Die Cyberattacken auf Unternehmen und staatliche Einrichtungen in Deutschland sind in den vergangenen Jahren massiv gestiegen. Seit Beginn der Covid-19-Pandemie registrierten mehr als zwei Drittel aller Behörden und Unternehmen einen Anstieg entsprechender Attacken, bei 59% haben die Angriffe mit Beginn des Kriegs in der Ukraine zugenommen. Das geht aus der Studie „Cyber Security in Germany“ von PwC Deutschland und Strategy&, der globalen Strategieberatung von PwC, hervor. Im vergangenen Jahr sahen sich demnach 70% aller befragten Organisationen mit bis zu 10 Attacken konfrontiert, die teils durch eine hohe Komplexität und einen weitreichenden Umfang gekennzeichnet waren. Die restlichen 30% verzeichneten sogar noch deutlich mehr Angriffe. Die meisten Cyberattacken richten sich nicht gegen ein spezifisches Unternehmen oder eine Behörde, sondern zielen auf die breite Masse ab. Das größte Sicherheitsrisiko sehen Unternehmen und Behörden im Home-Office sowie den damit zusammenhängenden Technologien wie etwa der Cloud.
KMUs nur bedingt abwehrbereit
Um sich gegen Cyberangriffe zu schützen, verfolgen laut Studie vier von fünf Organisationen eine Cybersicherheitsstrategie. Allerdings scheitert deren Umsetzung oft an fehlenden Strukturen und unklaren Verantwortlichkeiten. Deutlich wird das etwa an der Implementierung von Abwehrsystemen. Obwohl es am Markt Lösungen für die größten Sicherheitsrisiken gibt, kommen diese nur selten zum Einsatz – oder in einer veralteten Version. Vor allem bei kleinen und mittelgroßen Unternehmen (KMUs) schlagen solche strukturellen Probleme durch. Ihnen fehlen die finanziellen Mittel, um die benötigten IT-Expert:innen einzustellen und ganzheitliche Abwehrstrukturen aufzubauen und instand zu halten. Um ihre Defizite auszugleichen, wollen nahezu alle Unternehmen und Behörden (98%) in den nächsten zwölf Monaten mehr oder zumindest so viel Geld wie bislang in die Hand nehmen. Während die meisten Investitionen auf Maßnahmen mit kurzfristigem Erfolgshorizont abzielen, etwa Erkennungstechnologien oder sichere Datenspeicherung, fließt weiterhin zu wenig Geld in den Aufbau funktionsfähiger Sicherheitsstrukturen.
„Viele Unternehmen investieren im Bereich Cybersecurity noch immer unter der Prämisse, möglichst schnell messbare Ergebnisse ableiten zu wollen. Dadurch vernachlässigen sie jedoch Bereiche, die zwar weniger sichtbar, aber nicht weniger wichtig sind, wie etwa den Aufbau notwendiger Organisationsstrukturen oder eine unternehmensübergreifende Strategie für den Krisenfall“, sagt Lucas Sy, Director bei Strategy& Deutschland. „Das ist zwar nachvollziehbar, doch die Abwehrfähigkeit einer Organisation bemisst sich immer nach ihrem verwundbarsten Punkt. Organisationen müssen deswegen nicht einfach nur mehr, sondern vor allem gezielter investieren. Dabei gilt es, möglichst keinen Teilbereich zu vernachlässigen und Cybersicherheit – ähnlich wie Nachhaltigkeit – bei allen internen Prozessen zu berücksichtigen.“
Fachkräftemangel gefährdet Cyberabwehr
Der Fachkräftemangel stellt Organisationen beim Aufbau ihrer Cyberabwehr vor eine weitere massive Herausforderung. Auch hier stehen vor allem der Mittelstand, aber auch der öffentliche Sektor unter Druck. Beide müssen ähnliche Anforderungen wie Großkonzerne erfüllen, verfügen aber über deutlich geringere finanzielle Ressourcen. Entsprechend sind sie beim Kampf um die besten Expert:innen nachteilig aufgestellt. Der resultierende Mangel an qualifiziertem Personal wirkt sich auf die Resilienz aus. Von den befragten Organisationen prüft und bewertet zum Beispiel weniger als die Hälfte regelmäßig die eigenen Fähigkeiten in Sachen Cyberabwehr. Dabei ist gerade eine regelmäßige Analyse notwendig, um Schwachstellen aufzudecken und gezielt zu beseitigen.
„Ein Hebel, um die Cybersicherheit deutscher Unternehmen und Behörden zu stärken, liegt in der besseren Kooperation zwischen privatem und öffentlichem Sektor. Beide Seiten wünschen sich zwar mehr Zusammenarbeit, wissen aber auch um die Probleme in der Praxis“, sagt Prof. Dr. Rainer Bernnat, Leiter des Bereichs Öffentlicher Sektor bei PwC Deutschland. „Für eine erfolgreiche Zusammenarbeit müssen sich beide Seiten deswegen noch mehr aufeinander zubewegen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) setzt bereits wichtige Impulse, wie etwa mit der Allianz für Cybersicherheit. Gleichzeitig könnten Kompetenzen für Cybersicherheit noch stärker beim BSI gebündelt werden, während andererseits Unternehmen den Informationsaustausch mit dem öffentlichen Sektor automatisieren sollten, damit Cyberattacken früher erkannt und gemeinschaftlich bekämpft werden können. Nur wenn die Kooperation auf beiden Seiten ernst genommen wird, können Synergien entstehen, um sich noch effektiver zu schützen.“
