Insight

Cyber Benchmark 2024: Cyber-Reifegrad nimmt trotz neuer Herausforderungen nur langsam zu

Veröffentlicht am 26. Juni 2024

Cyber Security

Marktreife und Cybersicherheitstrends

In einem angespannten geopolitischen Umfeld und im Vorfeld der Olympischen Spiele in Frankreich im Sommer 2024 werden Unternehmen mit Cyberspionage und Cyberangriffen durch eine Vielzahl von Akteuren mit böswilligen Absichten konfrontiert sein: Cyberkriminelle, Hacktivisten und sogar Staaten. Wie sicher sind vor diesem Hintergrund Unternehmen aus den verschiedensten Branchen? Was sind die Stärken und Schwächen großer Unternehmen in Bezug auf die Cybersicherheit und wie unterscheiden sie sich von den Kleineren?

Um diese Fragen zu beantworten, haben unsere Expertinnen und Experten einen detaillierten Benchmark von fast 200 Sicherheitsmaßnahmen durchgeführt. In den vergangenen fünf Jahren wurden die Daten von mehr als 150 Organisationen konsolidiert und analysiert. Die Ergebnisse veranschaulichen den langen Weg, der für alle Unternehmen und insbesondere für große Organisationen (> 1 Mrd. $ Umsatz) noch zurückzulegen ist. Sie zeigen aber auch einen leichten Fortschritt in Bezug auf den Gesamtreifegrad auf 53 % (+1 % verglichen mit 52 % im Jahr 2023). Die Werte beziehen sich auf die Anforderungen der internationalen Standards NIST CSF & ISO 27001/2.

Key Insights

Eine leichte Verbesserung des Reifegrads bei Großunternehmen (> 1 Mrd. $ Umsatz) auf 53 % unterstreicht die anhaltenden Bemühungen (+1 Punkt gegenüber 2023).
Die Budgets für Cybersicherheit machen sektorübergreifend 6,6 % der IT-Budgets aus und liegen damit am unteren Ende der empfohlenen Spanne (zwischen 5 und 10 %).
Ein Experte/eine Expertin kümmert sich um die Cybersicherheit für durchschnittlich 1086 Mitarbeitende. Immer mehr Unternehmen haben Initiativen zur Bindung von Talenten an das Unternehmen gestartet.
Zwei Bereiche haben in diesem Jahr besonders stark zugelegt: die Cloud-Sicherheit (+5 %), die von den Fortschritten bei der Sicherheit der Verwaltung dieser Plattformen profitiert, und die Datensicherheit (+4 %), die untrennbar mit den wachsenden Herausforderungen der Künstlichen Intelligenz verbunden ist.
Einige Bereich der Cybersicherheit sind nach wie vor ausbaufähig: insbesondere die Sicherheit von Drittparteien (z. B. Partner und Lieferanten, die zunehmend vernetzt sind und Einfallstore für Angriffen darstellen) mit einem Reifegrad von 48,9 % und die Sicherheit von Industriesystemen mit 39,9 %.
Vergleicht man große Unternehmen mit kleineren Organisationen (< 1 Mrd. $ Umsatz) fällt auf: Die Mehrheit der Großunternehmen hat die Grundlagen im Griff. Im Gegensatz zu den kleineren Unternehmen, von denen 54 % immer noch dem Risiko von Ransomware-Angriffen ausgesetzt sind.
Durch die Olympischen Spiele in Frankreich werden vor allem französische Großunternehmen Denial-of-Service-Angriffen (39 % sind ausreichend geschützt) und Webseitenausfällen (47 % sind ausreichend geschützt) ausgesetzt sein.
Die NIS-2-Richtlinie wird die Cybersicherheitsstrategien stark beeinflussen, da sie für eine wachsende Zahl von Unternehmen und ihre gesamten Systeme gilt. Sie wird erhebliche Investitionen erfordern, um den Rückstand von 20 % bis 40 % gegenüber den erwarteten Anforderungen aufzuholen.

Plus von 1 %: Fortschritte gehen weiter, aber mit geringerem Tempo

Der allgemeine Reifegrad ist mit 53 % gestiegen, die Studie zeigt jedoch eine Heterogenität zwischen den einzelnen Sektoren. Der Finanzsektor schneidet mit einem Wert von 60 % am besten ab, wobei es jedoch deutliche Unterschiede im Reifegrad zwischen den großen Banken und Versicherern gibt, die im Durchschnitt einen geringeren Reifegrad aufweisen. Die Akteure der Luxusgüterbranche und des Einzelhandels folgen mit einem durchschnittlichen Reifegrad von 52,7 %, was in erster Linie auf den Einsatz umfangreicher Ressourcen der Luxusgüterbranche zurückzuführen ist. Es folgt der Industriesektor mit einem Reifegrad von 51,3 %, was zeigt, dass die Unternehmen sich bemühen, ihren Rückstand aufzuholen und die digitale Transformation voranzutreiben. Mit 50,9 % liegt der Energiesektor nur leicht über dem Durchschnitt. Der Dienstleistungssektor (50 %) bildet das Schlusslicht.

Auch die positiven Auswirkungen der Regulierung sind erkennbar: Unternehmen, die den Sicherheitsbestimmungen für kritische Infrastrukturen (NIS/LPM) unterliegen, zeichnen sich durch eine höhere Reife aus (57,5 % vs. 51,7 %).

Angesichts der häufigsten Angriffsrisiken (Ransomware) beherrschen große Unternehmen die Grundlagen, haben aber noch Optimierungspotenzial; kleinere Organisationen sind gefährdet.

Wavestone bewältigt mithilfe seines Incident-Response-Teams, dem CERT-Wavestone, zahlreiche Cyberangriffe im Auftrag seiner Kunden. Dabei wurden die wichtigsten Schwachstellen, die von Cyberkriminellen ausgenutzt werden, identifiziert und eine spezielle Reifegradanalyse durchgeführt. Aus dieser Analyse geht hervor, dass:

Mehr als die Hälfte (54 %) der kleinen und mittleren Unternehmen in unserem Panel werden als kritisch eingestuft, da sie nicht die notwendigen Grundlagen und Kenntnisse beherrschen, um sich gegen diese Art von Angriffen zu wehren. Dieses Phänomen betrifft hauptsächlich den Dienstleistungssektor, auch wenn einzelne Finanz- und Industrieunternehmen nicht immun gegen Angriffe sind.
Große Unternehmen (> 1 Mrd. € Umsatz) gehören aufgrund ihres Reifegrads von 56,9 % nicht zu den leichtesten Zielen für Cyberkriminelle.

Besondere Bedrohungslage im Kontext internationaler Großereignisse

In einem angespannten geopolitischen Umfeld sind Unternehmen mit Cyberspionage und Cyberangriffen durch eine Vielzahl böswilliger Akteure konfrontiert. Dazu gehören Cyberkriminelle, Hacktivisten und sogar Staaten. Gerade im Zusammenhang mit internationalen Großereignissen wie den Olympischen und Paralympischen Spielen in Frankreich müssen die Organisatoren und der Staat kritische Strukturen besonders schützen. Diese werden im Fokus der üblichen Attacken stehen, die darauf abzielen, das Image des Landes zu schädigen und Aufmerksamkeit rund um die Spiele zu erzeugen.

Die Chancen dafür stehen leider nicht schlecht: Nur 39 % der großen Unternehmen verfügen über Lösungen zum Schutz vor Denial-of-Service-Angriffen (Überlastung von Websites, die zu deren Ausfall führen) auf allen ihren Websites (27 % bei den kleinsten Unternehmen), und 47 % haben fortgeschrittene Lösungen zum Schutz ihrer im Internet veröffentlichten Anwendungen vor Defacement, d. h. der unkontrollierten Veränderung von Websites (27 % bei den kleinsten Unternehmen).

Trotz Fachkräftemangel wachsen die Cybersicherheitsabteilungen weiter und stoßen auf neue Probleme …

Die Personalbeschaffung im Bereich der Cybersicherheit stellt eine besondere Herausforderung dar. Nach Erhebungen des ISC2 aus dem Jahr 2023 sind weltweit 4 Millionen Stellen aus Mangel an Bewerber:innen nicht besetzt. Nur 25 % der Belegschaft in Cybersicherheitsabteilungen sind Frauen und die Mehrheit der Fachleute (92 %) gibt an, dass ihre Organisation mit Fachkräftemangel zu kämpfen hat. Um diesen Herausforderungen zu begegnen, setzen Unternehmen auf die individuelle Entwicklung durch Initiativen wie die Einführung eines Weiterbildungskatalogs, die Schaffung von neuen Karrierewegen im Cyber-Bereich oder interne Umschulungen.

Bezogen auf die Anzahl der Mitarbeitenden in den beurteilten Organisationen kommt auf rund 1100 Mitarbeitende etwa eine Person, die sich der Cybersicherheit widmet. Hinter diesem Durchschnittswert verbergen sich jedoch sehr individuelle Ergebnisse. Der Finanzsektor zum Beispiel hat begonnen, interessante Verhältnisse zu erreichen (1/267 oder besser in großen Organisationen). Dennoch ist dieses Verhältnis noch immer zu niedrig, um die aktuellen Herausforderungen zu bewältigen. Dies gilt erst recht für Sektoren wie die Industrie.

… während die Finanzinvestitionen von der Geschäftsleitung genauestens überwacht werden

Von den gesamten IT-Budgets der Unternehmen werden 6,6 % für Security ausgegeben. Diese Zahl mag auf den ersten Blick gering erscheinen, steigt aber im Falle eines Cyberangriffs deutlich an und erreicht fast 15 %.

Nach Sektoren betrachtet investiert der Finanzsektor am meisten (7,8 %). Dies ist vor dem Hintergrund der Einhaltung der DORA-Bestimmungen nachvollziehbar.

Wir beobachten, dass viele Unternehmen häufig mit gleichbleibenden Mitteln mehr verlangen und die Teams für Cybersicherheit gezwungen sind, ihre Aktivitäten zu rationalisieren (z. B. durch Near- oder Off-Shoring) oder zwischen Risiken abzuwägen.

Armando CHIODI, Partner im Bereich Cybersicherheit bei Wavestone

Cloud und künstliche Intelligenz: echte Fortschritte bei den entscheidenden Zukunftsthemen

Die Cloud-Sicherheit verzeichnete in diesem Jahr mit einem Anstieg von über 5 % einen der größten Reifegradzuwächse bei den Großunternehmen, wenngleich der Reifegrad insgesamt nach wie vor zu den niedrigsten im Cyber Benchmark zählt.
- Dieses Wachstum ist vor allem auf den Aufschwung spezieller Lösungen wie CNAPP (Cloud-Native Application Protection Platform) zurückzuführen, welche die notwendigen Tools zur Absicherung von nativen Cloud-Anwendungen zentralisieren. Auch die zunehmende Akzeptanz von CSPM-Lösungen (Cloud Security Posture Management), mit denen Konfigurationsfehler und Schwachstellen erkannt und behoben werden können, trägt zu der positiven Entwicklung bei.
- Allerdings greifen noch immer 6 % der Großunternehmen mit einem einfachen Benutzernamen und Passwort auf ihre Konsole zu, was die Dringlichkeit zur Einführung von Multi-Faktor-Authentifizierung oder zur Verwendung von Bastions unterstreicht. Beides sind Lösungen, die bereits von 65 % der Unternehmen angewandt werden.
Der Schutz von Daten hat 2024 vor dem Hintergrund, dass Künstliche Intelligenz die Cybersicherheitsbranche aufmischt, erhebliche Fortschritte erzielt:
- 39 % der Großunternehmen sind dank ihrer Tools zur Datenklassifizierung und Desensibilisierung in der Lage, ihre KI-Modelle sicher zu trainieren.
- 49 % der großen Organisationen sind bereit, KI einzusetzen, um den Zugang zu Daten zu erleichtern und gleichzeitig deren Vertraulichkeit zu wahren, indem sie Tools zur Identifizierung, Inventarisierung und Klassifizierung von Daten einsetzen.
- Fast 50 % unserer Kunden starten oder haben bereits Projekte gestartet, um ihre generativen KI-Lösungen abzusichern.

Bestimmte Angriffspunkte werden von Cyberkriminellen weiterhin intensiv genutzt. Unternehmen haben Schwierigkeiten, bei den betreffenden Themen Fortschritte zu erzielen

Die Verwaltung von Drittparteien bleibt eine Herausforderung, zumal ein Großteil der Angriffe über diesen Kanal erfolgt:
- 67 % der Großunternehmen haben als Rahmen für die Zusammenarbeit mit Drittparteien Sicherheitsklauseln eingeführt, aber nur 38 % überprüfen diese regelmäßig.
- Nur 16 % der großen Unternehmen testen ihre Notfall- und Wiederherstellungspläne mit ihren Drittparteien in allen kritischen Bereichen.
- Die größte Herausforderung für große Organisationen besteht heute darin, ein effizientes Betriebsmodell für die Verwaltung ihrer Drittparteien (mehrere zehn- oder sogar hunderttausend) einzurichten, das dediziertes Personal, effiziente Beziehungen zum Einkauf und zu den Geschäftsbereichen sowie leistungsfähige Tools für die Inventarisierung und Verfolgung aller Drittparteien umfasst.
Im Industriesektor bleibt die Sicherheit von industriellen Kontrollsystemen (39,9 % Reifegrad) die größte Herausforderung. Legacy-Systeme wurden ohne den Fokus auf Sicherheit entwickelt und öffnen sich nun im Zuge der digitalen Transformation. Während die Bemühungen zur Isolierung der Systeme fortgesetzt werden (+4 % im Jahr 2024), bleibt die Ausfallsicherheit eine Herausforderung: Nur 36 % der Großunternehmen verfügen über sichere Backups dieser Umgebungen. Ferner ist eine wachsende Diskrepanz zwischen den am stärksten regulierten Akteuren (Energie, Pharma, Verteidigung …) und den anderen Sektoren (Bau, Textil, Lebensmittel …) festzustellen: Stark regulierte Sektoren weisen einen durchschnittlichen Reifegrad von 50 % auf. Weniger regulierte Sektoren erreichen hier nur einen Wert von 37 %. Diese Tendenz dürfte sich mit der Einführung der NIS-2-Richtlinie abschwächen.

Die nächsten Jahre werden stark von der Regulatorik geprägt sein. Die NIS-2-Richtlinie wird die Sicherheitsstrategien der nächsten fünf Jahre wesentlich beeinflussen.

Die am 27. Dezember 2022 europaweit veröffentlichte NIS-2-Richtlinie erweitert den Umfang der erfassten Informationssysteme erheblich und muss bis Oktober 2024 in nationales Recht umgesetzt werden:
- Erweiterter Anwendungsbereich: Im Gegensatz zur ursprünglichen NIS-Richtlinie, die sich auf wesentliche Informationssysteme (EIS) konzentrierte, gilt die NIS 2 nun für fast alle Informationssysteme einer Organisation.
- Anwendungskriterien: Jede Organisation mit mehr als 50 Beschäftigten oder einem Jahresumsatz oder einer Jahresbilanzsumme von mehr als 10 Mio. € in wesentlichen oder wichtigen Bereichen ist betroffen.
- Zehn Hauptziele: Die Richtlinie legt zehn Ziele im Bereich der Cybersicherheit fest, die jeder EU-Staat bei der Umsetzung berücksichtigen muss. Zu diesen zehn Zielen gehören unter anderem: Sensibilisierung und Ausbildung, Incident Management, Audits, Geschäftskontinuität oder Krisenmanagement.
Wo stehen große Organisationen wenige Monate vor der Einführung der Richtlinie? Betrachtet man einige der in der NIS-2-Richtlinie behandelten Themen, so zeigen sich deutliche Unterschiede zwischen großen und kleineren Unternehmen:
- Sicherheitspolitik (ISSP): Große Unternehmen erreichen einen Reifegrad von 80 % gegenüber 52 % bei kleinen Unternehmen.
- Geschäftskontinuität und Krisenmanagement: Der Reifegrad von Großunternehmen liegt bei 49 % gegenüber 36 % bei kleinen Unternehmen.
- Audits: Große Unternehmen zeigen eine Reife von 72 % gegenüber 42 % bei kleinen Unternehmen.
- Sensibilisierung und Ausbildung: Große Organisationen haben einen Reifegrad von 56 % gegenüber 31 % bei kleinen Unternehmen.
- Incident Response: Große Unternehmen besitzen einen Reifegrad von 57 %, während kleine Unternehmen nur zu 41 % ausreichend vorbereitet sind.

View accessible version

Durch die NIS 2-Richtlinie hat die Europäische Union eine Reihe von Themen in Bezug auf die Cybersicherheit festgelegt, die von allen EU-Ländern eingehalten werden müssen. Diese Themen umfassen:

Cybersicherheitsrichtlinien: 80 % der großen Organisationen haben Cybersicherheitsrichtlinien und Risikoanalyseprozesse ordnungsgemäß implementiert.
Audits im Bereich Risikomanagement: 72 % der großen Organisationen kontrollieren und auditieren ihre Informationssysteme, Anwendungen und Cloud-Anbieter ordnungsgemäß.
Incident Management : Große Organisationen erreichen bem Störungsmanagement einen Reifegrad von 57 %.
Cyberhygiene & Schulungen: 56 % der großen Organisationen schulen interne und externe Mitarbeiter sowie das Top-Management im Bereich Cybersicherheit.
Geschäftskontinuität & Krisenmanagement: Große Organisationen erreichen einen Reifegrad von 49 % bei Thema Resilienz.

Methodik der Studie

Die Reifegrade wurden auf der Grundlage internationaler Standards (NIST CSF / ISO 27001/2) im Rahmen von Assessments ermittelt, die von Wavestone-Beraterinnen und Beratern durchgeführt wurden und hauptsächlich in Form von Interviews mit den Sicherheitsverantwortlichen der betreffenden Organisationen stattfanden. Die Stichprobe (Stand: 1. Juni 2024) umfasst mehr als 150 Organisationen (100 davon mit einem Umsatz von mehr als 1 Milliarde US-Dollar) mit fast 7 Millionen Mitarbeitenden. Die Daten aus diesen individuellen Bewertungen wurden von Expertinnen und Experten bei Wavestone konsolidiert und analysiert.

Cybersecurity

Laden Sie den Cyber-Benchmark 2024 herunter

Cyber Benchmark 2024

Autoren

Gérôme Billois

Partner – Frankreich, Paris

Wavestone
LinkedIn
Clément Jolliet

Manager – Frankreich, Paris

Wavestone
Linkedin