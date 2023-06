Die Zahl der Cyberattacken auf Unternehmen und staatliche Einrichtungen in Deutschland ist in den vergangenen Jahren massiv gestiegen. Seit Beginn der Covid-19-Pandemie registrierten mehr als zwei Drittel aller Behörden und Unternehmen einen Anstieg entsprechender Attacken. Bei 59 Prozent haben die Angriffe mit Beginn des Kriegs in der Ukraine zugenommen.

Dies geht aus der Studie „Cyber Security in Germany“ von PwC Deutschland und Strategy&, der globalen Strategieberatung von PwC, hervor. Im vergangenen Jahr sahen sich demnach 70 Prozent aller befragten Organisationen mit bis zu zehn Attacken konfrontiert, die teils durch eine hohe Komplexität und einen weitreichenden Umfang gekennzeichnet waren. Die restlichen 30 Prozent verzeichneten sogar noch deutlich mehr Angriffe.

Die meisten Cyberattacken richten sich nicht gegen ein spezifisches Unternehmen oder eine Behörde, sondern zielen auf die breite Masse ab. Das größte Sicherheitsrisiko sehen Unternehmen und Behörden im Home-Office sowie den damit zusammenhängenden Techniken wie etwa der Cloud.

Um sich gegen Cyberangriffe zu schützen, verfolgen laut Studie vier von fünf Organisationen eine Cybersicherheitsstrategie. Allerdings scheitert deren Umsetzung oft an fehlenden Strukturen und unklaren Verantwortlichkeiten. Deutlich wird das etwa an der Implementierung von Abwehrsystemen. Obwohl es auf dem Markt Lösungen für die größten Sicherheitsrisiken gibt, kommen diese nur selten zum Einsatz – oder in einer veralteten Version.

Vor allem bei kleinen und mittelgroßen Unternehmen (KMUs) schlagen solche strukturellen Probleme durch. Ihnen fehlen die finanziellen Mittel, um die benötigten IT-Fachleute einzustellen und ganzheitliche Abwehrstrukturen aufzubauen und instand zu halten. Um ihre Defizite auszugleichen, wollen nahezu alle Unternehmen und Behörden (98 Prozent) in den nächsten zwölf Monaten mehr oder zumindest so viel Geld wie bislang in die Hand nehmen. Während die meisten Investitionen auf Maßnahmen mit kurzfristigem Erfolgshorizont abzielen, etwa Erkennungstechnologien oder sichere Datenspeicherung, fließt weiterhin zu wenig Geld in den Aufbau funktionsfähiger Sicherheitsstrukturen.

„Viele Unternehmen investieren im Bereich Cybersecurity noch immer unter der Prämisse, möglichst schnell messbare Ergebnisse ableiten zu wollen. Dadurch vernachlässigen sie jedoch Bereiche, die zwar weniger sichtbar, aber nicht weniger wichtig sind, wie etwa den Aufbau notwendiger Organisationsstrukturen oder eine unternehmensübergreifende Strategie für den Krisenfall“, sagte Lucas Sy, Director bei Strategy& Deutschland. „Das ist zwar nachvollziehbar, doch die Abwehrfähigkeit einer Organisation bemisst sich immer nach ihrem verwundbarsten Punkt. Organisationen müssen deswegen nicht einfach nur mehr, sondern vor allem gezielter investieren. Dabei gilt es, möglichst keinen Teilbereich zu vernachlässigen und Cybersicherheit – ähnlich wie Nachhaltigkeit – bei allen internen Prozessen zu berücksichtigen.“

Der Fachkräftemangel stellt Organisationen beim Aufbau ihrer Cyberabwehr vor eine weitere massive Herausforderung. Auch dort steht vor allem der Mittelstand, aber auch der öffentliche Sektor unter Druck. Beide müssen ähnliche Anforderungen wie Großkonzerne erfüllen, verfügen jedoch über deutlich geringere finanzielle Ressourcen. Entsprechend sind sie beim Kampf um die besten Fachleute nachteilig aufgestellt. Der resultierende Mangel an qualifiziertem Personal wirkt sich auf die Resilienz aus. Von den befragten Organisationen prüft und bewertet zum Beispiel weniger als die Hälfte regelmäßig die eigenen Fähigkeiten in Sachen Cyberabwehr. Dabei ist gerade eine regelmäßige Analyse notwendig, um Schwachstellen aufzudecken und gezielt zu beseitigen.

„Ein Hebel, um die Cybersicherheit deutscher Unternehmen und Behörden zu stärken, liegt in der besseren Kooperation zwischen privatem und öffentlichem Sektor. Beide Seiten wünschen sich zwar mehr Zusammenarbeit, wissen aber auch um die Probleme in der Praxis“, sagte Professor Dr. Rainer Bernnat, Leiter des Bereichs Öffentlicher Sektor bei PwC Deutschland. „Für eine erfolgreiche Zusammenarbeit müssen sich beide Seiten deswegen noch mehr aufeinander zubewegen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) setzt bereits wichtige Impulse, wie etwa mit der Allianz für Cybersicherheit. Gleichzeitig könnten Kompetenzen für Cybersicherheit noch stärker beim BSI gebündelt werden, während andererseits Unternehmen den Informationsaustausch mit dem öffentlichen Sektor automatisieren sollten, damit Cyberattacken früher erkannt und gemeinschaftlich bekämpft werden können. Nur wenn die Kooperation auf beiden Seiten ernst genommen wird, können Synergien entstehen, um sich noch effektiver zu schützen.“

Zur Methodik der Untersuchung: Für die Studie wurden zwischen Dezember 2022 und März 2023 insgesamt 478 Mitarbeiterinnen und Mitarbeiter deutscher Organisationen aus dem öffentlichen und privaten Sektor befragt. Der Teilnehmerkreis erstreckte sich von Angestellten mit begrenztem IT-Bezug über Mitglieder von IT-Fachabteilungen bis hin zu Personen in C-Level-Positionen.