Weltweit arbeiten Unternehmen in digitalen Ökosystemen zusammen. Die Vorbeugung und das Bekämpfen von Cybergefahren, die von den Partnern oder Lieferanten ausgehen, finden dabei wenig Beachtung, wie eine internationale Studie von Tata Consultancy Services zeigt.
Trotz der aktuell hohen Aufmerksamkeit für digitale Ökosysteme und Lieferketten räumen Chief Risk Officer und Chief Information Security Officer der Gefahr von Cyber-Attacken auf ihre Partner nur eine nachrangige Priorität ein. In einer Studie von Tata Consulting Services werden Lieferketten beim Blick auf das Risiko eines Cyber-Angriffs erst an neunter Stelle genannt, digitale Ökosysteme gar erst auf Platz 10. Die höchste Gefahr für Cyber-Attacken sehen die Befragten bei der Finanzabteilung, den Datenbanken mit Kundeninformationen sowie im Bereich Forschung und Entwicklung.
Von Februar bis März 2022 hat das Thought Leadership Institut von Tata Consultancy Services 607 Unternehmen aus Europa und Nordamerika mit einem Jahresumsatz von mindestens 1 Milliarde Dollar befragt. Die Interviews richteten sich an Führungskräfte, die in ihrem Unternehmen für das Thema Cybersecurity verantwortlich sind. Dazu zählen Chief Risk Officer und Chief Information Security Officer aus dem Finanzsektor, der Versorgungs-, Medien- und Informationsdienstleistungsbranche sowie dem Maschinen- und Anlagenbau.
Die größten Sicherheitsrisiken sehen die von Tata Consultancy Services befragten Chief Information Security Officer (CISOs) und Chief Risk Officer (CROs) bei Finanzdaten, Kundeninformationen und bei ihrem geistigen Eigentum.
Quelle: Tata Consultance Services
Angreifer missbrauchen Schnittstellen
Um Daten auszutauschen, nutzen Unternehmen häufig Application Programming Interfaces (APIs). Diese Schnittstellen dienen als wichtige Zugangspunkte, die Unternehmen mit Partnern, Kunden und Auftragnehmern verbinden. Unbefugte können sie missbrauchen, wenn die Entwickler Sicherheitsaspekte ignoriert haben. Angreifer nutzen in zunehmendem Maße Schlupflöcher in ungesicherten Systemen von Auftragnehmern, Händlern und Lieferanten.
„Das Ignorieren der Gefahren, die von diesen Ökosystemen ausgehen, stellt eine Schwachstelle dar, die Unternehmen dringend beheben sollten“, arläutert Santha Subramoni, Global Head, Cybersecurity bei Tata Consulting Services. „Eine Möglichkeit, Angriffe innerhalb digitaler Lieferketten zu unterbinden, ist die Umsetzung eines Zero Trust‘-Modells. Bei diesem Ansatz wird niemandem automatisch vertraut, sondern jeder Zugriff auf ein Unternehmensnetzwerk geprüft – gleich ob von Mensch oder Maschine.“
Wenige Führungskräfte widmen sich der Cyber-Sicherheit
42 Prozent der Befragten Chief Risk Officer geben an, dass in ihrem Unternehmen Cyber-Risiken und Sicherheitsthemen aktiv und regelmässig auf oberster Ebene angesprochen werden. Bei einem Drittel (33 Prozent) beschäftigen sich Vorstände oder die Geschäftsleitung nur dann mit diesen Themen, wenn sie darauf aufmerksam gemacht werden. In 18 Prozent der Unternehmen finden Diskussionen sogar erst dann statt, wenn das eigene Geschäft von einer Cyber-Attacke betroffen ist.
Bei 40 Prozent der Unternehmen ist Cyber-Sicherheit in praktisch jeder Vorstand- oder Geschäftsleitungssitzung ein Thema, bei weiteren 43 Prozent in jedem zweiten oder dritten Meeting. In jedem sechsten Führungsgremium (17 Prozent) wird das Thema entweder nie, gelegentlich oder nur wenn nötig diskutiert. Darüber hinaus sind mehr als ein Drittel (37 Prozent) der Befragten unsicher oder immer weniger zuversichtlich, ob sie in den kommenden drei Jahren schwerwiegende finanzielle oder rufschädigende Folgen eines größeren Cybervorfalls vermeiden können.
Bezpüglich der Cloud haben die Sicherheitsbedenken abgenommen: Eine deutliche Mehrheit der befragten Cyber-Experten erachtet Cloud-Lösungen inzwischen als sicherer (34 Prozent) oder zumindest gleich sicher (28 Prozent) wie On-Premise-Lösungen oder traditionelle Rechenzentren. Lediglich ein knappes Drittel (32 Prozent) glaubt, dass Cyber-Risiken bei der Nutzung von Cloud-Plattformen grundsätzlich höher sind.
Experten für Cybersicherheit sind Mangelware
Die größte Herausforderung im Bereich Cybersicherheit sehen Unternehmen im Mangel an Fachkräften mit einschlägiger Expertise. Laut Studie plant die Hälfte (49 Prozent) der Betriebe aus der EU und Großbritannien, künftig Fachkräfte mit Cybersecurity-Skills einzustellen. In Nordamerika beabsichtigen sogar zwei Drittel (65 Prozent), sich in Zukunft auf die Talentsuche begeben. Allerdings berichten,Chief Risk Officers dass es ihnen bereits im vergangenen Jahr schwerfiel, Talente mit Kenntnissen in den Bereichen Cyberrisiken und -sicherheit für sich zu gewinnen (44 Prozent) und zu halten (42 Prozent).
„Mit den Taktiken der Cyberkriminellen Schritt zu halten, ist weniger eine Frage der finanziellen Mittel“, erläutert die Security-Expertin Subramoni. Die größte Herausforderung liegt darin, die richtigen Fachkräfte mit dem benötigten Know-how zu finden an ein Unternehmen zu binden.“
Die vollständigen Studienergebnisse sind hier kostenlos online verfügbar. Jürgen Frisch.
