Investitionen in Cybersicherheit: Der Druck auf Unternehmen zeigt Wirkung
84 Prozent der deutschen Unternehmen erhöhen laut PwC ihre Investitionen in IT-Security für das kommende Jahr. Security-Hersteller und ihre Partner können aufatmen: Das Ende des Sparkurses bei ihren Kunden ist damit eingeleitet. Alles gut also? Nicht ganz.
Über ein Ergebnis der Studie "Digital Trust Insights" für 2022 schüttelten viele IT-Experten ungläubig den Kopf. PwC schrieb damals bezogen auf eine Umfrage, dass rund ein Viertel der deutschen Unternehmen Kürzungen der Budgets für IT-Security plane. Unverantwortlich, angesichts der Tatsache, dass Digitalisierung immer mehr zu einem Treiber der Wirtschaft wird. Sie kann es aber nur sein, wenn IT-Infrastrukturen resilienter gegen Cyberangriffe gemacht werden. Die nehmen Jahr für Jahr zu, die Schadenssummen steigen unaufhörlich. Nun also die Trendwende.
Deutsche Unternehmen wollen 2024 zunehmend in ihre Cyber-Security-Fähigkeiten investieren. Das ist eine zentrale Erkenntnis aus der jüngsten Ausgabe der jährlich erscheinenden globalen "Digital Trust Insights"-Studie der Wirtschaftsprüfungs- und Beratungsgesellschaft PwC. Weltweit wurden rund 3.900 Organisationen zu verschiedenen Aspekten der Cybersicherheit befragt. Aus Deutschland dieses Ergebnis: 84 Prozent wollen ihr Budget für IT-Security um mindestens 5 Prozent erhöhen. Höher sogar als der globale Durchschnitt von 79 Prozent. Lediglich 4 Prozent bleiben beim Sparkurs und wollen kürzen. Im Vorjahr waren es noch 24 Prozent.
Was hat das Umdenken verursacht? Einsicht etwa? Ein bisschen vielleicht, aber der Hauptgrund für das Ende der Knausrigkeit liegt wohl eher in der Einsicht beim Gesetzgeber, der Unternehmen nun dazu zwingt, ihre Systeme besser gegen Hacker zu wappnen. Erst die ganz großen, für kritische Infrastrukturen wie Strom oder Gesundheitsversorgung zuständigen Unternehmen, und nun dehnt der deutsche Gesetzgeber die Regularien nach und nach auf den Mittelstand aus - Stichwort NIS-2 und bald - vielleicht sogar verpflichtend - für KMU bis 49 Mitarbeiter (CRN berichtete).
"Der Krieg in der Ukraine und die damit einhergehenden Folgen verändern in Kombination mit der raschen Digitalisierung und neuen EU-Regularien die Art und Weise wie Unternehmen über Cyberresilienz denken," sagt Grant Waterfall, Cybersecurity & Privacy Leader bei PwC Deutschland und EMEA. "Die Wachsamkeit ist gewachsen - und damit sind es auch die Investitionen."
Den Security-Herstellern ist es auch gelungen, ihre KI-basierten Innovationen in den Markt zu tragen. 75 Prozent der Befragten in Deutschland wollen nämlich GenAI-Tools für die Cyberabwehr einzusetzen. Auch bei der Adaption moderner Systeme liegen deutsche Firmen ganz vorn, der globale Durchschnitt für Investitionen in KI-basierte IT-Security beträgt laut PwC 69 Prozent.
Nächste Seite: Diese Gesetze kommen und greifen
Investitionen in Cybersicherheit: Der Druck auf Unternehmen zeigt Wirkung
84 Prozent der deutschen Unternehmen erhöhen laut PwC ihre Investitionen in IT-Security für das kommende Jahr. Security-Hersteller und ihre Partner können aufatmen: Das Ende des Sparkurses bei ihren Kunden ist damit eingeleitet. Alles gut also? Nicht ganz.
Zunehmende Regulierung erhöht Druck auf Führungskräfte
Neben den erhöhten geopolitischen Risiken spiele auch die "dynamische Regulierungslandschaft" eine wichtige Rolle für den Anstieg der Cyber-Security-Budgets, so PwC. So sieht beispielsweise die NIS-2-Richtlinie vor, dass Führungskräfte persönlich für die wirksame Beaufsichtigung von Cyber-Security-Risiken haftbar gemacht werden können. Sie wird 2024 kommen und rund 40.000 Unternehmen in Deutschland betreffen. Gut möglich, dass es auch für KMU bis 49 Mitarbeiter eine Verpflichtung und der Standard DIN Spec 27076 verbindlich wird, wie Auditor und Experte für Informationssicherheit René Floitgraf spekuliert.
Im Finanzsektor erfordert die DORA-Verordnung (Digital Operational Resilience Act) von Führungskräften ebenfalls eine höhere Aufmerksamkeit für digitale Risiken. "Viele Unternehmen haben inzwischen verstanden, dass sie in Anbetracht der kommenden Regularien handeln müssen - nicht nur, um ihre Betriebsabläufe oder Reputation zu schützen, sondern auch aufgrund der hohen finanziellen Folgen bei Verstößen", sagt PwC-Analyst Waterfall.
Immer mehr Unternehmen setzen auf integrierte Cybertechnologie-Plattformen. 49 Prozent in Deutschland würden bereits vorrangig entsprechende Technologien nutzen, weitere 43 Prozent planten diesen Schritt in den nächsten zwei Jahren. "Der Trend ist klar: In Kürze werden 9 von 10 Unternehmen mit integrierten Cybertechnologie-Plattformen arbeiten," so Waterfall. Das ist einerseits der zunehmenden Komplexität bei IT-Security geschuldet, aber nicht nur. Ganzheitlicher moderner Security-Schutz erhöht auch die Reaktionszeit bei Vorfällen und erlaubt es, gesetzliche Richtlinien einfacher durchzusetzen als dies Einzellösungen könnten.
Nächste Seite: Die größten zwei Schwachstellen
Investitionen in Cybersicherheit: Der Druck auf Unternehmen zeigt Wirkung
84 Prozent der deutschen Unternehmen erhöhen laut PwC ihre Investitionen in IT-Security für das kommende Jahr. Security-Hersteller und ihre Partner können aufatmen: Das Ende des Sparkurses bei ihren Kunden ist damit eingeleitet. Alles gut also? Nicht ganz.
Kritisch: Cloud-Infrastrukturen
Nach vielen Jahren der Abwägung für oder wider Cloud, haben die meisten Unternehmen die Vorteile des Cloud Computing nicht nur erkannt, sie nutzen die Technologie auch. Umso verständlicher nun, dass sie Angriffe auf ihre Cloud-Infrastrukturen fürchten (jedes zweite deutsche Unternehmen) und speziell hier in einen höheren Schutz investieren wollen. Weitere Priorität: Absicherung der Software-Lieferkette.
Der Risikowahrnehmung entsprechend plant ein Drittel der Unternehmen sowohl in Deutschland als auch weltweit, vermehrt in ihre Cloud-Security zu investieren. Investitionen in die Anwendungssicherheit (41 Prozent) sowie die OT Security (36 Prozent) seien PwC zufolge ebenfalls in vielen deutschen Unternehmen ein wichtiges Thema.
Sicherheitstrainings für Mitarbeiter? In Deutschland muss noch viel Aufklärung stattfinden
Der globale Vergleich von PwC zeigt, dass deutsche Unternehmen mit einem Anteil von 62 Prozent bevorzugt in die Modernisierung von Technologien und Infrastrukturen für die IT-Sicherheit investieren. Das ist gut so, aber wo bleibt das Bewusstsein für die Schwachstelle Mensch? Die Bereitschaft, Mittel für fortlaufende Sicherheitstrainings bereitzustellen, ist hierzulande nämlich deutlich geringer als im globalen Schnitt (29 Prozent versus 40 Prozent global). Man verlässt sich zu sehr auf Technologie, warnt Grant Waterfall.
"Investitionen in zeitgemäße Technologien für die Gefahrenabwehr sind wichtig, die fortlaufende Schulung und Sensibilisierung von Mitarbeitenden darf dabei aber nicht zu kurz kommen. Beide Maßnahmen müssen sinnvoll ineinandergreifen."
In diesem Zusammenhang berichtete kürzlich Vorstand Andreas Lüning auf dem Tech Day von G Data von einer Kuriosität. Manche Firmen meinen, dass Security-Awareness nur in den Köpfen von Führungskräften verankert werden müsse, nicht aber alle Mitarbeiter im Unternehmen gleichermaßen vor Hackergefahren geschult werden müssten. Eine solche Hierarchie-Denke ist hier gänzlich fehl am Platz.