Neue Studie des Ponemon Institute zeigt, dass fast 80 Prozent der deutschen Unternehmen für einen Cyber-Sicherheitsvorfall nicht gerüstet sind

Studie zeigt jedoch auch hohes Vertrauen in die eigene Widerstandsfähigkeit gegen Cyber-Angriffe

TRAVERSE CITY, Michigan, und MÜNCHEN--()--Der jüngsten Untersuchung zur Widerstandsfähigkeit gegen Cyber-Angriffe des renommierten Ponemon Institute zufolge gaben 79 Prozent der Sicherheitsverantwortlichen an, dass sie auf einen Cyber-Sicherheitsvorfall nicht vorbereitet sind. Und nur 21 Prozent haben die erforderliche Technologie, um auf einen Cyber-Angriff zu reagieren. Die neue unabhängige Studie The Cyber Resilient Organisation in Germany: Learning to Thrive against Threats (dt.: Die Cyber-Widerstandsfähigkeit von Firmen in Deutschland: Lernen, auch angesichts von Bedrohungen erfolgreich zu sein) des Forschungsinstituts für Datenschutz und Informationssicherheit, Ponemon Institute, untersucht die Widerstandsfähigkeit deutscher Unternehmen gegenüber Cyber-Bedrohungen.

Überraschenderweise hat die deutsche Studie ebenfalls ergeben, dass 54 Prozent ihre Cyber-Widerstandsfähigkeit als hoch einstuften, was auf eine Lücke zwischen empfundener Widerstandsfähigkeit und der Realität hindeutet. Dies ist der dritte Bericht aus einer Reihe von Studien zur Widerstandsfähigkeit gegen Cyber-Angriffe mit Gründungssponsor Resilient Systems, führend auf dem Gebiet der Incident-Response-Managementsoftware. Die erste Studie wurde im letzten Jahr in den USA und die zweite Studie Anfang der Woche in Großbritannien veröffentlicht. Vergleichbar mit den Erkenntnissen aus Großbritannien, wurden ungenügende Planung und Vorbereitung sowie organisatorische Faktoren als größte Hindernisse zur Erlangung von Widerstandsfähigkeit gegen Cyber-Angriffe identifiziert.

Für diesen Bericht des Ponemon Institute wurden 445 IT- und Sicherheitsbeauftrage in Deutschland zu der Herangehensweise ihres Unternehmens befragt, angesichts zunehmend problematischer und häufiger Cyber-Angriffe widerstandsfähiger zu werden. Zu den Probanden zählten eine große Bandbreite führender Sicherheitsexperten aus verschiedenen Branchen.

In Deutschland werden zurzeit die Regeln in Bezug auf die Cyber-Sicherheit erheblich verändert. Der Bundesrat billigte im Juli 2015 ein Gesetz zum Cyber-Schutz kritischer Infrastrukturen und der deutsche Gesetzgeber hat die geplante EU-weite Richtlinie zur Netzwerk- und Informationssicherheit (NIS-Richtlinie) und die Datenschutz-Grundverordnung (DSGVO) vorangetrieben, die eine Meldepflicht für Sicherheitsverletzungen vorsehen und Firmen vorschreiben, ihre Strategien zur Bewältigung von Sicherheitsvorfällen klar zu dokumentieren.

Zu den Hauptergebnissen der deutschen Ponemon-Studie zählen:

Nahezu 80 Prozent gaben an, dass sie nicht darauf vorbereitet sind, auf einen Cyber-Sicherheitsvorfall zu reagieren

  • 79 Prozent sagten, dass sie entweder Ad-hoc- oder keine Pläne zur Reaktion auf Cyber-Sicherheitsvorfälle haben.
    • 21 Prozent der Firmen gaben an, dass sie nicht darauf vorbereitet sind, auf einen Cyber-Sicherheitsvorfall zu reagieren und über keinen Plan zur Bewältigung von Cyber-Sicherheitsvorfällen (CSIRP) verfügen.
    • Weitere 58 Prozent haben nur einen „Ad-hoc“-CSIRP, oder einen, der nicht im gesamten Unternehmen angewendet wird.
    • Nur 21 Prozent haben einen genau definierten CSIRP, der im gesamten Unternehmen angewendet wird.
    • Die Untersuchung ergab zudem, dass die Planung und Vorbereitung sehr wichtig für die Cyber-Widerstandsfähigkeit ist. Dennoch bezeichneten 69 Prozent ungenügende Planung und Vorbereitung als größtes Hindernis. Dahinter kam Komplexität der Geschäftsprozesse (51 Prozent) und 55 Prozenten bezeichneten Bewusstsein, Analyse und Bewertung als unzureichend.

Der Mehrzahl der deutschen Sicherheitsbeauftragen zufolge ist der Grad der Cyber-Widerstandsfähigkeit in ihrer Organisation hoch, selbst ohne geplante oder praktizierte Reaktion

  • 54 Prozent der Teilnehmer beurteilten ihre Cyber-Widerstandsfähigkeit als hoch. Dies zeigt, dass deutsche Unternehmen weitaus stärker von ihren Fähigkeiten überzeugt sind, als die in den USA und Großbritannien, wo nur 25 bzw. 29 Prozent ihre Cyber-Widerstandsfähigkeit als hoch einstuften.
  • Die Mehrheit der deutschen Unternehmen hat zudem großes Vertrauen in ihre Fähigkeit, einen Cyber-Angriff zu erkennen (56 Prozent), einzudämmen (63 Prozent) und sich davon zu erholen (51 Prozent).

Ständige Angriffe sind die größte Bedrohung für die Cyber-Widerstandsfähigkeit

  • Die IT-Bedrohungen mit der größten Auswirkung auf die Cyber-Widerstandsfähigkeit eines Unternehmens sind ständige Angriffe. Die wahrscheinlichste Bedrohung sind durch Dritte verursachte Störungen.

Organisatorische Faktoren erschweren es zudem, widerstandsfähig gegen Cyber-Angriffe zu werden

  • Der Studie zufolge ist es schwierig, einen hohen Grad an Cyber-Sicherzeit zu erreichen, wenn es keine Funktion gibt, die eindeutig dafür zuständig ist. Nur 20 Prozent der Befragten sagen, dass der Geschäftsbereichsleiter dafür zuständig ist, ihre Organisation widerstandsfähig gegenüber Cyber-Bedrohungen zu machen, gefolgt von 13 Prozent, die angeben, dass der IT-Leiter (CIO) verantwortlich ist. Andere sagten, dass die Verantwortung nicht bei einer einzigen Person liegt.
  • 46 Prozent der Befragten glauben, dass die finanzielle Ausstattung der IT-Sicherheit nicht ausreicht, um ein hohes Niveau an Cyber-Widerstandsfähigkeit zu erreichen und 53 Prozent sind der Ansicht, dass die personelle Ausstattung ebenfalls ungenügend ist.

„Die Studienergebnisse sind faszinierend, da es anscheinend eine Diskrepanz zwischen der von den deutschen Sicherheitsbeauftragten angegebenen mangelnden Vorbereitung und dem Vertrauensniveau in ihre Cyber-Widerstandsfähigkeit gibt“, sagte Larry Ponemon. „Um die nächste Cyber-Angriffswelle zu überstehen, müssen die Organisationen planen und Vorkehrungen treffen, sie müssen dies innerhalb der gesamten Organisation koordinieren und dafür sorgen, dass sie geeignete CSIRPs haben, wenn ein Angriff tatsächlich erfolgt.“

Die Incident Response Platform (IRP) von Resilient Systems ist darauf ausgerichtet, Unternehmen dabei zu helfen, den Incident-Response-Prozess zu orchestrieren und zu automatisieren. Durch die Einbindung bestehender IT-Sicherheitslösungen bietet sie eine zentrale Plattform zur Untersuchung und Behebung von Cyber-Angriffen und unterstützt Unternehmen dabei, Sicherheitsvorfälle effektiver und effizienter zu bewältigen und zu lösen.

„Gute Sicherheit ist die Messgröße für drei Dinge, Prävention, Erkennung und proaktive, geplante Reaktion. Gemeinsam können sie die Cyber-Widerstandsfähigkeit verbessern. Diese wichtige Untersuchung zeigt, dass deutsche Firmen von einer besser koordinierten Reaktionsplanung profitieren könnten, um ihre Chancen zu erhöhen, auch angesichts von Cyber-Angriffen erfolgreich zu sein“, sagte John Bruce, CEO und Mitbegründer von Resilient Systems. „Mit dem geplanten EU-Gesetzespaket zur Cyber-Sicherheit wird diese Herausforderung für deutsche Firmen besonders akut.“

Den Bericht The Cyber Resilient Organisation in Germany: Learning to Thrive against Threats können Sie hier herunterladen.

Um mehr über die Expansion von Resilient Systems auf den mitteleuropäischen Markt zu erfahren, folgen Sie bitte diesem Link.

Über das Ponemon Institute
Das Ponemon Institute© engagiert sich für die Weiterentwicklung von Informations- und Datenschutz-Management-Verfahren in Unternehmen und der öffentlichen Verwaltung. Um dieses Ziel zu erreichen, führt das Institut unabhängige Studien durch, bildet Führungskräfte aus dem privaten und öffentlichen Sektor weiter und überprüft die Datenschutzverfahren von Unternehmen aus unterschiedlichen Branchen.

Über Resilient Systems
Die Mission von Resilient Systems ist es, Organisationen dabei zu helfen, auch im Angesicht von Cyber-Angriffen oder Unternehmenskrisen erfolgreich zu sein. Unsere preisgekrönte Incident Response Platform (IRP) versetzt Sicherheitsteams in die Lage, Vorfälle schneller, intelligenter und effizienter zu analysieren, auf sie zu reagieren und sie abzumildern. Resilient wird schnell zum Branchenstandard für Incident-Response-Lösungen. Alle anderen Sicherheitstechnologien lassen sich auf der IRP integrieren, während sich Arbeitsabläufe problemlos anpassen und Prozesse automatisieren lassen. Ausgestattet mit Resilient verfügen Sicherheitsteams über erstklassige Reaktionsfähigkeiten. Resilient Systems unterhält Geschäftssitze in den USA und im Vereinigten Königreich und verfügt über mehr als 100 internationale Kunden, darunter 30 Unternehmen der Fortune 500 sowie Geschäftspartner in über 20 Ländern. Weitere Informationen erhalten Sie unter www.resilientsystems.com.

Die Ausgangssprache, in der der Originaltext veröffentlicht wird, ist die offizielle und autorisierte Version. Übersetzungen werden zur besseren Verständigung mitgeliefert. Nur die Sprachversion, die im Original veröffentlicht wurde, ist rechtsgültig. Gleichen Sie deshalb Übersetzungen mit der originalen Sprachversion der Veröffentlichung ab.

Die Ausgangssprache, in der der Originaltext veröffentlicht wird, ist die offizielle und autorisierte Version. Übersetzungen werden zur besseren Verständigung mitgeliefert. Nur die Sprachversion, die im Original veröffentlicht wurde, ist rechtsgültig. Gleichen Sie deshalb Übersetzungen mit der originalen Sprachversion der Veröffentlichung ab.

Contacts

Finn Partners
Oliver Fischer, +49 (0)89 89 40 85 11
ResilientSystems@FinnPartners.com

Contacts

Finn Partners
Oliver Fischer, +49 (0)89 89 40 85 11
ResilientSystems@FinnPartners.com