Eine aktuelle Studie von Deloitte und IfD Allensbach zeigt, wie deutsche Führungskräfte das Thema Cyber-Risiken einschätzen. Klare Antwort: Die Bedeutung des Themas nimmt weiter zu, die Risikolandkarte weitet sich aus. Zugleich herrscht aber immer noch deutlicher Nachholbedarf bei Maßnahmen zur Prävention und Gegensteuerung. Besonders markant: die Manipulation der öffentlichen Meinung durch Fake News wird von den Teilnehmern 2019 erstmals als größte Cyber-Gefahr für Deutschland gesehen. Nachfolgend finden Sie die wichtigsten Ergebnisse der Studie im Überblick.
Soziale Medien zugleich als Chance und Risiko
Einer der größten gesellschaftlichen Umbrüche des letzten Jahrzehnts ist der Siegeszug der sozialen Medien. Sie vernetzen User aus aller Welt und eröffnen neue Kommunikationswege für Unternehmen. Inzwischen ist jedoch auch die Kehrseite dieser Medaille tagtäglich sicht- und spürbar. Soziale Medien können ebenso als Instrument der Manipulation der öffentlichen Meinung dienen, etwa durch gezielte Falschmeldungen oder verzerrte Darstellung von Sachverhalten. Durch zielgruppen-orientierte Platzierung verbreiten sich diese dann viel schneller als in etablierten Medien, ohne dass ein eindeutiger Urheber oder Verleger presserechtliche Verantwortung übernehmen würde. Dahinter stecken dann beispielsweise mutmaßlich ausländische Geheimdienste oder andere verdeckte Interessensgruppen.
Das Thema "Fake News" beherrscht heute die Schlagzeilen und ist so drängend, dass es 2019 erstmals den Sprung auf den unrühmlichen "Platz 1" der Liste der wichtigsten Cyber-Risiken geschafft hat – sicherlich eines der aufsehenerregendsten Ergebnisse der Studie. Beachtliche 74 Prozent der Entscheider aus Wirtschaft und Politik halten diese unlautere Beeinflussung für ein "großes Risiko" für die Menschen in Deutschland, und zwar noch vor "klassischeren" Cyber Crimes wie Datenbetrug im Internet (70 Prozent), Diebstahl privater Daten bzw. Informationen durch Cyber-Angriffe (67 Prozent) oder Computerviren und Schadsoftware (65 Prozent). Bei der allgemeinen Risikoeinschätzung bewerten dabei Unternehmensvertreter viele Gefahren noch deutlich höher als Politiker, zum Beispiel Datenbetrug im Internet (73 Prozent gegenüber 58 Prozent) oder Eingriffe in die Privatsphäre von Bürgern durch vernetzte Haustechnik (55 Prozent gegenüber 43 Prozent).
Wichtige Risiken [in Prozent der Nennungen | Quelle: Deloitte/Institut für Demoskopie Allensbach]
Spannende Unterschiede ergeben sich beim Thema "Soziale Medien" darüber hinaus in der Sichtweise der befragten Politiker. Deutlich mehr Vertreter der traditionellen Volksparteien sehen in deren steigendem Einfluss eher Risiken für die Gesellschaft (63 Prozent) als der Schnitt aller Politiker (50 Prozent). Zugleich sehen die Politiker der Volksparteien die Chancen der sozialen Netzwerke für die eigene Partei ebenfalls skeptischer als der Durchschnitt. Interessant auch: der Durchschnitt aller Abgeordneten nimmt zwar für die Gesellschaft insgesamt eher verstärkte Risiken als Chancen durch die sozialen Medien wahr. Für die eigene Partei dagegen werden genau hier überwiegend Chancen gesehen (62 Prozent). Generell kommen Politiker heute um eine Nutzung sozialer Medien offenbar nicht mehr herum und verfolgen laut Studie zu 73 Prozent, was dort über ihre Partei geäußert wird.
Prof. Dr. Renate Köcher, Geschäftsführerin des Instituts für Demoskopie Allensbach: "Soziale Medien verändern das Informationsverhalten und den politischen Diskurs gravierend. Die Tragweite dieser Entwicklung wird bisher nicht annähernd erkannt. Die Besorgnis vieler Abgeordneter ist durchaus verständlich."
Die Risikolandkarte verändert sich: Cyber-Angriffe auf Unternehmen
Auch die Vertreter der Unternehmen wurden zu ihrer Erfahrung mit sozialen Medien und sozialen Netzwerken befragt. Von ihnen sehen darin 55 Prozent für ihre Firmen eher Chancen als Risiken. Zugleich wurden 25 Prozent der Unternehmen schon einmal Opfer von Versuchen der Rufschädigung durch gezielte Falschinformationen im Internet und 46 Prozent der Wirtschaftsführer sehen in solchen Falschinformationen ein großes wirtschaftliches Risiko für ihr Unternehmen. Dennoch verzichten laut 48 Prozent der Befragten ihre Unternehmen darauf, Äußerungen in sozialen Netzwerken systematisch zu verfolgen. Neben dem verstärkten Missbrauch sozialer Medien wächst auch die Bedeutung von "klassischen" Cyber-Attacken deutlich. Von solchen wurden 85 Prozent der mittleren und großen Unternehmen in Mitleidenschaft gezogen, 28 Prozent davon sogar täglich. Bei Unternehmen mit mehr als 1000 Mitarbeitern steigt diese Zahl auf 40 Prozent. Auch insgesamt hat die Häufigkeit der Angriffe 2019 wieder zugenommen.
Bei Schlüsseltechnologien massive geopolitische Risiken
Eines der Themen, das derzeit in den Medien immer wieder im Zusammenhang mit der Absicherung von Unternehmen, öffentlicher Infrastruktur und Bürgern gegen Cyber-Angriffe diskutiert wird, ist die Einführung von Schlüsseltechnologien wie 5G. Zum Großteil stammt die dafür nötige Ausrüstung aus dem außereuropäischen Ausland, etwa aus China und den USA. Darin sehen viele Beobachter ein Sicherheitsrisiko. Aus Sicht von bemerkenswerten 89 Prozent der Abgeordneten und immer noch beachtlichen 71 Prozent der Top-Manager wäre es deshalb wichtig, dass solche Technologien stattdessen in Deutschland oder Europa selbst entwickelt werden. Sonst droht eine Abhängigkeit von den Herstellerländern, verbunden womöglich auch mit Sicherheitslücken in den Netzwerken durch Chips aus Drittstaaten. Zugleich sehen 50 Prozent der befragten Entscheider grundsätzlich eine drohende Gefahr durch staatliche Überwachung aus Drittländern, während nur 16 Prozent ein großes Risiko durch inländische staatliche Überwachung konstatieren. Das fundamentale Problem beim Thema der Schlüsseltechnologien ist dabei allerdings: Nur zu 6 Prozent sehen Wirtschaftsführer derzeit bei 5G überhaupt eine Alternative zur Technologie aus den erwähnten Ländern (Politiker: 7 Prozent). Ein Missstand, für den kurzfristig keine Lösung abzusehen ist.
Staat und Wirtschaft: gute Rahmenbedingungen, fehlender Austausch
Bedrohungsszenarien und Probleme – davon gibt es viele im Bereich Cyber Risk. Doch die Studie enthält durchaus auch positive und optimistisch stimmende Aussagen. So betrachten die meisten Unternehmensvertreter die rechtlichen Rahmenbedingungen für IT-Sicherheit in Deutschland als gut (58 Prozent). Politiker neigen allerdings dazu, die Bedeutung dieser Bedingungen für Investitionsentscheidungen von Unternehmen in Technologie oder Software zu überschätzen: 80 Prozent der Abgeordneten halten diese Rahmenbedingungen für wichtig bei Investitionen, aber nur etwa 29 Prozent der Wirtschaftsführer, jedenfalls wenn es um Technologie- oder Software-Investitionen geht. Die Wirtschaftsvertreter räumen dem Thema dafür wiederum speziell bei Cloud-Investitionen überwiegend große oder sehr große Bedeutung zu (66 Prozent).
Ein weiterer positiver Aspekt in der Studie ist die breite Akzeptanz der Möglichkeiten von Staat und Politik, zur Bekämpfung von Cyber-Risiken beizutragen: 89 Prozent der Wirtschaftsvertreter sehen hier Potenzial (Politiker: 100 Prozent). Auch gegenüber zukünftigen Erweiterungen der staatlichen Befugnisse sind Führungskräfte sehr aufgeschlossen. So befürworten 78 Prozent aller Top-Entscheider insgesamt ein aktives Eingreifen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) bei akuter Gefahr. Überraschend ist dabei vielleicht, dass eine Mehrheit der Wirtschaftsführer sich für ausgeweitete Regulationen im Bereich Cyber Security ausspricht. 51 Prozent der Unternehmensvertreter sind dafür, dass eine unabhängige Stelle die mögliche Zugehörigkeit ihres Unternehmens zur kritischen Infrastruktur (KRITIS) überprüft und nicht sie selbst. Sogar 68 Prozent der Wirtschaftsführer befürworten darüber hinaus die verbindliche Einführung eines IT-Sicherheitsbeauftragten ab einer bestimmten Unternehmensgröße (in großen Unternehmen ab 1000 Mitarbeitern: 82 Prozent der Wirtschaftsführer). Dazu passt, dass in der Mehrheit der großen Unternehmen eine Verbesserung der IT-Sicherheitslage im eigenen Haus durch die Einführung der EU-Datenschutzgrundverordnung konstatiert wird (53 Prozent). Staatliche Regelungen werden also grundsätzlich in vielen Fällen als nützlich betrachtet.
Allerdings gibt es auch wechselseitige Probleme im Zusammenspiel von Wirtschaft und Staat. Die Hälfte der Politiker fühlt sich nicht gut informiert über die Bedürfnisse der Wirtschaft in Sachen IT-Sicherheit. Andersherum sehen entsprechend auch nur 25 Prozent der Wirtschaftsführer die Cyber-Security-Bedürfnisse ihrer Unternehmen als vom Staat gut abgedeckt. Diese Probleme kommen denn auch in einem besonders ernüchternden Ergebnis der Befragung zum Vorschein: Eine deutliche Mehrheit sämtlicher Top-Entscheider beklagen einen mangelnden Austausch zwischen staatlichen Stellen und Privatwirtschaft (Abgeordnete: 83 Prozent, Wirtschaftsführer: 89 Prozent). Hier besteht offensichtlich noch ganz erheblicher Nachholbedarf. Dazu trägt vielleicht auch bei, dass das Zusammenspiel der diversen Behörden für außenstehende Beobachter derzeit nicht immer transparent wird. Ein gemeinsames Lagebild der verschiedenen öffentlichen Stellen sowie eine bundeseinheitliche Kontaktmöglichkeit beispielsweise auch für einzelne Bürger in Sachen Sicherheit könnten Schritte in die richtige Richtung darstellen.
Problembewusstsein stark ausgeprägt – Defizite bei der Umsetzung der Erkenntnisse
Ganz klar ergibt sich aus dem Cyber Security Report: Das Problembewusstsein in Politik und Wirtschaft für die fundamentale Bedeutung der IT-Sicherheit ist heute schon sehr stark ausgeprägt. Gerade deshalb ist es aber um so bemerkenswerter, wie viel Nachholbedarf manche Unternehmen noch bei der Umsetzung dieser Erkenntnis in entsprechende Abwehrmaßnahmen haben. Nicht immer werden aus der abstrakten Gefahreneinschätzung die entsprechenden konkreten Schlussfolgerungen gezogen. So ist etwa für 78 Prozent der Wirtschaftsführer aus dem produzierenden Gewerbe der Themenbereich Industrie 4.0 von großer Wichtigkeit, also beispielsweise die Vernetzung der Produktionsanlagen durch die schon erwähnte 5G-Technologie. Dennoch sehen nur 28 Prozent der Wirtschaftsentscheider, die sich mit diesem Thema nach eigener Aussage schon intensiv beschäftigt haben, dadurch zugleich auch deutliche Veränderungen für ihre Sicherheitsstrategie impliziert. Und dies trotz der Tatsache, dass mit der Verwendung vernetzter IoT-Technologien die Cyber-Risiken ganz offensichtlich zwangsläufig steigen.
Wie werden solche Risiken in den Unternehmen grundsätzlich identifiziert und bewertet? Nicht immer ist die Aufstellung hier auf dem neuesten Stand. Von allen befragten Wirtschaftsvertretern geben 27 Prozent an, dass ihre Firma dafür über keine definierten Prozesse verfügt. Im Handel sind das sogar 35 Prozent. Laut 74 Prozent der Führungskräfte werden in ihrem Unternehmen mündliche oder schriftliche Berichte zur Cyber-Risk-Kontrolle eingesetzt, aber nur 11 Prozent verwenden dafür definierte Kennzahlen (große Unternehmen: 28 Prozent). 37 Prozent der Befragten sagen, dass die Führung in ihrem Unternehmen nur anlassbezogen über Cyber-Sicherheit informiert wird. Regelmäßig oder fortlaufend wird dort über sie also nicht berichtet. Nur 47 Prozent der Unternehmen verlangen von Lieferanten, dass sie IT-Sicherheitsstandards einhalten. Know-how im Cyber-Security-Bereich beziehen 79 Prozent der Unternehmen vor allem von externen Dienstleistern. Lediglich 20 Prozent stellen dafür spezielle Fachkräfte ein, was auch mit den Problemen durch den Fachkräftemangel auf dem IT-Markt zu tun haben könnte: 35 Prozent aller Unternehmen haben größere Schwierigkeiten, ausreichend Fachleute für Cyber Security zu finden. Wobei von den meisten Unternehmen weniger der Staat als vielmehr die Wirtschaft selbst in der Pflicht gesehen wird, für qualifiziertes Personal im Bereich Cyber Security zu sorgen, beispielsweise durch Schulungen. Wirtschaftsvertreter sind interessanterweise deutlich häufiger (40 Prozent) dieser Ansicht als Politiker (21 Prozent). Ungeachtet dieses Details ist es aber jedenfalls angesichts der dargestellten Zahlen insgesamt wenig verwunderlich, dass nur 53 Prozent der Befragten ihr Unternehmen für ausreichend vorbereitet halten, wenn Cyber-Angreifer in interne Systeme eindringen sollten.
"Die Unternehmen ergreifen viele Maßnahmen zur Abwehr der Gefährdungen aus dem Cyber-Raum", sagt Peter Wirnsperger, Partner bei Deloitte und Leiter Cyber Risk. "Diese müssen aber viel systematischer in das Risikomanagement integriert werden."
Über den Cyber Security Report
Zum neunten Mal in Folge hat das Institut für Demoskopie Allensbach für den Cyber Security Report Hunderte von Führungskräften aus großen und mittleren Unternehmen sowie Abgeordnete des Bundestags, der Landtage und des Europaparlaments zu Cyber-Risiken und IT-Sicherheit befragt. Insgesamt wurden zwischen dem 26. Juni und dem 8. August 2019 für die von Deloitte in Auftrag gegebene Studie über 500 telefonische Interviews geführt.
[Quelle: Text basieend auf Cyber Security Report 2019, veröffentlicht von Deloitte/Institut für Demoskopie Allensbach]