81 Prozent halten das Internet der Dinge (IoT) für geschäftskritisch, aber nur 39 Prozent kümmern sich um die Cyber-Sicherheit dieser Systeme. [...]

In einer zunehmend vernetzten und technologiegetriebenen Geschäftswelt ist das Thema Vertrauen wichtiger denn je. Fast jedem zweiten Unternehmen weltweit gelingt es jedoch nicht, sich adäquat gegen digitale Bedrohungen zu wappnen und sie riskieren dadurch den Verlust dieses Vertrauens: Nur gut die Hälfte der Unternehmen integriert Maßnahmen zum Management von Cyber- und Datenschutzrisiken vollständig von Beginn an in ihre digitalen Transformationsprojekte. Zu diesem Ergebnis kommen die Digital Trust Insights, eine internationale Befragung von 3.000 Führungskräften in

81 Ländern im Auftrag von PwC.

„Die Komplexität und das Innovationstempo der neuen digitalen Geschäftsmodelle überholen bestehende Sicherheitskonzepte. Die Digitalisierung verändert ganze Unternehmenslandschaften. Wir erleben häufig, dass Unternehmen das Thema Sicherheit nicht in ihre Digitalisierungs-Strategien mit einbeziehen. Stattdessen wird der Fokus auf die Aufarbeitung nach Eintritt eines Schadensfalls gelegt.

Dies birgt ein hohes finanzielles sowie ein Haftungsrisiko“, erklärt Georg Beham, Partner und Experte für Cybersecurity & Privacy bei PwC Österreich. Das Thema Vertrauen in die Strategie zu integrieren und auf die Geschäftsziele auszurichten, diesem Anspruch wird laut Studie nur eine kleine Minderheit gerecht: Lediglich 23 Prozent der Firmen mit einem Umsatz über 100 Millionen US-Dollar planen ihre Sicherheitsvorkehrungen mit den Geschäftszielen in Einklang zu bringen.

Nur die Hälfte der Unternehmen adäquat vorbereitet

Auch beim Umgang mit Cyber-Risiken zeigt die Studie blinde Flecken: Nur rund die Hälfte der mittleren und großen Unternehmen in zentralen Sektoren der Wirtschaft sagt, dass sie widerstandsfähige und umfassende Maßnahmen etabliert haben, um sich vor Cyber-Angriffen und anderen disruptiven Erschütterungen zu schützen. Und weniger als die Hälfte ist überzeugt, dass sie die Widerstandsfähigkeit ihres Unternehmens gegenüber Cyber-Attacken adäquat getestet haben. Häufig fehlen die Hintergrundinformationen zu potenziellen Angreifern. Nur 31 Prozent der Befragten gehen davon aus, dass ihr Unternehmen potenzielle Angreifer identifiziert hat.

Bei 91 Prozent der befragten Unternehmen sind Security- und Privacy-Experten bei Digitalisierungsprojekten als Stakeholder an Bord. Da sie aber zu wenig in Projekte eingebunden sind, werden Security Vorgaben häufig zu spät umgesetzt. Dies verursacht in weiterer Folge entweder Zusatzkosten oder schlechte Benutzbarkeit für die Anwender. In vielen Fällen ignorieren die Unternehmen die vorgeschlagenen Sicherheitsmaßnahmen ganz und betreiben „Risikoakzeptanz“. Es würde sich jedoch bewähren, Sicherheitsexperten früh in digitale Transformationsprojekte einzubinden und das Bewusstsein für digitale Risiken bei der Belegschaft zu schärfen.

„Die Prioritäten bei der Bekämpfung von Cyber-Risiken haben sichverschoben: Lag der Fokus vor einigen Jahren noch darauf, die IT Sicherheit zu gewährleisten, so ist heute ein ganzheitlicher Ansatz gefragt, der den Umgang mit allen digitalen Risiken umfasst“, so die Einschätzung von Georg Beham.

Fokus auf starke Teams, die verantwortungsvoll handeln

Ohne ein kompetentes Team gestaltet sich das Risikomangagement in den Bereichen Sicherheit, Datenschutz und Ethik äußerst schwierig.

„In Österreich existieren Schlüsselpositionen wie Information Security Officer zwar formal, sie können aber oft durch eine falsche oder problematische Einbindung in die Organisation nicht ordentlich arbeiten“, erklärt Beham.

Viele Unternehmen könnten Mitarbeiter verstärkt für die Themen Cybersecurity und Datenschutz sensibilisieren und verantwortungsvolles Handeln bestärken. Nur 34 Prozent geben an, dass ihr Unternehmen über ein Schulungsprogramm zum Sicherheitsbewusstsein der Mitarbeiter verfügt. Lediglich 31 Prozent bieten verbindliche Mitarbeiterschulungen zu Sicherheits- und Datenschutzrichtlinien an.

„Cybersicher werden wir nur, wenn Mitarbeiter richtig handeln, denn durch eine Vernachlässigung des Themas Awareness wird die ‚Cyberlücke Mensch‘ zum größten Risiko“, so der Experte.

Aber auch bei der Kommunikation und dem Austausch von Informationen mit der Geschäftsführung bzw. den Aufsichtsgremien gibt es noch Luft nach oben: Nur gut ein Viertel der befragten Manager (27 Prozent) ist der Meinung, dass die Aufsichtsebene ausreichend Informationen erhält, um Cyber- und Datenschutzrisiken zu managen.

Sicherheit bei Einführung innovativer Technologien vernachlässigt

Besonders bei der Einführung neuer Technologien können es sich Unternehmen nicht erlauben, das Vertrauen ihrer Kunden aufs Spiel zu setzen – und tun es doch: 81 Prozent der Führungskräfte weltweit halten das Internet der Dinge (Internet of Things, IoT) für geschäftskritisch, aber nur 39 Prozent haben bei der Umsetzung ausreichend Sicherheitsmaßnamen eingebaut, um digitales Vertrauen sicherzustellen. Lediglich 30 Prozent wollen in den kommenden zwölf Monaten in IoT-Sicherheit investieren.

Damit verspielen viele Unternehmen die Chance, sich durch eine konsequente Ausrichtung auf Vertrauen zu differenzieren, denn:

„Vertrauen entwickelt sich im digitalen Zeitalter zum Wettbewerbsvorteil. Unternehmen, die ihren Kunden und weiteren Stakeholdern ein hohes Maß an Sicherheit, Zuverlässigkeit, Datenschutz und Daten-Ethik gewährleisten, gehört die Zukunft“, ist Georg Beham überzeugt.