Cyber Security Report 2018 | Risk Advisory | Deloitte Deutschland

Article

Digitalisierung – eine sichere Sache? Der Deloitte Cyber Security Report 2018

Der neue Report von Deloitte und IfD Allensbach zeigt, wie Politik und Wirtschaft in Deutschland die Themenfelder Cyber Security und Digitalisierung sehen

Digitale Geschäftsmodelle – aber sicher! Big Data, KI und Industrie 4.0 sind Megatrends unserer Zeit. Doch das Potenzial dieser Technologien für neue Produkte und Services kann nur zur Entfaltung gelangen, wenn die Umsetzung von Anfang an das Thema Cyber Security mitberücksichtigt. Ob beim Zugriff auf eine Website, die Cloud oder mobile Apps – der Kunde will seine Sicherheit garantiert sehen. Und für die zunehmend digitalen Business-Prozesse in den Firmen ist Cyber Protection sowieso von immer größerer Bedeutung. Eine enorme Aufgabe, bei der sowohl Unternehmen als auch Politik gefordert sind.

Für den Deloitte Cyber Security Report 2018 wurden deshalb erneut Entscheider aus Wirtschaft und Politik zum Thema befragt. Wie hat sich das Bewusstsein für Digitalisierung, Cyber-Bedrohungen und Schutzmaßnahmen entwickelt? In welchen Bereichen wird noch Nachholbedarf gesehen? Erfahren Sie im Folgenden mehr zu den Highlights aus dem Bericht.

Vertrauen der Öffentlichkeit in der Ära von Fake News? Big Data zu Zeiten von Hacks und Leaks? Immer wieder kommt es zu Aufsehen erregenden Server-Angriffen und anderen Cyber-Vorfällen. Zuletzt machten die Datenlecks beim sozialen Netzwerk Google+ Schlagzeilen. Natürlich häufen sich die Beispiele nicht nur international, sondern auch in Deutschland: 2017 wurden etwa Bundesbehörden attackiert und erst jüngst die IT-Systeme des Konzerns RWE. Die vielen Zwischenfälle erinnern mit Macht daran: Eine erfolgreiche Digitalisierung steht und fällt mit Cyber Security

Und das Thema ist längst nicht nur technischer Natur, sondern beinhaltet deutlich mehr als Detailfragen für die IT-Abteilung. Die Sicherheit von Daten, Anlagen und Werten setzt ganz zentral auch einen Kulturwandel – ein neues Mindset – bei allen Beteiligten voraus. Wie es um diesen Bewusstseinswandel bei uns in Deutschland derzeit steht, beleuchtet nun die umfangreiche neue Studie von Deloitte. Das Institut für Demoskopie Allensbach hat dafür 528 Entscheider aus Wirtschaft und Politik repräsentativ befragt. Ein Beitrag zur Aufklärung, mit dem Deloitte als kompetenter Vermittler den Dialog zwischen Wirtschaft und Politik belebt

Der Aufbruch in die Digitalisierung

Die Zukunft Deutschlands ist digital – und es bewegt sich derzeit einiges bei diesem Thema. Dass die Digitalisierung heute auch von der Politik wirklich ernst genommen wird, zeigt etwa der Koalitionsvertrag der Bundesregierung vom März 2018 mit vielen neuen Zielen und Initiativen zu diesem Bereich. Die hohe Gewichtung des Themas wird auch von den befragten Entscheidern anerkannt. So billigen 90% der Entscheider dem Staat zu, dass er „viel bis sehr viel“ zur Digitalisierung beitragen könne. Zugleich sind 85% der Führungskräfte aus der Wirtschaft der Meinung, dass der Staat dabei noch mehr beitragen könnte. Auch 68% der befragten Politiker stimmen dem zu.

Die Befragungsergebnisse zeigen darüber hinaus, dass die Unternehmen sich bislang vorrangig mit der Umsetzung von Industrie 4.0 befassen. Hier spiegelt sich auch Deutschlands starke wirtschaftliche Ausrichtung auf das produzierende Gewerbe wider. Die Führungskräfte aus Politik und Wirtschaft sind dabei gleichzeitig zu einem sehr hohen Anteil der Meinung (75% bzw. 83%), dass mit Industrie 4.0 auch die Gefahr von Cyber Angriffen auf Unternehmen steigen wird. Mit dem Einsatz von Technologien aus den Feldern Big Data und insbesondere Künstliche Intelligenz agieren die deutschen Unternehmen dagegen noch verhalten. Vor dem Hintergrund der schnellen technologischen Entwicklung in diesen Bereichen eindeutig ein dringendes Handlungsfeld für Unternehmen und Politik.

Von Viren bis Fake News – Szenarien der Bedrohung

Die digitale Wirtschaft wächst und damit auch das Cyber Risk. Es überrascht nicht, dass viele Gefahren in den Augen der Entscheider sogar zunehmen. Top 3 der Bedrohungen für die Bürger sind aus ihrer Sicht Computerviren und Schadsoftware, Datenbetrug im Netz sowie Fake News. Gerade letzteres, die Manipulation der öffentlichen Meinung über soziale Netzwerke, ist derzeit ein höchst brisantes Thema, das im Jahr 2018 75% der Befragten als Risiko einschätzen (Vorjahr: 67%). Auffällig bei vielen Risiken: Die Wirtschaftsführer bewerten sie meist als deutlich gravierender als die Politiker. Ein deutlicher Unterschied ergibt sich etwa bei der Einschätzung der Gefahr der Überwachung deutscher Bürger durch fremde Staaten: 58% der Wirtschaftsführer halten sie für groß, 40% der Politiker teilen diese Einschätzung. Ähnlich auch die Lage bei Risiken durch Computerviren, Ransomware und andere schädliche Software bzw. Malware, Datenmissbrauch durch andere Nutzer sowie durch eine Gefährdung der Privatsphäre durch vernetzte Haustechnik und andere IoT-Appliances.

Kein Wunder, gibt doch nahezu die Hälfte (46%) der Unternehmen an, täglich bis wöchentlich angegriffen zu werden. Die Unterschiede zwischen Wirtschaft und Politik in der Bewertung der Risiken deuten auf die Notwendigkeit eines intensivierten Dialogs unter den unterschiedlichen Entscheidern. Was folgenschwere Angriffe auf kritische Infrastrukturen in Deutschland angeht, stimmt die Ansicht der Befragten besonders nachdenklich: Nur 14 Prozent der Abgeordneten und 10 Prozent der Wirtschaftsführer glauben, dass Deutschland hierauf „so gut wie möglich“ vorbereitet ist. Hier gibt es offensichtlich großen Nachholbedarf. Wie sollte nun bei der Eindämmung der unterschiedlichen Risiken vorgegangen werden?

Perspektiven für den Cyber-Schutz – vorbeugen, informieren, zurückschlagen?

Der Ernst der Bedrohungslage ist eindeutig. Wie sehen die Entscheider die Möglichkeiten zur Abwehr von Hackerangriffen & Co.? 60% der Politiker glauben, ein wirksamer Schutz sei möglich – aber nur 32% der Führungskräfte. Diese augenscheinliche Skepsis der Wirtschaft ist vielleicht als pragmatischer Realismus erklärbar. Dahinter könnte die Erfahrung aus der Praxis stecken, dass ein absolut hundertprozentiger Schutz vor jedem einzelnen „Cyber Threat“-Typus weder technisch machbar noch kostenmäßig tragbar ist. Statt der Suche nach immens aufwendigen Lösungen für eine totale Abwehr setzen immer mehr Unternehmen in der Cyber Protection etwa auf Strategien der Resilienz, die auch unter akutem Angriff noch wirksam sind. Aber wie sieht es mit dem Staat aus? Die Wirtschaft verantwortet die aktive Eindämmung ihrer Cyber Risiken zwar zunächst selbst. Trotzdem ist sie – und letztlich die gesamte Gesellschaft – auch darauf angewiesen, dass der Staat die richtigen Rahmenbedingungen schafft und im Krisenfall unterstützend eingreift. Die Mehrheit sowohl der Abgeordneten als auch der Wirtschaftsführer hat Zweifel an der Angemessenheit der Ausstattung staatlicher Stellen hinsichtlich der für die Aufgaben erforderlichen hohen Fachkompetenz, zum Beispiel wenn es um die Schaffung gesetzlicher Rahmenbedingungen bei der IT-Sicherheit geht.

Dennoch glauben immerhin 56% der Wirtschaftsführer, dass der Staat grundsätzlich Unternehmen bei Cyber-Angriffen wirkungsvoll unterstützen könnte. Die Politiker sind hier mit 75% noch optimistischer. Die Frage ist nur, wie dieser Support aussehen soll. Die Befragung ergibt hier klare Präferenzen unter den Entscheidern: Sie befürworten ein staatliches Warnsystem bei Cyber-Angriffen (74%), eine aktuelle staatliche Information für Unternehmen über neue IT-Risiken oder Schutzmöglichkeiten (67%) und die Unterstützung durch den Staat bei der Abwehr eines Cyber-Angriffs auf eine Firma (62%). Es gibt aber auch deutlich umstrittenere Bereiche der Cyber Abwehr: Gegenangriffe auf IT-Strukturen der Täter durch staatliche Stellen, der sogenannte „Hack-Back“, etwa bei einem Denial of Service Angriff aus dem Web oder bei einem Diebstahl von Daten aus der Cloud. Findet ein Cyber-Angriff statt, ist ein Gegenangriff schließlich in manchen Situationen womöglich die beste Verteidigung, etwa durch Stilllegung der angreifenden Server oder durch das Löschen von entwendeten Daten. Tatsächlich verschwimmen in diesem Bereich die Grenzen zwischen einer klaren Definition von Angriff und Verteidigung zunehmend. Die Bundesregierung befasst sich derzeit denn auch mit der Gestaltung eines rechtlichen Rahmens für solche Maßnahmen. Ihre Beurteilung auf Seiten der Politiker unterscheidet sich stark je nach politischem Lager: CDU, CSU und FDP sind mit großer Mehrheit dafür, SPD, Grüne und Linke mit noch deutlicherer Mehrheit dagegen, die AfD ist neutral. 54% der Führungskräfte aus Unternehmen befürworten grundsätzlich das Instrument des staatlichen Hack-Back. Selbst in die Hand nehmen sollten betroffene Unternehmen dieses scharfe Instrument allerdings nicht, da sind sich Führer aus Politik und Wirtschaft wiederum einig. Ein Recht auf einen eigenen Hack-Back, quasi als Selbstverteidigung, finden nur je 10% der Befragten sinnvoll.

Es gibt noch deutlichen Handlungsbedarf, um Cyber-Sicherheit in Deutschland ganzheitlich gut aufzustellen und der Kritikalität von Cyber-Bedrohungslagen einheitlich bewusst zu werden.

                                                                                                                    Peter J. Wirnsperger, Cyber Risk Leader

Cyber Security: Zusammenwirken von Staat und Wirtschaft

Keine Frage, es gibt noch sehr viel zu tun, wie die Ergebnisse des Deloitte Cyber Security Report 2018 zeigen. Wichtig sind nun vor allem übergeordnete Strategien zu Digitalisierung und Cyber Security. Aber eben auch eine Evaluierung ihrer Umsetzung und eine fortgesetzte, vertiefte Kommunikation zwischen den Stakeholdern. Nur so kann die teils mangelnde Transparenz überwunden und ein breiteres gemeinsames Problembewusstsein geschaffen werden. Der Staat und die Wirtschaft sind gleichermaßen gefordert, die Zukunftsaufgabe Cyber Security konkret anzupacken. Teilweise ist noch ein schwach ausgeprägtes Bewusstsein für einzelne Aspekte des Themas zu verzeichnen. So sind etwa die Hälfte der Wirtschaftsführer der Meinung, für ihr Unternehmen gäbe es keine gesetzlichen regulatorischen Vorgaben im Bereich IT-Sicherheit. Die Zahl ist zwar im Vergleich zu 2017 leicht zurückgegangen, verblüfft aber immer noch, insbesondere angesichts der jüngsten Implementierung der EU-Datenschutz-Grundverordnung (EU-DSGVO). Offensichtlich erkennen die Befragten die DSGVO-Regulierung nicht als Security-Maßnahme an, obwohl viele Maßnahmen im Gesamtkanon der Cyber-Protection enthalten sind.

Aber auch über die reine Compliance hinaus muss in den Unternehmen die strategische Bedeutung von Cyber Security thematisiert werden. IT-Sicherheit ist heute kein Nebenthema mehr, sondern eine zentrale Managment-Aufgabe – auch für die Geschäftsführung und den Aufsichtsrat. Die Experten von Deloitte raten dabei für die Umsetzung zum Konzept der Resilienz. Die Vorstellung einer durch Abwehrmaßnahmen erreichbaren Unverwundbarkeit wird hierbei aufgegeben. Stattdessen werden Assets nach strategischen Gesichtspunkten eingestuft und individuell geschützt. So kann das angegriffene Unternehmen auch während eines Zwischenfalls weiter handlungsfähig bleiben. Zu einer sinnvollen Cyber Security Aufstellung gehören außerdem klare, dedizierte Verantwortlichkeiten, Cyber Risk Reporting, War Gaming und ein Wandel der Unternehmenskultur. Wer sich für die attraktiven Potenziale der Digitalisierung fit machen und gegen die drohenden Cyber-Gefahren wappnen will, muss sich den Herausforderungen mit ständiger Wachsamkeit und Weiterentwicklung stellen – am besten im offenen Dialog mit Wirtschaft, Politik und Experten.

Der Staat muss mit den Angreifern Schritt halten können, dazu braucht es auch die Fähigkeit und die Befugnisse zu einer aktiven Cyber-Abwehr.


                                                                           Katrin Rohmann, Government & Public Services Industry Leader

Weitere interessante Inhalte

Bereits letztes Jahr hat Deloitte In Zusammenarbeit mit dem Institut für Demoskopie Allensbach die repräsentative Trendstudie durchgeführt, um den Stand der Cyber-Security in Deutschland zu erheben. 

Den ersten Teil der Studie mit Schwerpunkt Politik und der zweite Teil mit Schwerpunkt Wirtschaft erhalten Sie hier:

Erfahren Sie zudem mehr über den European Cyber Defense Report 2018 , der staatliche Strukturen und Maßnahmen der Cyberabwehr im internationalen Vergleich analyisert und erstmalig einen aktuellen und kompakten Überblick über die nationalen Strategien, Akteure und Initiativen europäischer Staaten zur Abwehr von Cyberbedrohungen bietet. Im zweiten Teil des Reports haben wir vier mögliche Szenarien zum Stand der Cybersicherheit in Europa im Jahr 2030 entwickelt, die mithilfe von Szenariodesign einen Blick in die Zukunft werfen.