dazu, weiter auf der Reifekurve zu sein, als der Durchschnitt.
Laut der Studie haben Unternehmen bei der Risikoprävention mehr Fortschritte gemacht als bei der Resilienz. Im nächsten Jahr werden die Unternehmen weiterhin den größten Teil ihrer Investitionen in den Schutz investieren (26,5%), aber sie werden es auch tun, um eine bessere Reaktion zu zeigen (19,2%) und die Wiederherstellung (18,1%) zu gewährleisten, um ihre Widerstandsfähigkeit bei steigenden Angriffen zu erhöhen.
Die Reife der Cybersicherheit variiert auch von Land zu Land: Unternehmen, die in der Studie mit den höchsten Reifegraden beweisen, haben ihren Sitz in den USA (107,2), Südkorea (104,7), Japan (102,6), Frankreich (101,9) und Australien (101,3). Die am schlechtesten bewerteten Unternehmen hatten ihren Sitz in den Schwellenländern, darunter Brasilien (88,6), Argentinien (93,6) und Indien (93,7), obwohl auch Unternehmen in Deutschland (97,3) und der Schweiz (96,3) relativ niedrig bewertet wurden.
Die Rendite der Cybersicherheitsreife
Die Studie zeigt, dass mit zunehmender Reife der Cybersicherheitssysteme von Unternehmen die Wahrscheinlichkeit kostspieliger Cyberangriffe auf das Internet sinkt. Cybersicherheitsanfänger haben eine Wahrscheinlichkeit von 21,1 Prozent, dass Cyberangriffe über 1 Million Dollar an Verlusten gegenüber dem Vorjahr generieren. 16,1 Prozent für Unternehmen dazwischen und 15,6 Prozent für in Cybersicherheit führende Unternehmen. Die Kosten für Cyberangriffe sinken auch, da sich die Cybersicherheit mit der Zeit verbessert: Die Kosten für Anfänger betragen 0,039 Prozent des Umsatzes (3,9 Mio. US-Dollar für ein 10 Mrd. US-Dollar-Unternehmen) gegenüber 0,012 Prozent des Umsatzes. Umsatz für führende Unternehmen (1,2 Mio. US-Dollar für ein 10 Mrd. US-Dollar-Unternehmen). Allerdings sind diese Kosten – und die Anzahl der erfolgreichen Angriffe – für Anfänger aufgrund ihrer unzureichenden Erkennungssysteme schwieriger zu messen. Trotz besserer Überwachungsmethoden und -kennzahlen kennen die meisten Unternehmen den ROI ihrer Cybersicherheitsinvestitionen noch nicht. Ein Stolperstein ist, dass Unternehmen oft keine indirekten Kosten messen, wie z. B. Produktivitätsverlust, Reputationsschäden und Opportunitätskosten, die das Ergebnis beeinträchtigen können. Eine weitere ist die Schwierigkeit bei der Messung von Risikowahrscheinlichkeiten und der Nichtberücksichtigung der positiven Auswirkungen einer Verbesserung der Produktivität (angegeben von 35% der Unternehmen), Rentabilität (22%), Unternehmensreputation (18%), Wettbewerbsfähigkeit (16,2%) und Kundenbindung (11%).
„Während Cybersicherheit immer mehr eine Kunst als eine Wissenschaft sein wird, müssen Unternehmen ein besseres Ergebnis erzielen, um ihre vollen direkten und indirekten Kosten-Nutzen-Verhältnisse zu messen, um zu verstehen, wo sie investieren müssen, um ihre digitale Zukunft zu sichern“, sagt Celi. „ Diese Studie ist ein wichtiger Schritt in diese Richtung.“
Über das Forschungsprogramm
Dieses bahnbrechende Forschungsprogramm mit dem Titel The Cybersecurity Imperative basiert auf einer globalen Umfrage unter 1.300 Unternehmen aus verschiedenen Branchen und Regionen; Forschungsbeiträge eines hochkarätigen Beratungsgremiums; fundierten Interviews mit CISOs und führenden Experten sowie rigorose Benchmarking-Analysen. Die Forschung wurde im zweiten Quartal 2018 in Zusammenarbeit mit den Sponsoren Baker McKenzie, CyberCube, HP Inc., KnowBe4, Opus, Protiviti, Security Industry Association und Willis Towers Watson durchgeführt wurde.
Für weitere Informationen über die Studie und den Zugang zu einem kostenlosen eBook für Thought Leadership, Whitepaper und Cybersicherheits-Benchmarking-Tools: www.esithoughtlab.com.
#Netzpalaver #KnowBe4
