Im Interview erläutert Thomas Schumacher, Leiter Cybersecurity bei Accenture, die Herausforderungen und Lösungsansätze im Umgang mit Cybergefahren, basierend auf der 'The Cyber-Resilient CEO'-Studie von Accenture. (Bild: Accenture)
Die Studie 'The Cyber-Resilient CEO' unterstreicht, dass viele CEOs sich nicht proaktiv mit dem Thema Cybersicherheit auseinandersetzen. Wie hat sich das Bewusstsein der Führungskräfte in der Industrie gegenüber Cyberangriffen verändert, und welche neuen Erkenntnisse liefert die Studie dazu?
Thomas Schumacher: Die Studie zeigt, dass CEOs heute die Bedrohung durch Cyberangriffe erkennen, was mein persönliches Bauchgefühl mit konkreten Zahlen bestätigt. Ein wichtiges Ergebnis ist, dass 96 Prozent der Geschäftsführer angeben, dass Cyber-Sicherheit entscheidend für das Unternehmenswachstum und die Stabilität ist, ein positiver Wandel im Vergleich zu vor zwei, drei Jahren.
Die Unternehmensleiter erkennen nun auch Cybersicherheit als Differenzierungsmerkmal für Produkte und Dienstleistungen an. Allerdings offenbart die Studie zwei fundamentale Fehleinschätzungen der CEOs: 44 Prozent sehen Cybersicherheit als episodisch und nicht kontinuierlich an, und 54 Prozent denken, dass die Implementierung teurer ist als die Kosten eines Cyberangriffs. Aktuelle Zahlen aus Deutschland widerlegen diese Annahmen, da Unternehmen laut Bitkom 9,2 Milliarden Euro für IT-Sicherheit ausgeben, während der Schaden durch Cyberangriffe 148 Milliarden Euro beträgt.
Über die Studie 'The Cyber-Resilient CEO'
- Accenture Research befragte 1.000 CEOs großer Unternehmen (Umsatz > 1 Milliarde US-Dollar) aus 19 Branchen und 15 Ländern.
- Ziel war die Ermittlung der Cyberresilienz und des Geschäftsansatzes im Bereich Cybersecurity.
- Die Umfrage fand im Juni 2023 online statt.
- Die Studie ist online verfügbar.
Wie könnte man die Fehleinschätzungen korrigieren?
Schumacher: Viele CEOs haben laut der Studie ein eingeschränktes Verständnis von Cybersicherheit und handeln nicht proaktiv. Sie glauben, sie könnten Cybersicherheit einfach delegieren. Es sollte jedoch zu ihren Aufgaben gehören, die Stabilität des Unternehmens sicherzustellen und Schaden abzuwenden. Die Frage stellt sich, ob diese Angelegenheit delegiert werden kann oder ob sie eine eigene Verantwortung der Unternehmensleiter darstellt, wobei letzteres meiner Ansicht nach zutrifft.
Betrachten wir den Fall des Software-Unternehmens SolarWinds, der zu einem der bekanntesten Supply-Chain-Angriffe der letzten Jahre zählt. Hier wurde deutlich, dass Geschäftsführer das gesamte Ecosystem in ihre Sicherheitsbemühungen einbeziehen müssen, da Cybersecurity nicht nur innerhalb des Unternehmens, sondern entlang der gesamten Wertschöpfungskette Priorität haben sollte. Zum Präzedenzfall wurde SolarWinds, da die US-amerikanische Aufsichtsbehörde SEC Strafanzeige gegen das Unternehmen und den CISO erstattet hat. Die Frage bleibt, ob in der Zukunft beispielsweise auch der CEO zur Verantwortung gezogen wird, da dieser stellvertretend für das Unternehmen steht. Zu seinen Aufgabengebieten gehört es sicherzustellen, dass potenzielle Risiken erkannt werden.
Hier können Sie die Ergebnisse zur Studie lesen:
Fünf Maßnahmen für eine stärkere Cyberresilienz hat Accenture identifiziert. Das Ergebnis der Studie: Der Großteil der CEOs sieht ihre Unternehmen nicht gewappnet gegen Cyberangriffe. Diese fünf Maßnahmen gibt es für eine stärkere Cyberresilienz. Hier können Sie den Artikel zur Studie lesen.
Wie können sich Unternehmen auf die zunehmende Verbreitung generativer KI als neue Bedrohung vorbereiten?
Schumacher: Generative KI bietet Unternehmen Effizienzgewinne und die Möglichkeit zur Entwicklung fortschrittlicher Produkte. Im Sicherheitsbereich ergeben sich sowohl Chancen als auch Herausforderungen. Generative KI unterstützt Unternehmen dabei, schwer erkennbare Cyberangriffe schneller zu erkennen. Positiv betrachtet verbessert Generative KI die Effizienz von Sicherheitsprodukten. Gleichzeitig ermöglicht sie jedoch Cyberkriminellen, schneller und personalisierter vorzugehen, wie etwa mit individualisierten Ransomware-Angriffen.
Die Intensität und Professionalität von Angriffen dürften steigen, was das Gesamtrisiko erhöht. Die Herausforderung besteht darin, generative KI sowohl als Schutzmechanismus als auch als potenzielle Bedrohung zu betrachten.
Alles über Cybersecurity
Mehr zum Thema Cybersecurity erfahren Sie in den folgenden Artikeln:
- Cybersecurity im Maschinenbau - Das müssen Sie wissen
- Cybercrime: So wollen Maschinenbau und BKA zusammenarbeiten
- Cybersecurity: Der Mensch steht im Ziel der Attacke
- Mit diesen Tipps schützen Sie Ihr Unternehmen gegen Cyber-Angriffe
- Cybersecurity: Über die Risiken Mensch und Maschine
- Ukraine-Krieg: Drohen dem Maschinenbau Cyberattacken?
Welche Erkenntnisse können Unternehmen von den cyberresilienten CEOs ziehen, und gibt es Gemeinsamkeiten in dieser Gruppe?
Schumacher: Gemeinsamkeiten bei resilienten CEOs sind nicht auf eine bestimmte Branche beschränkt, sondern scheinen auf einer persönlichen Einstellung zu basieren, möglicherweise durch negative Erfahrungen geprägt. Resiliente Unternehmensleiter, besonders jene, die bereits Cyberangriffe erlebt haben, erkennen die Notwendigkeit, Cybersecurity ernsthaft in alle Unternehmensaspekte zu integrieren.
Nicht nur CEOs, sondern auch CISOs sollten pragmatisch mit Sicherheitsthemen umgehen. Resiliente Geschäftsführer integrieren Sicherheitsmaßnahmen von Anfang an, setzen klare Budgets und Verantwortlichkeiten und messen Mitarbeiter an ihrer Berücksichtigung von Sicherheitsaspekten.
In der Umfrage sind 68 CEOs aus Deutschland vertreten. Wie schneiden sie im Vergleich zu den globalen Ergebnissen ab?
Schumacher: Generell spiegeln die globalen Herausforderungen auch die Situation deutscher Unternehmen wider. Das zeigen auch die Antworten der deutschen CEOs in unserer Studie. Diese decken sich größtenteils mit dem globalen Durchschnitt.
Meiner Einschätzung nach stellt die Struktur der deutschen Unternehmenslandschaft, besonders im Mittelstand, eine Herausforderung dar. Mittelständische Unternehmen laufen möglicherweise in Gefahr, die Relevanz von Cybersecurity aufgrund mangelnder Ressourcen und fehlendem Know-How zu unterschätzen. Doch die Realität zeigt, dass auch mittelständische Unternehmen ins Visier von Cyberangreifern geraten können – oftmals mit gravierenden Konsequenzen.
Diese fünf Maßnahmen für eine umfassende Cyberresilienz empfiehlt Thomas Schumacher:
- Verankern Sie die Cyberresilienz von Anfang an in der Unternehmensstrategie. Dies umfasst die Einbeziehung von Cybersicherheitskennzahlen in das strategische Management sowie die regelmäßige Überwachung durch ein Management Cockpit.
- Etablieren Sie eine gemeinsame Verantwortung für Cyberresilienz in der Führungsebene und fördern Sie eine enge Zusammenarbeit mit den Chief Information Security Officers (CISOs).
- Verschaffen Sie sich eine klare Kenntnis über den digitalen Kern Ihres Unternehmens und stellen Sie entsprechende Budgets für Cybersicherheit bereit. Passen Sie die Budgets kontinuierlich den sich entwickelnden Bedrohungen an, insbesondere im Hinblick auf künstliche Intelligenz (KI).
- Integrieren Sie die gesamte Lieferkette in Ihre Cybersicherheitsstrategie. Cyberresiliente CEOs überwachen Dienstleister und Liefernetzwerke regelmäßig, um Sicherheitsstandards zu kontrollieren.
- Legen Sie den Fokus auf eine kontinuierliche Cyberresilienz, um Angreifern einen Schritt voraus zu sein. Unterstützen Sie Sicherheitsexperten durch die Teilnahme an Konferenzen, fördern Sie den Austausch mit anderen Unternehmen – vielleicht sogar mit Wettbewerbern – und etablieren Sie Gruppen, die sich proaktiv mit aufkommenden Technologien, Chancen und Risiken auseinandersetzen.
Die Autorin Lilli Bähr ist Redakteurin bei mi-connect und widmet sich den Themen Robotik & Automation, Digitalisierung sowie Nachhaltigkeit. Als Biologin kombiniert sie ihre wissenschaftliche Neugier mit einer Leidenschaft für das Schreiben. In ihrer Freizeit engagiert sie sich für den Umwelt- und Naturschutz und auch sonst zieht es sie oft in die Natur, wo sie ihre kreativen Fähigkeiten beim Fotografieren auslebt.
