Ein zentrales Ergebnis der Studie „Taking the Offensive – Working together to disrupt digital crime” lautet, dass nur etwa ein Fünftel der IT-Entscheider ihr Unternehmen als gut geschützt gegen Cyberkriminalität sieht. Externe Vorschriften, eine knappe Ressourcenausstattung und die Abhängigkeit von Dritten schränken die Reaktionsfähigkeit der befragten Unternehmen ein.

Viele Unternehmen von Cyber-Kriminalität betroffen

Eine große Mehrheit von 94 Prozent der befragten IT-Entscheider gibt an, sich Erpressungs-und Bestechungsversuchen ihrer Mitarbeiter durch Kriminelle bewusst zu sein – und dennoch verfügen 47 Prozent über keine passende Strategie, um die kriminellen Aktivitäten zu verhindern.

97 Prozent der Befragten waren bereits Opfer mindestens einer Cyber-Attacke und die Hälfte der Betroffenen konstatiert eine Zunahme solcher Attacken in den letzten zwei Jahren. Die Schäden durch Cyber-Kriminalität sind laut einer McAfee-Studie mittlerweile größer als durch den Drogenhandel. McAfee schätzt den weltweiten Schaden auf bis zu 575 Milliarden US-Dollar jährlich.

Trotz der steigenden Bedrohung kämpfen 91 Prozent der IT-Verantwortlichen mit Hindernissen bei der Abwehr von Cyber-Attacken, so ein weiteres Ergebnis der KPMG/BT-Studie. Neben regulatorischen Schwierigkeiten spielen für 44 Prozent Abhängigkeiten von Dritten eine große Rolle. Unternehmen sind mit der Abwehr von Cyber-Risiken weitgehend überfordert.

Neuer Beruf Chief Digital Risk Officer

Eine Folge dieser Entwicklung: Chief Digital Risk Officers (CDROs) etablieren sich als neue Funktion in Unternehmen.  Diese benötigen neben hohen IT- und digitalen Kompetenzen auch weitreichende Führungsqualitäten. Bei 26 Prozent der befragten Konzerne existiert bereits ein CDRO – ein Hinweis für den gestiegenen Wert der IT-Sicherheit in Unternehmen. Und auch das Thema Weiterbildung und Zertifizierung gewinnt immer mehr an Bedeutung in der Branche, so Dr. Stefan Beißel auf COMPLIANCEdigital.de.

Um die IT-Sicherheit gewährleisten zu können, ist allerdings ein entsprechendes Budget nötig. 60 Prozent der IT-Entscheider finanzieren diese aus einem zentralen IT-Budget, obwohl die Hälfte ein explizites Security-Budget als sinnvoll erachtet – vor allem angesichts steigender finanzieller Mittel der Cyber-Kriminellen. Diese werden von Mark Hughes, CEO Security bei BT, charakterisiert als „skrupellose und effiziente Unternehmer, die von einem hochentwickelten Schwarzmarkt unterstützt werden”.

Offensive Herangehensweise der Unternehmen gefordert

Hughes schlägt konkrete Maßnahmen vor: „Aufgrund der sprunghaft ansteigenden Cyber-Kriminalität wird eine neue Herangehensweise für digitale Risiken benötigt – und das bedeutet, sich in die Rolle der Angreifer zu versetzen. Unternehmen müssen sich nicht nur gegen Cyberattacken verteidigen, sondern die kriminellen Vereinigungen stören, von denen sie ausgehen.”

Paul Taylor, UK KPMG Head of Cybersecurity, sieht ebenfalls eine Professionalisierung der Kriminalität: „Es wird Zeit, eine andere Sichtweise auf digitale Risiken einzunehmen. Wir müssen uns von der Vorstellung des gewöhnlichen Hackers lösen. Unsere Unternehmen werden von rücksichtslosen, kriminellen Vereinigungen ins Visier genommen, die wie Geschäftsleute agieren und über umfangreiche Ressourcen verfügen.”

Weiterführende Literatur

Prof. Dr. Olaf Resch widmet sich in seinem „Buch Einführung in das IT-Management - Grundlagen, Umsetzung, Best Practice” nach einer grundlegenden Darstellung von Zusammenhängen des IT-Managements und ausgewählten Best Practices und Pragmatiken dem immer wichtigeren Bereich Cyber-Sicherheit. Das Buch bietet viele Übungen, interaktiv vernetzt über ein begleitendes Wiki.

(KPMG; BT; ESV/ap)