Unternehmen zu wenig auf Gefährdungspotenzial vorbereitet

Fast ein Drittel der deutschen Unternehmen gibt an, dass sie in den letzten drei Jahren einen Schaden von mehr als einer Million US-Dollar durch den jeweils gravierendsten Fall von Datendiebstahl erlitten haben. Das sind 3 Prozent mehr als im internationalen Vergleich. Zu diesem Ergebnis kommt PwC Deutschland in der jüngsten Ausgabe der globalen Studie „Digital Trust Insights“. Besonders alarmierend: Obwohl zwei Drittel der 242 deutschen Befragten davon ausgehen, dass Cyberkriminelle im kommenden Jahr das größte Risiko für ihr Geschäft darstellen, sind sie nach eigener Angabe auf Angriffe dieser Bedrohungsakteure am wenigsten vorbereitet. 

Erhöhtes Bewusstsein für Gefahren ist entscheidend

Das Bewusstsein für Risiken ist aufgrund der zunehmenden Digitalisierung, der geopolitischen Lage und der allgemein erhöhten Bedrohungslage deutlich gestiegen. Dennoch gaben von den deutschen Unternehmen weniger als ein Viertel an, aktuelle Risiken nahezu vollständig reduziert zu haben. Der Grad der Mitigation unterscheidet sich dabei von Risikofaktor zu Risikofaktor: 19 Prozent der Befragten gaben an, Gefahren im Zusammenhang mit Remote Work minimiert zu haben. Bei den Risiken des Internet of Things (IoT) und der Cloud-Adaption sind es ein Viertel.

Ein weiteres Viertel haben nach eigener Angabe auch sämtliche Sicherheitsbedrohungen reduziert, die in Verbindung mit digitalisierten Lieferketten stehen – im Back-Office-Bereich bestätigen das wiederum 22 Prozent der Befragten. „Die Ergebnisse zeigen, dass ein großer Handlungsbedarf besteht, um auch das Board in seiner Zuversicht zu stärken, bestehende Risiken mitigieren zu können“, sagt Grant Waterfall, Partner, Cyber Security und Privacy Leader bei PwC Deutschland.

Mehr Budget für Cybersecurity

Um der erhöhten Bedrohungslage etwas entgegenzusetzen, wollen viele Unternehmen ihr Budget für IT-Sicherheit im nächsten Jahr weiter anheben: Zwei Drittel der leitenden Angestellten geben an, dass sie für 2023 eine Erhöhung der Mittel erwarten. In Deutschland wollen 56 Prozent der Unternehmen den Etat erhöhen. Der Wert bleibt damit zwar stabil, aber immer noch deutlich unter dem globalen Durchschnitt.

Behörden und Stakeholder erwarten mehr Transparenz

„Kommende Regularien für die Berichterstattung rund um IT-Sicherheitsvorfälle sowie die Erwartungen der Stakeholder erfordern zukünftig ein erhöhtes Maß an Transparenz. Unternehmen müssen die gelebte Praxis an diese neuen Vorzeichen anpassen“, betont Grant Waterfall. So stimmen auch 76 Prozent der deutschen Umfrageteilnehmer zu, dass eine standardisierte und einheitliche Offenlegung von Cybervorfällen notwendig ist, um das Vertrauen der Stakeholder zu stärken. Neben diesem Aspekt könnten in Deutschland auch gesetzliche Regularien und Audits ein Treiber für eine transparentere Berichterstattung sein. So fällt auf, dass hiesige Unternehmen im internationalen Vergleich deutlich häufiger angaben, in den letzten Jahren behördliche Untersuchungen erfahren zu haben. 

Dass eine umfangreiche Berichterstattung rund um die Belange der Cybersicherheit der Schlüssel zu einer erfolgreichen Zusammenarbeit ist, stieß sowohl international als auch unter den deutschen Umfrageteilnehmer:innen auf Zustimmung. Lediglich bei der Umsetzung gibt es noch Nachholbedarf, denn nur 35 Prozent der deutschen Unternehmen sind zuversichtlich, dass sie Cyber-Security-Praktiken, -Strategien und -Vorfälle nach außen hin wirksam offenlegen können. 

An der Umfrage haben weltweit mehr als 3.000 Entscheider:innen aus dem operativen und strategischen Geschäft sowie aus der IT teilgenommen.