Cyber Security Report 2018 | Risk Advisory | Deloitte Deutschland

Article

Fake News, Datendiebstahl & Co. – der Deloitte Cyber Security Report 2019

Die Bedrohung wächst, der Handlungsdruck auch: Die neue Studie von Deloitte und IfD Allensbach zeigt, wie deutsche Führungskräfte das Thema Cyber-Risiken einschätzen.

Sicherheit in der IT-Technologie – das ist heute längst ein zentrales Problem für die ganze Gesellschaft. Wie beurteilen Wirtschaft und Politik die aktuelle Cyber-Security-Lage? Zum neunten Mal wurden dazu im Deloitte Cyber Security Report Top-Entscheider aus Unternehmen und Parteien befragt. Klare Antwort: die Bedeutung des Themas nimmt weiter zu, die Risiken steigen an. Zugleich herrscht aber immer noch deutlicher Nachholbedarf bei Gegenmaßnahmen. Besonders markant: die Manipulation der öffentlichen Meinung durch Fake News wird von den Teilnehmern 2019 erstmals als größte Cyber-Gefahr für Deutschland gesehen. Die wichtigsten Ergebnisse der Studie im Überblick.

Die Digitalisierung schreitet unaufhaltsam voran. Kundenwünsche ändern sich, neue Geschäftsmodelle entstehen, disruptive Innovationen haben Hochkonjunktur. Doch ebenso steigt die Bedrohung durch Cyber-Risiken aller Art. Verbraucher wollen sich bei der Nutzung von Dienstleistungen sicher fühlen, Unternehmen müssen bei Hacks hohe Kosten fürchten – auch für ihre Reputation. Und von der Politik wird erwartet, dass sie nicht nur die eigenen staatlichen Assets schützt, sondern für die gesamte Gesellschaft die richtigen Rahmenbedingungen für mehr Sicherheit in der Informationstechnologie schafft. Was sind derzeit die größten Bedrohungen und mit welchen Abwehrmaßnahmen reagieren Deutschlands Entscheider aus Wirtschaft und Politik? Für die neue Studie von Deloitte und dem Institut für Demoskopie Allensbach äußerten sich deutsche Top-Manager sowie Abgeordnete aus Bundestag, Landtagen und EU-Parlament in rund 500 detaillierten telefonischen Interviews.

Soziale Medien als Chance und Risiko

Einer der größten gesellschaftlichen Umbrüche des letzten Jahrzehnts ist der Siegeszug der sozialen Medien. Sie vernetzen User aus aller Welt und eröffnen neue Kommunikationswege für Unternehmen. Inzwischen ist aber auch die Kehrseite dieser Medaille unübersehbar. Soziale Medien können ebenso als Instrument der Manipulation der öffentlichen Meinung dienen, etwa durch gezielte Falschmeldungen oder verzerrte Darstellung von Sachverhalten. Durch zielgruppen-orientierte Platzierung verbreiten sich diese dann viel schneller als in etablierten Medien, ohne dass ein eindeutiger Urheber oder Verleger presserechtliche Verantwortung übernehmen würde. Dahinter stecken dann beispielsweise mutmaßlich ausländische Geheimdienste oder andere verdeckte Interessensgruppen. Das Thema „Fake News“ beherrscht heute die Schlagzeilen und ist so drängend, dass es 2019 erstmals den Sprung auf den unrühmlichen „Platz 1“ der Liste der wichtigsten Cyber-Risiken geschafft hat – sicherlich eines der aufsehenerregendsten Ergebnisse der Studie. Beachtliche 74 % der Entscheider aus Wirtschaft und Politik halten diese unlautere Beeinflussung für ein „großes Risiko“ für die Menschen in Deutschland, und zwar noch vor „klassischeren“ Cyber Crimes wie Datenbetrug im Internet (70 %), Diebstahl privater Daten bzw. Informationen durch Cyber-Angriffe (67 %) oder Computerviren und Schadsoftware (65 %). Bei der allgemeinen Risikoeinschätzung bewerten dabei Unternehmensvertreter viele Gefahren noch deutlich höher als Politiker, zum Beispiel Datenbetrug im Internet (73 % gegenüber 58 %) oder Eingriffe in die Privatsphäre von Bürgern durch vernetzte Haustechnik (55 % gegenüber 43 %).

Spannende Unterschiede ergeben sich beim Thema „Soziale Medien“ darüber hinaus in der Sichtweise der befragten Politiker. Deutlich mehr Vertreter der traditionellen Volksparteien sehen in deren steigendem Einfluss eher Risiken für die Gesellschaft (63 %) als der Schnitt aller Politiker (50 %). Zugleich sehen die Politiker der Volksparteien die Chancen der sozialen Netzwerke für die eigene Partei ebenfalls skeptischer als der Durchschnitt. Interessant auch: der Durchschnitt aller Abgeordneten nimmt zwar für die Gesellschaft insgesamt eher verstärkte Risiken als Chancen durch die sozialen Medien wahr. Für die eigene Partei dagegen werden genau hier überwiegend Chancen gesehen (62 %). Generell kommen Politiker heute um eine Nutzung sozialer Medien offenbar nicht mehr herum und verfolgen laut Studie zu 73 %, was dort über ihre Partei geäußert wird.


Wirtschaft und Politik müssen bei der Cyber-Sicherheit eng zusammenwirken. Hierfür gibt es gute Ansätze und eine hohe Bereitschaft diese stetig entsprechend der zunehmenden Komplexität der Risiken fortzuentwickeln.

  Katrin Rohmann, Government & Public Services Industry Leader

Cyber Security Report 2019 auf einen Blick

Tendenz steigend: Cyber-Angriffe auf Unternehmen

Auch die Vertreter der Unternehmen wurden zu ihrer Erfahrung mit sozialen Medien und sozialen Netzwerken befragt. Von ihnen sehen darin 55 % für ihre Firmen eher Chancen als Risiken. Zugleich wurden 25 % der Unternehmen schon einmal Opfer von Versuchen der Rufschädigung durch gezielte Falschinformationen im Internet und 46 % der Wirtschaftsführer sehen in solchen Falschinformationen ein großes wirtschaftliches Risiko für ihr Unternehmen. Dennoch verzichten laut 48 % der Befragten ihre Unternehmen darauf, Äußerungen in sozialen Netzwerken systematisch zu verfolgen. Neben dem verstärkten Missbrauch sozialer Medien wächst auch die Bedeutung von „klassischen“ Cyber-Attacken deutlich. Von solchen wurden 85 % der mittleren und großen Unternehmen in Mitleidenschaft gezogen, 28 % davon sogar täglich. Bei Unternehmen mit mehr als 1000 Mitarbeitern steigt diese Zahl auf 40 %. Auch insgesamt hat die Häufigkeit der Angriffe 2019 wieder zugenommen.

Sicherheitsprobleme bei den Schlüsseltechnologien

Eines der Themen, das derzeit in den Medien immer wieder im Zusammenhang mit der Absicherung von Unternehmen, öffentlicher Infrastruktur und Bürgern gegen Cyber-Angriffe diskutiert wird, ist die Einführung von Schlüsseltechnologien wie 5G. Zum Großteil stammt die dafür nötige Ausrüstung aus dem außereuropäischen Ausland, etwa aus China und den USA. Darin sehen viele Beobachter ein Sicherheitsrisiko. Aus Sicht von bemerkenswerten 89 % der Abgeordneten und immer noch beachtlichen 71 % der Top-Manager wäre es deshalb wichtig, dass solche Technologien stattdessen in Deutschland oder Europa selbst entwickelt werden. Sonst droht eine Abhängigkeit von den Herstellerländern, verbunden womöglich auch mit Sicherheitslücken in den Netzwerken durch Chips aus Drittstaaten. Zugleich sehen 50 % der befragten Entscheider grundsätzlich eine drohende Gefahr durch staatliche Überwachung aus Drittländern, während nur 16 % ein großes Risiko durch inländische staatliche Überwachung konstatieren. Das fundamentale Problem beim Thema der Schlüsseltechnologien ist dabei allerdings: Nur zu 6 % sehen Wirtschaftsführer derzeit bei 5G überhaupt eine Alternative zur Technologie aus den erwähnten Ländern (Politiker: 7 %). Ein Missstand, für den kurzfristig keine Lösung abzusehen ist.

Staat und Wirtschaft: gute Rahmenbedingungen, fehlender Austausch

Bedrohungsszenarien und Probleme – davon gibt es viele im Bereich Cyber Risk. Doch die Studie enthält durchaus auch positive und optimistisch stimmende Aussagen. So betrachten die meisten Unternehmensvertreter die rechtlichen Rahmenbedingungen für IT-Sicherheit in Deutschland als gut (58 %). Politiker neigen allerdings dazu, die Bedeutung dieser Bedingungen für Investitionsentscheidungen von Unternehmen in Technologie oder Software zu überschätzen: 80 % der Abgeordneten halten diese Rahmenbedingungen für wichtig bei Investitionen, aber nur etwa 29 % der Wirtschaftsführer, jedenfalls wenn es um Technologie- oder Software-Investitionen geht. Die Wirtschaftsvertreter räumen dem Thema dafür wiederum speziell bei Cloud-Investitionen überwiegend große oder sehr große Bedeutung zu (66 %).

Ein weiterer positiver Aspekt in der Studie ist die breite Akzeptanz der Möglichkeiten von Staat und Politik, zur Bekämpfung von Cyber-Risiken beizutragen: 89 % der Wirtschaftsvertreter sehen hier Potenzial (Politiker: 100 %). Auch gegenüber zukünftigen Erweiterungen der staatlichen Befugnisse sind Führungskräfte sehr aufgeschlossen. So befürworten 78 % aller Top-Entscheider insgesamt ein aktives Eingreifen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) bei akuter Gefahr. Überraschend ist dabei vielleicht, dass eine Mehrheit der Wirtschaftsführer sich für ausgeweitete Regulationen im Bereich Cyber Security ausspricht. 51 % der Unternehmensvertreter sind dafür, dass eine unabhängige Stelle die mögliche Zugehörigkeit ihres Unternehmens zur kritischen Infrastruktur (KRITIS) überprüft und nicht sie selbst. Sogar 68 % der Wirtschaftsführer befürworten darüber hinaus die verbindliche Einführung eines IT-Sicherheitsbeauftragten ab einer bestimmten Unternehmensgröße (in großen Unternehmen ab 1000 Mitarbeitern: 82 % der Wirtschaftsführer). Dazu passt, dass in der Mehrheit der großen Unternehmen eine Verbesserung der IT-Sicherheitslage im eigenen Haus durch die Einführung der EU-Datenschutzgrundverordnung konstatiert wird (53 %). Staatliche Regelungen werden also grundsätzlich in vielen Fällen als nützlich betrachtet.

Allerdings gibt es auch wechselseitige Probleme im Zusammenspiel von Wirtschaft und Staat. Die Hälfte der Politiker fühlt sich nicht gut informiert über die Bedürfnisse der Wirtschaft in Sachen IT-Sicherheit. Andersherum sehen entsprechend auch nur 25 % der Wirtschaftsführer die Cyber-Security-Bedürfnisse ihrer Unternehmen als vom Staat gut abgedeckt. Diese Probleme kommen denn auch in einem besonders ernüchternden Ergebnis der Befragung zum Vorschein: Eine deutliche Mehrheit sämtlicher Top-Entscheider beklagen einen mangelnden Austausch zwischen staatlichen Stellen und Privatwirtschaft (Abgeordnete: 83 %, Wirtschaftsführer: 89 %). Hier besteht offensichtlich noch ganz erheblicher Nachholbedarf. Dazu trägt vielleicht auch bei, dass das Zusammenspiel der diversen Behörden für außenstehende Beobachter derzeit nicht immer transparent wird. Ein gemeinsames Lagebild der verschiedenen öffentlichen Stellen sowie eine bundeseinheitliche Kontaktmöglichkeit z.B. auch für einzelne Bürger in Sachen Sicherheit könnten Schritte in die richtige Richtung darstellen.

Bei der Abwehr gibt es noch Mängel

Ganz klar ergibt sich aus dem Cyber Security Report: Das Problembewusstsein in Politik und Wirtschaft für die fundamentale Bedeutung der IT-Sicherheit ist heute schon sehr stark ausgeprägt. Gerade deshalb ist es aber um so bemerkenswerter, wie viel Nachholbedarf manche Unternehmen noch bei der Umsetzung dieser Erkenntnis in entsprechende Abwehrmaßnahmen haben. Nicht immer werden aus der abstrakten Gefahreneinschätzung die entsprechenden konkreten Schlussfolgerungen gezogen. So ist etwa für 78 % der Wirtschaftsführer aus dem produzierenden Gewerbe der Themenbereich Industrie 4.0 von großer Wichtigkeit, also z.B. die Vernetzung der Produktionsanlagen durch die schon erwähnte 5G-Technologie. Dennoch sehen nur 28 % der Wirtschaftsentscheider, die sich mit diesem Thema nach eigener Aussage schon intensiv beschäftigt haben, dadurch zugleich auch deutliche Veränderungen für ihre Sicherheitsstrategie impliziert. Und dies trotz der Tatsache, dass mit der Verwendung vernetzter IoT-Technologien die Cyber-Risiken ganz offensichtlich zwangsläufig steigen.

Wie werden solche Risiken in den Unternehmen grundsätzlich identifiziert und bewertet? Nicht immer ist die Aufstellung hier auf dem neuesten Stand. Von allen befragten Wirtschaftsvertretern geben 27 % an, dass ihre Firma dafür über keine definierten Prozesse verfügt. Im Handel sind das sogar 35 %. Laut 74 % der Führungskräfte werden in ihrem Unternehmen mündliche oder schriftliche Berichte zur Cyber-Risk-Kontrolle eingesetzt, aber nur 11 % verwenden dafür definierte Kennzahlen (große Unternehmen: 28 %). 37 % der Befragten sagen, dass die Führung in ihrem Unternehmen nur anlassbezogen über Cyber-Sicherheit informiert wird. Regelmäßig oder fortlaufend wird dort über sie also nicht berichtet. Nur 47 % der Unternehmen verlangen von Lieferanten, dass sie IT-Sicherheitsstandards einhalten. Know-how im Cyber-Security-Bereich beziehen 79 % der Unternehmen vor allem von externen Dienstleistern. Lediglich 20 % stellen dafür spezielle Fachkräfte ein, was auch mit den Problemen durch den Fachkräftemangel auf dem IT-Markt zu tun haben könnte: 35 % aller Unternehmen haben größere Schwierigkeiten, ausreichend Fachleute für Cyber Security zu finden. Wobei von den meisten Unternehmen weniger der Staat als vielmehr die Wirtschaft selbst in der Pflicht gesehen wird, für qualifiziertes Personal im Bereich Cyber Security zu sorgen, z.B. durch Schulungen. Wirtschaftsvertreter sind interessanterweise deutlich häufiger (40 %) dieser Ansicht als Politiker (21 %). Ungeachtet dieses Details ist es aber jedenfalls angesichts der dargestellten Zahlen insgesamt wenig verwunderlich, dass nur 53 % der Befragten ihr Unternehmen für ausreichend vorbereitet halten, wenn Cyber-Angreifer in interne Systeme eindringen sollten.


Die Unternehmen ergreifen viele Maßnahmen zur Abwehr der Gefährdungen aus dem Cyberraum; diese müssen aber viel systematischer in das Risikomanagement der Unternehmen integriert werden.

Peter J. Wirnsperger, Cyber Risk Leader

Weitere interessante Inhalte

Bereits seit 2017 führt Deloitte in Zusammenarbeit mit dem Institut für Demoskopie Allensbach die repräsentative Trendstudie durch, um den Stand der Cyber Security in Deutschland zu erheben. Untenstehend finden Sie die Ausgaben aus den letzten Jahren.

 

Cyber Security Report 2018:

In Teil 1 der Studie 2018 haben wir auf die Digitalisierung und Cyber-Sicherheit auf politischer und gesamtgesellschaftlicher Ebene abgestellt, während der Teil 2 die Situation in den Unternehmen beleuchtet:

 

Cyber Security Report 2017:

Den ersten Teil der Studie 2017 mit Schwerpunkt Politik und der zweite Teil mit Schwerpunkt Wirtschaft erhalten Sie hier:

 

European Cyber Defense Report 2018

Erfahren Sie zudem mehr über den European Cyber Defense Report 2018 , der staatliche Strukturen und Maßnahmen der Cyberabwehr im internationalen Vergleich analyisert und erstmalig einen aktuellen und kompakten Überblick über die nationalen Strategien, Akteure und Initiativen europäischer Staaten zur Abwehr von Cyberbedrohungen bietet. Im zweiten Teil des Reports haben wir vier mögliche Szenarien zum Stand der Cybersicherheit in Europa im Jahr 2030 entwickelt, die mithilfe von Szenariodesign einen Blick in die Zukunft werfen.