Die Häufigkeit und die Schäden schwerwiegender Cyberattacken nehmen stark zu. Dennoch sind fast drei Viertel aller Unternehmen weder in der Lage, ihre wichtigsten Vermögenswerte, Strukturen und Prozesse zu identifizieren noch sie wirksam zu schützen. Zu diesem Ergebnis kommt eine aktuelle Analyse des Beratungsunternehmens Accenture. Laut dem neuen Accenture Security Index verfügt darüber hinaus nur jede dritte Organisation über die Fähigkeit, Bedrohungen sensibler Bestandteile ihres Geschäfts effektiv zu überwachen.
„Mit Blick auf die Cybersicherheit haben wir inzwischen einen Wendepunkt erreicht“, sagt Marius von Spreti, Leiter von Accenture Security in Deutschland, Österreich und der Schweiz. „Zwar haben sich viele Organisationen im Verlauf der letzten Jahre deutlich stärker abgesichert, die Maßnahmen reichen aber noch lange nicht aus, um mit der rasant wachsenden Professionalisierung hochmotivierter Angreifer Schritt zu halten. Unternehmen benötigen völlig neue Ansätze, um sich von innen heraus und über die gesamte Wertschöpfungskette hinweg zu schützen. Dafür ist eine neue, umfassende Definition von Cybersicherheit erforderlich, die in erster Linie auf die Auswirkungen für das Geschäft abstellt.“
Um zu messen, wie effektiv Unternehmen für Sicherheit sorgen und ob sie angemessen viel investieren, hat Accenture 2.000 Sicherheitsexperten in Unternehmen mit einem Jahresumsatz von mehr als einer Milliarde US-Dollar befragt. Die Ergebnisse dieser Umfrage in 15 Ländern und über 12 Branchen hinweg wurden in Zusammenarbeit mit Oxford Economics analysiert und zum Accenture Security Index aggregiert. Dieser Index basiert auf einem umfassenden Modell, das 33 spezifische Kompetenzen zur Cybersecurity misst. Er ist damit gut geeignet, die Leistungsfähigkeit von Sicherheitsmaßnahmen auch zwischen unterschiedlichen Unternehmen zu vergleichen.
Deutschland belegt drittletzten Platz
- Im internationalen Durchschnitt weisen Organisationen lediglich bei 11 der 33 Cyber-Security-Fähigkeiten zufriedenstellende Ergebnisse auf. Nur neun Prozent aller Unternehmen erzielten hohe Kompetenzwerte in mehr als 25 Schlüsselbereichen.
- Besonders großer Nachholbedarf besteht bei deutschen Unternehmen. Mit einem Wert von 26 Prozent rangieren Firmen hierzulande an drittletzter Stelle des globalen Rankings, gleichauf mit Australien. Dem folgt nur noch Spanien als Schlusslicht mit 22 Prozent.
- In Großbritannien, das mit Frankreich an der Spitze des Ländervergleichs rangiert, erzielt die durchschnittliche Organisation in 15 Kompetenzfeldern (44 %) eine herausragende Leistung. Brasilien (42 %) und Japan (40 %) belegen den dritten und vierten Platz, die USA landen mit 37 Prozent auf Platz fünf.
Überraschende Branchenunterschiede: Ernsthafte Lücken bei Life Sciences
Im Branchenvergleich belegen Kommunikationsunternehmen bei der Cybersicherheit den ersten Platz. Sie verfügen in 11 Kompetenzfeldern über exzellente Fähigkeiten und erzielen Bestwerte insbesondere beim Schutz und der Wiederherstellung wichtiger Assets (49 %) sowie der Überwachung geschäftsrelevanter Bedrohungen (47 %).
Banken zeigen in acht Kategorien ein gutes Kompetenzniveau, wobei Bedrohungsanalysen (47 %) und Cybersecurity im erweiterten Business-Ökosystem (44 %) hier besonders hervorstechen. Dem folgen High-Tech-Unternehmen mit Cybersecurity-Spitzenwerten bei sieben Schlüsselkompetenzen. Stark ausgeprägt sind hier die Fähigkeiten, eine sicherheitsbewusste Kultur zu schaffen (54 %) und sich von Cyberangriffen zu erholen (48 %).
Den letzten Platz im Ranking bildet die Pharma- und Medizinprodukteindustrie mit einem Kompetenzwert von nur 19 Prozent. Im Durchschnitt erreichen Unternehmen der Branche in nur sechs Feldern ein hinreichendes Expertise-Niveau. Bis auf eine Ausnahme erzielen Pharmaunternehmen außerdem in allen Kompetenzkategorien die niedrigsten Werte – unter anderem bei der Fähigkeit, notwendige Stakeholder einzubinden (12 %) oder wichtige Assets zu schützen (13 %).
„In der Ära neuer Plattform-Modelle und der zunehmenden Organisation von Wertschöpfung mit externen Partnern in Ecosystemen wächst auch die Angriffsfläche für Attacken auf Organisationen“, sagt von Spreti. „Unternehmen sollten Cybersicherheit daher als Fundament ihrer künftigen digitalen Geschäftsmodelle betrachten. Absoluter Schutz ist dabei kaum möglich und aus Investitionsgesichtspunkten auch nicht erstrebenswert. Im Mittelpunkt sollte stattdessen eine intelligente und flexible Verteidigung der Schlüsselfunktionen liegen, die Systemausfälle vermeidet und eine schnelle Wiederherstellung ermöglicht.“